Implementare la gestione delle sessioni

  • 3 minuti

Nelle distribuzioni complesse, le organizzazioni potrebbero avere la necessità di limitare le sessioni di autenticazione. Alcuni scenari possibili sono:

  • Accesso alle risorse da un dispositivo non gestito o condiviso.
  • Accesso a informazioni sensibili da una rete esterna.
  • Priorità elevata o utenti esecutivi.
  • Applicazioni aziendali critiche.

I controlli di accesso condizionale consentono di creare criteri mirati a casi d'uso specifici all'interno dell'organizzazione senza influire su tutti gli utenti.

Prima di approfondire i dettagli su come configurare i criteri, si esaminerà la configurazione predefinita.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.

La configurazione predefinita di Microsoft Entra ID per la frequenza di accesso utente è una finestra mobile di 90 giorni. Richiedere agli utenti di immettere credenziali è spesso un'operazione sensata, ma può avere conseguenze negative: gli utenti abituati a immettere le proprie credenziali senza prestare attenzione possono fornirle involontariamente a una richiesta di credenziali dannosa.

Può sembrare rischioso non chiedere a un utente di eseguire di nuovo l'accesso. In realtà, qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi sono la modifica della password, un dispositivo non conforme o la disabilitazione di un account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando PowerShell. La configurazione predefinita di Microsoft Entra ID prevede di "non richiedere agli utenti di specificare le proprie credenziali se la postura di sicurezza delle sessioni non è cambiata".

L'impostazione della frequenza di accesso funziona con le app che hanno implementato i protocolli OAUTH2 o OIDC secondo gli standard. La maggior parte delle app native Microsoft per Windows, Mac e per dispositivi mobili, incluse le applicazioni Web riportate di seguito, è conforme all'impostazione.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portale di amministrazione di Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Client Web Teams
  • Dynamics CRM Online
  • Azure portal

L'impostazione della frequenza di accesso funziona anche con le applicazioni SAML, purché queste non eliminino i propri cookie e vengano reindirizzate di nuovo a Microsoft Entra ID a intervalli regolari per l'autenticazione.

Frequenza di accesso utente e autenticazione a più fattori

La frequenza di accesso è stata applicata in precedenza solo all'autenticazione del primo fattore nei dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra ibrido e registrati con Microsoft Entra. Non esisteva un modo semplice per i clienti di riapplicare l'autenticazione a più fattori (MFA) a questi dispositivi. A seguito del feedback dei clienti, la frequenza di accesso verrà applicata anche per l'autenticazione a più fattori.

Diagramma del processo di accesso con autenticazione a più fattori con frequenza di accesso.

Frequenza di accesso utente e identità dei dispositivi

Se si hanno dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra ibrido o registrati con Microsoft Entra, quando un utente sblocca il proprio dispositivo o accede in modo interattivo, questo evento soddisferà anche i criteri di frequenza di accesso. Nei due esempi seguenti, la frequenza di accesso utente è impostata su un'ora:

Esempio 1:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto a Microsoft Entra e inizia a lavorare a un documento archiviato in SharePoint Online.
  • L'utente continua a lavorare allo stesso documento sul proprio dispositivo per un'ora.
  • Alle ore 01:00 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore.

Esempio 2:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto a Microsoft Entra e inizia a lavorare a un documento archiviato in SharePoint Online.
  • Alle ore 00:30 l'utente decide di fare una pausa, bloccando il dispositivo.
  • Alle ore 00:45 l'utente riprende il lavoro dopo la pausa e sblocca il dispositivo.
  • Alle ore 01:45 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore. dato che l'ultimo accesso è avvenuto alle ore 00:45.

Persistenza delle sessioni di esplorazione

Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser. L'impostazione predefinita di Microsoft Entra ID per la persistenza delle sessioni del browser consente agli utenti di dispositivi personali di scegliere se rendere persistente la sessione visualizzando il messaggio "Rimanere connessi?" Richiesta dopo una corretta autenticazione.

Convalida

Usare lo strumento What If per simulare l'accesso dell'utente all'applicazione di destinazione e altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Screenshot dei risultati dello strumento What If di Accesso condizionale.

Distribuzione dei criteri

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto.