Configurazione dei criteri di durata della sessione adattiva

Avviso

Se si usa la funzionalità di durata configurabile dei token attualmente in anteprima pubblica, si noti che la creazione di due criteri diversi per la stessa combinazione di utenti o app, uno con questa funzionalità e un altro con la funzionalità di durata dei token configurabile, non è supportata. Il 30 gennaio 2021 Microsoft ha ritirato la funzionalità di durata configurabile per i token di aggiornamento e di sessione e l'ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.

Prima di abilitare Frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se è abilitata l'autenticazione a più fattori nei dispositivi attendibili, assicurarsi di disabilitarla prima di usare la frequenza di accesso, perché l'uso di queste due impostazioni insieme può causare richieste impreviste agli utenti. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di autenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Microsoft Entra.

Distribuzione dei criteri

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto. Per altre informazioni, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.

Criterio 1: Controllo frequenza di accesso

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

2. Passare a Protezione>Accesso condizionale>Criteri.

3. Selezionare Nuovi criteri.

4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

5. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app cloud di destinazione.

   Nota

   È consigliabile impostare la stessa frequenza di richiesta di autenticazione per le chiavi di Microsoft app Office, ad esempio Exchange Online e SharePoint Online, per un'esperienza utente ottimale.

6. In Controllo di>accesso Sessione.

   1. Selezionare Frequenza di informazioni di accesso.
      1. Scegliere Riautenticazione periodica e immettere un valore di ore o giorni oppure selezionare Ogni volta.

   

7. Salvare il criterio.

Criterio 2: sessione del browser persistente

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

2. Passare a Protezione>Accesso condizionale>Criteri.

3. Selezionare Nuovi criteri.

4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

5. Scegliere tutte le condizioni necessarie.

   Nota

   Questo controllo richiede di scegliere "Tutte le app cloud" come condizione. La persistenza della sessione del browser è controllata dal token della sessione di autenticazione. Tutte le schede di una sessione del browser condividono un singolo token di sessione, pertanto devono tutte condividere lo stato di persistenza.

6. In Controllo di>accesso Sessione.

   1. Selezionare Sessione del browser persistente.

      Nota

      La configurazione della sessione del Browser persistente in Microsoft Entra condizionale sostituisce l'impostazione "Mantieni l'accesso?" nel riquadro di personalizzazione aziendale per lo stesso utente se sono stati configurati entrambi i criteri.

   2. Selezionare un valore dall'elenco a discesa.

7. Salvare il criterio.

Criterio 3: Controllo della frequenza di accesso ogni volta che un utente rischioso

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passa a Protezione>Accesso condizionale.
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
   3. Selezionare Fatto.
6. In Risorse di destinazione>includi, selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
7. In Condizioni>Rischio utente impostare Configurare su Sì.
   1. In Configurare i livelli di rischio utente necessari per l'applicazione dei criteri selezionare Alto. Questo materiale sussidiario si basa sui consigli Microsoft e potrebbe essere diverso per ogni organizzazione
   2. Selezionare Fatto.
8. In Controlli di accesso>Concedi selezionare Concedi accesso.
   1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
   2. Selezionare Richiedi modifica password.
   3. Seleziona Seleziona.
9. In Sessione.
   1. Selezionare Frequenza di informazioni di accesso.
   2. Assicurarsi che sia selezionato Ogni volta.
   3. Seleziona Seleziona.
10. Confermare le impostazioni e impostare Abilitare criterio su Solo report.
11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.

Convalida

Usare lo strumento What If per simulare un accesso dall'utente all'applicazione di destinazione e ad altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Tolleranza prompt

Per cinque minuti di sfasamento dell'orologio, ogni volta che viene selezionato nei criteri, non viene richiesto agli utenti più spesso di una volta ogni cinque minuti. Se l'utente ha completato l'autenticazione a più fattori negli ultimi 5 minuti e ha raggiunto un altro criterio di accesso condizionale che richiede la riautenticazione, non viene richiesto all'utente. L'over-prompt degli utenti per la riautenticazione può influire sulla produttività e aumentare il rischio che gli utenti approvino le richieste MFA che non hanno avviato. Usare "Frequenza di accesso - ogni volta" solo per esigenze aziendali specifiche.

Problemi noti

• Se si configura la frequenza di accesso per i dispositivi mobili: l'autenticazione dopo ogni intervallo di frequenza di accesso potrebbe essere lenta, può richiedere in media 30 secondi. Inoltre, può verificarsi in varie app contemporaneamente.
• Nei dispositivi iOS: se un'app configura i certificati come primo fattore di autenticazione e l'app ha sia la frequenza di accesso che i criteri di gestione delle applicazioni mobili di Intune applicati, gli utenti finali non potranno accedere all'app quando i criteri vengono attivati.

Passaggi successivi

• Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente in uso, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.