Accesso condizionale: impostazioni predefinite per la resilienza
Se si è verificata un'interruzione del servizio di autenticazione primario, il servizio di autenticazione di backup di Microsoft Entra può generare automaticamente token di accesso per le applicazioni per le sessioni esistenti. Questa funzionalità aumenta significativamente la resilienza di Microsoft Entra, perché le autenticazioni per le sessioni esistenti rappresentano più del 90% delle autenticazioni in Microsoft Entra ID. Il servizio di autenticazione di backup non supporta nuove sessioni o autenticazioni da parte degli utenti guest.
Per le autenticazioni protette dall'accesso condizionale, i criteri vengono rivalutati prima dell'emissione dei token di accesso per determinare:
- Quali criteri di accesso condizionale si applicano?
- Per i criteri che si applicano, i controlli necessari sono soddisfatti?
Durante un'interruzione, non tutte le condizioni possono essere valutate in tempo reale dal servizio di autenticazione di backup per determinare se devono essere applicati criteri di accesso condizionale. Le impostazioni predefinite per la resilienza dell'accesso condizionale sono un nuovo controllo sessione che consente agli amministratori di decidere tra:
- Indicare se bloccare le autenticazioni durante un'interruzione ogni volta che una condizione dei criteri non può essere valutata in tempo reale.
- Consentire la valutazione dei criteri usando i dati raccolti all'inizio della sessione dell'utente.
Importante
Le impostazioni predefinite di resilienza vengono abilitate automaticamente per tutti i criteri nuovi ed esistenti e Microsoft consiglia vivamente di lasciare le impostazioni predefinite di resilienza abilitate per ridurre l'impatto di un'interruzione. Gli amministratori possono disabilitare le impostazioni predefinite di resilienza per i singoli criteri di accesso condizionale.
Come funziona?
Durante un'interruzione, il servizio di autenticazione di backup riemetterà automaticamente i token di accesso per determinate sessioni:
Descrizione sessione | Accesso concesso |
---|---|
Nuova sessione | No |
Sessione esistente: non sono configurati criteri di accesso condizionale | Sì |
Sessione esistente: i criteri di accesso condizionale configurati e i controlli necessari, ad esempio MFA, sono stati soddisfatti in precedenza | Sì |
Sessione esistente: i criteri di accesso condizionale configurati e i controlli necessari, ad esempio MFA, non sono stati soddisfatti in precedenza | Determinato dalle impostazioni predefinite per la resilienza |
Quando una sessione esistente scade durante un'interruzione di Microsoft Entra, la richiesta di un nuovo token di accesso viene instradata al servizio di autenticazione di backup e tutti i criteri di accesso condizionale vengono rivalutati. Se non sono presenti criteri di accesso condizionale o tutti i controlli necessari, ad esempio MFA, sono stati precedentemente soddisfatti all'inizio della sessione, il servizio di autenticazione di backup rilascia un nuovo token di accesso per estendere la sessione.
Se i controlli obbligatori di un criterio non sono stati soddisfatti in precedenza, il criterio viene rivalutato per determinare se l'accesso deve essere concesso o negato. Tuttavia, non tutte le condizioni possono essere rivalutate in tempo reale durante un'interruzione. Queste condizioni includono:
- Appartenenza al gruppo
- Appartenenza al ruolo
- Rischio di accesso
- Rischio utente
- Paese/area geografica (risoluzione di nuove coordinate IP o GPS)
- Livelli di autenticazione
Quando è attivo, il servizio di autenticazione di backup non valuta i metodi di autenticazione richiesti dai punti di forza dell'autenticazione. Se è stato usato un metodo di autenticazione non resistente al phishing prima di un'interruzione, durante un'interruzione non viene richiesta l'autenticazione a più fattori anche se si accede a una risorsa protetta da criteri di accesso condizionale con un livello di autenticazione resistente al phishing.
Impostazioni predefinite per la resilienza abilitate
Quando le impostazioni predefinite per la resilienza sono abilitate, il servizio di autenticazione di backup usa i dati raccolti all'inizio della sessione per valutare se i criteri devono essere applicati in assenza di dati in tempo reale. Per impostazione predefinita, tutti i criteri hanno le impostazioni predefinite di resilienza abilitate. L'impostazione potrebbe essere disabilitata per i singoli criteri quando è necessaria la valutazione dei criteri in tempo reale per l'accesso alle applicazioni sensibili durante un'interruzione.
Esempio: un criterio con impostazioni predefinite di resilienza abilitato richiede che a tutti gli utenti sia assegnato un ruolo con privilegi che acceda ai portali di amministrazione Microsoft per eseguire l'autenticazione a più fattori. Prima di un'interruzione, se un utente a cui non è assegnato un ruolo di amministratore accede al portale di Azure, i criteri non si applicano e all'utente verrà concesso l'accesso senza che venga richiesta l'autenticazione a più fattori. Durante un'interruzione, il servizio di autenticazione di backup rivaluta i criteri per determinare se all'utente deve essere richiesta l'autenticazione a più fattori. Poiché il servizio di autenticazione di backup non è in grado di valutare l'appartenenza al ruolo in tempo reale, utilizzerebbe i dati raccolti all'inizio della sessione dell'utente per determinare che i criteri non devono ancora essere applicati. Di conseguenza, all'utente viene concesso l'accesso senza che venga richiesta l'autenticazione a più fattori.
Impostazioni predefinite della resilienza disabilitate
Quando le impostazioni predefinite della resilienza sono disabilitate, il servizio di autenticazione di backup non userà i dati raccolti all'inizio della sessione per valutare le condizioni. Durante un'interruzione, se una condizione dei criteri non può essere valutata in tempo reale, l'accesso viene negato.
Esempio: un criterio con impostazioni predefinite di resilienza disabilitato richiede che tutti gli utenti a cui sia assegnato un ruolo con privilegi accedano ai portali di amministrazione Microsoft per eseguire l'autenticazione a più fattori. Prima di un'interruzione, se un utente a cui non è assegnato un ruolo di amministratore accede al portale di Azure, i criteri non si applicano e all'utente verrà concesso l'accesso senza che venga richiesta l'autenticazione a più fattori. Durante un'interruzione, il servizio di autenticazione di backup rivaluta i criteri per determinare se all'utente deve essere richiesta l'autenticazione a più fattori. Poiché il servizio di autenticazione di backup non è in grado di valutare l'appartenenza al ruolo in tempo reale, l'utente potrebbe accedere al portale di Azure.
Avviso
La disabilitazione delle impostazioni predefinite di resilienza per un criterio applicabile a un gruppo o a un ruolo ridurrà la resilienza per tutti gli utenti nel tenant. Poiché l'appartenenza a gruppi e ruoli non può essere valutata in tempo reale durante un'interruzione, anche agli utenti che non appartengono al gruppo o al ruolo nell'assegnazione dei criteri verrà negato l'accesso all'applicazione nell'ambito dei criteri. Per evitare di ridurre la resilienza per tutti gli utenti che non rientrano nell'ambito dei criteri, è consigliabile applicare i criteri a singoli utenti anziché a gruppi o ruoli.
Test delle impostazioni predefinite per la resilienza
Non è possibile eseguire una prova usando il servizio di autenticazione di backup o simulare il risultato di un criterio con impostazioni predefinite di resilienza abilitate o disabilitate in questo momento. Microsoft Entra esegue esercizi mensili usando il servizio di autenticazione di backup. I log di accesso vengono visualizzati se il servizio di autenticazione di backup è stato usato per rilasciare il token di accesso. Nel pannello Identità>Monitoraggio e integrità>Log di accesso è possibile aggiungere il filtro "Token issuer type == Microsoft Entra Backup Auth" per visualizzare i log elaborati dal servizio di autenticazione di backup di Microsoft Entra.
Configurazione delle impostazioni predefinite per la resilienza
È possibile configurare le impostazioni predefinite per la resilienza dell'accesso condizionale dall'interfaccia di amministrazione di Microsoft Entra, dalle API Microsoft Graph o da PowerShell.
Interfaccia di amministrazione di Microsoft Entra
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale>Criteri.
- Selezionare un criterio esistente o crearne uno nuovo
- Aprire le impostazioni del controllo sessione
- Selezionare Disabilita le impostazioni predefinite per la resilienza per disabilitare l'impostazione per questo criterio. Gli accessi nell'ambito dei criteri vengono bloccati durante un'interruzione di Microsoft Entra
- Salvare le modifiche apportate ai criteri
API Microsoft Graph
È anche possibile gestire le impostazioni predefinite di resilienza per i criteri di accesso condizionale usando l'API Microsoft Graph e Microsoft Graph Explorer.
URL richiesta di esempio:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Corpo della richiesta di esempio:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Questa operazione di patch può essere distribuita usando Microsoft PowerShell dopo l'installazione del modulo Microsoft.Graph.Authentication. Per installare questo modulo, aprire un prompt di PowerShell con privilegi elevati ed eseguire
Install-Module Microsoft.Graph.Authentication
Connettersi a Microsoft Graph, richiedendo gli ambiti necessari:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Eseguire l'autenticazione quando richiesto.
Creare il corpo JSON per la richiesta PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Eseguire l'operazione di patch:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Consigli
Microsoft consiglia di abilitare le impostazioni predefinite per la resilienza. Anche se non esistono problemi di sicurezza diretti, i clienti devono valutare se vogliono consentire al servizio di autenticazione di backup di valutare i criteri di accesso condizionale durante un'interruzione usando i dati raccolti all'inizio della sessione anziché in tempo reale.
È possibile che l'appartenenza a un ruolo o a un gruppo di un utente sia cambiata dall'inizio della sessione. Con la valutazione continua dell'accesso (CAE), i token di accesso sono validi per 24 ore, ma soggetti a eventi di revoca immediata. Il servizio di autenticazione di backup sottoscrive gli stessi eventi di revoca CAE. Se il token di un utente viene revocato come parte di CAE, l'utente non è in grado di accedere durante un'interruzione. Quando le impostazioni predefinite per la resilienza sono abilitate, le sessioni esistenti che scadono durante un'interruzione verranno estese. Le sessioni vengono estese anche se i criteri sono stati configurati con un controllo sessione per applicare una frequenza di accesso. Ad esempio, un criterio con impostazioni predefinite di resilienza abilitate potrebbe richiedere che gli utenti rieseguano l’autenticazione ogni ora per accedere a un sito di SharePoint. Durante un'interruzione, la sessione dell'utente verrebbe estesa anche se Microsoft Entra ID potrebbe non essere disponibile per autenticare nuovamente l'utente.