Durata della sessione adattiva per l'accesso condizionale

Nelle distribuzioni complesse, le organizzazioni potrebbero avere la necessità di limitare le sessioni di autenticazione. Alcuni scenari possibili sono:

• Accesso alle risorse da un dispositivo non gestito o condiviso
• Accesso alle informazioni riservate da una rete esterna
• Utenti con impatto elevato
• Applicazioni aziendali critiche

L'accesso condizionale fornisce controlli dei criteri di durata delle sessioni adattivi che consentono di creare criteri destinati a casi d'uso specifici all'interno dell'organizzazione senza influire su tutti gli utenti.

Prima di approfondire i dettagli su come configurare i criteri, si esaminerà la configurazione predefinita.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.

La configurazione predefinita di Microsoft Entra ID per la frequenza di accesso utente è una finestra mobile di 90 giorni. La richiesta di credenziali agli utenti spesso sembra una cosa sensata da fare, ma può eseguire il backfire: gli utenti sottoposti a training per immettere le proprie credenziali senza pensare possano fornire involontariamente a un prompt delle credenziali dannose.

Potrebbe sembrare allarmante non chiedere a un utente di eseguire di nuovo l'accesso, in realtà qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi includono (ma non sono limitati a) una modifica della password, un dispositivo non conforme o una disabilitazione dell'account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando Microsoft Graph PowerShell. La configurazione predefinita di Microsoft Entra ID è "non chiedere agli utenti di fornire le proprie credenziali se il comportamento di sicurezza delle sessioni non è cambiato".

L'impostazione della frequenza di accesso funziona con le app che implementano protocolli OAuth2 o OIDC in base agli standard. La maggior parte delle app native Microsoft per Windows, Mac e Mobile, incluse le applicazioni Web seguenti, è conforme all'impostazione.

• Word, Excel, PowerPoint Online
• OneNote Online
• Office.com
• Portale di amministrazione di Microsoft 365
• Exchange Online
• SharePoint e OneDrive
• Client Web Teams
• Dynamics CRM Online
• Azure portal

La frequenza di accesso (SIF) funziona con applicazioni e app SAML di terze parti che implementano protocolli OAuth2 o OIDC, purché non rilascino i propri cookie e vengano reindirizzati a Microsoft Entra ID per l'autenticazione regolarmente.

Frequenza di accesso utente e autenticazione a più fattori

Frequenza di accesso applicata in precedenza solo alla prima autenticazione a fattori nei dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra ibrido e Microsoft Entra registrati. Non c'era modo semplice per i nostri clienti di riapponire l'autenticazione a più fattori su tali dispositivi. In base al feedback dei clienti, la frequenza di accesso si applica anche per l'autenticazione a più fattori.

Frequenza di accesso utente e identità dei dispositivi

Nei dispositivi aggiunti a Microsoft Entra e aggiunti a Microsoft Entra ibrido, sbloccare il dispositivo o accedere aggiorna in modo interattivo il token di aggiornamento primario (PRT) ogni 4 ore. Il timestamp dell'ultimo aggiornamento registrato per il token di aggiornamento primario rispetto al timestamp corrente deve essere entro il tempo assegnato nei criteri SIF per consentire al token di aggiornamento primario di soddisfare ILF e concedere l'accesso a una richiesta pull che dispone di un'attestazione MFA esistente. Nei dispositivi registrati di Microsoft Entra, lo sblocco/accesso non soddisfa i criteri SIF perché l'utente non accede a un dispositivo registrato da Microsoft Entra tramite un account Microsoft Entra. Tuttavia, il plug-in Microsoft Entra WAM può aggiornare una richiesta pull durante l'autenticazione dell'applicazione nativa usando WAM.

Nota

Il timestamp acquisito dall'accesso utente non corrisponde necessariamente all'ultimo timestamp registrato dell'aggiornamento PRT a causa del ciclo di aggiornamento di 4 ore. Il caso in cui è uguale è quando il token di aggiornamento primario è scaduto e un utente lo aggiorna per 4 ore. Negli esempi seguenti si supponga che i criteri SIF siano impostati su 1 ora e che il token di aggiornamento primario venga aggiornato alle 00:00.

Esempio 1: quando si continua a lavorare sullo stesso documento in SPO per un'ora

• Alle 00:00, un utente accede al dispositivo Aggiunto a Windows 11 Microsoft Entra e avvia il lavoro su un documento archiviato in SharePoint Online.
• L'utente continua a lavorare allo stesso documento sul proprio dispositivo per un'ora.
• Alle 01:00, all'utente viene richiesto di eseguire di nuovo l'accesso. Questo prompt si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore.

Esempio 2: quando si sospende il lavoro con un'attività in background in esecuzione nel browser, quindi interagire di nuovo dopo il tempo trascorso dei criteri SIF

• Alle 00:00, un utente accede al dispositivo Aggiunto a Windows 11 Microsoft Entra e inizia a caricare un documento in SharePoint Online.
• Alle 00:10, l'utente si alza e interrompe il blocco del dispositivo. Il caricamento in background continua a SharePoint Online.
• Alle 02:45, l'utente torna dall'interruzione e sblocca il dispositivo. Il caricamento in background mostra il completamento.
• Alle 02:45, all'utente viene chiesto di accedere quando interagisce di nuovo. Questa richiesta si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore dopo l'ultimo accesso alle 00:00.

Se l'app client (in dettagli attività) è un browser, rinviiamo l'applicazione della frequenza di accesso degli eventi o dei criteri nei servizi in background fino alla successiva interazione dell'utente. Nei client riservati, l'imposizione della frequenza di accesso per gli accessi non interattivi viene posticipata fino al successivo accesso interattivo.

Esempio 3: Con un ciclo di aggiornamento di quattro ore del token di aggiornamento primario dallo sblocco

Scenario 1 - L'utente torna all'interno del ciclo

• Alle 00:00, un utente accede al dispositivo aggiunto a Windows 11 Microsoft Entra e avvia il lavoro su un documento archiviato in SharePoint Online.
• Alle 00:30, l'utente si alza e interrompe il blocco del dispositivo.
• Alle ore 00:45 l'utente riprende il lavoro dopo la pausa e sblocca il dispositivo.
• Alle 01:00, all'utente viene richiesto di eseguire di nuovo l'accesso. Questa richiesta si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore, 1 ora dopo l'accesso iniziale.

Scenario 2 - L'utente restituisce un ciclo esterno

• Alle 00:00, un utente accede al dispositivo aggiunto a Windows 11 Microsoft Entra e avvia il lavoro su un documento archiviato in SharePoint Online.
• Alle 00:30, l'utente si alza e interrompe il blocco del dispositivo.
• Alle 04:45, l'utente torna dall'interruzione e sblocca il dispositivo.
• Alle 05:45, all'utente viene richiesto di eseguire di nuovo l'accesso. Questo prompt si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore. È ora di 1 ora dopo l'aggiornamento del token di aggiornamento primario alle 04:45 e oltre 4 ore dall'accesso iniziale alle 00:00.

Richiedere la riautenticazione ogni volta

Esistono scenari in cui i clienti potrebbero voler richiedere un'autenticazione aggiornata, ogni volta che un utente esegue azioni specifiche, ad esempio:

• Accesso alle applicazioni sensibili.
• Protezione delle risorse dietro provider VPN o Network as a Service (NaaS).
• Protezione dell'elevazione dei ruoli con privilegi in PIM.
• Protezione degli accessi utente alle macchine desktop virtuali di Azure.
• Protezione degli utenti rischiosi e degli accessi rischiosi identificati da Microsoft Entra ID Protection.
• Protezione delle azioni degli utenti sensibili, ad esempio la registrazione di Microsoft Intune.

Frequenza di accesso impostata su ogni volta che funziona meglio quando la risorsa ha la logica di quando un client deve ottenere un nuovo token. Queste risorse reindirizzano l'utente a Microsoft Entra-only dopo la scadenza della sessione.

Amministrazione istrator deve limitare il numero di applicazioni con cui applicano criteri che richiedono agli utenti di ripetere l'autenticazione ogni volta con . Per cinque minuti di sfasamento dell'orologio, ogni volta che viene selezionato nei criteri, non viene richiesto agli utenti più spesso di una volta ogni cinque minuti. L'attivazione della riautenticazione troppo frequentemente può aumentare l'attrito di sicurezza fino a un punto in cui gli utenti riscontrano affaticamento MFA e aprono la porta ai tentativi di phishing. Le applicazioni Web offrono in genere un'esperienza meno dirompente rispetto alle controparti desktop quando richiedono la riautenticazione ogni volta che è abilitata.

• Per le applicazioni nello stack di Microsoft 365, è consigliabile usare la frequenza di accesso utente basata sul tempo per un'esperienza utente migliore.
• Per il portale di Azure e l'interfaccia di amministrazione di Microsoft Entra, è consigliabile usare la frequenza di accesso dell'utente con basso tempo o richiedere la riautenticazione sull'attivazione di PIM usando il contesto di autenticazione per un'esperienza utente migliore.

Scenari supportati a livello generale:

• Richiedere la riautenticazione dell'utente durante la registrazione dei dispositivi di Intune, indipendentemente dal relativo stato MFA corrente.
• Richiedere la riautenticazione dell'utente per gli utenti rischiosi con il controllo di concessione delle modifiche della password .
• Richiedere la riautenticazione dell'utente per gli accessi a rischio con il controllo della concessione di autenticazione a più fattori.

Le funzionalità di anteprima pubblica di febbraio 2024 consentono agli amministratori di richiedere l'autenticazione con:

• Applicazioni abilitate per SAML o OIDC
• Contesto di autenticazione
• Altre azioni utente

Quando gli amministratori selezionano Ogni volta, richiede la riautenticazione completa quando viene valutata la sessione.

Persistenza delle sessioni di esplorazione

Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser.

L'impostazione predefinita di Microsoft Entra ID per la persistenza delle sessioni del browser consente agli utenti di dispositivi personali di scegliere se rendere persistente la sessione visualizzando il messaggio "Rimanere connessi?" Richiesta dopo una corretta autenticazione. Se la persistenza del browser è configurata in AD FS usando le indicazioni riportate nell'articolo Impostazioni di Single Sign-On di AD FS, microsoft è conforme a tale criterio e rende persistente anche la sessione di Microsoft Entra. È anche possibile configurare se gli utenti nel tenant visualizzano l'opzione "Rimanere connessi?" richiedendo di modificare l'impostazione appropriata nel riquadro di personalizzazione dell'azienda.

Nei browser permanenti i cookie rimangono archiviati nel dispositivo dell'utente anche dopo che un utente chiude il browser. Questi cookie potrebbero avere accesso agli artefatti di Microsoft Entra e tali artefatti sono utilizzabili fino alla scadenza del token indipendentemente dai criteri di accesso condizionale inseriti nell'ambiente delle risorse. Pertanto, la memorizzazione nella cache dei token può essere in violazione diretta dei criteri di sicurezza desiderati per l'autenticazione. Anche se potrebbe sembrare utile archiviare i token oltre la sessione corrente, in questo modo è possibile creare una vulnerabilità di sicurezza consentendo l'accesso non autorizzato agli artefatti di Microsoft Entra.

Configurazione dei controlli sessione di autenticazione

L'accesso condizionale è una funzionalità P1 o P2 di Microsoft Entra ID e richiede una licenza Premium. Per altre informazioni sull'accesso condizionale, vedere Che cos'è l'accesso condizionale in Microsoft Entra ID?

Avviso

Se si usa la funzionalità di durata del token configurabile attualmente in anteprima pubblica, tenere presente che non è supportata la creazione di due criteri diversi per la stessa combinazione di utenti o app: una con questa funzionalità e un'altra con la funzionalità di durata del token configurabile. Il 30 gennaio 2021 Microsoft ha ritirato la funzionalità di durata configurabile per i token di aggiornamento e di sessione e l'ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.

Prima di abilitare Frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se è abilitata l'autenticazione a più fattori nei dispositivi attendibili, assicurarsi di disabilitarla prima di usare la frequenza di accesso, perché l'uso di queste due impostazioni insieme può causare la richiesta imprevista agli utenti. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione per l'autenticazione a più fattori Di Microsoft Entra.

Passaggi successivi

• Configurare la durata della sessione nei criteri di accesso condizionale
• Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.