Implementare la gestione delle sessioni e la valutazione dell'accesso continuo

  • 3 minuti

Nelle distribuzioni complesse, le organizzazioni potrebbero avere la necessità di limitare le sessioni di autenticazione. Alcuni scenari possibili sono:

  • Accesso alle risorse da un dispositivo non gestito o condiviso.
  • Accesso a informazioni sensibili da una rete esterna.
  • Utenti ad alta priorità o di livello esecutivo.
  • Applicazioni aziendali critiche.

I controlli di accesso condizionale consentono di creare criteri mirati a casi d'uso specifici all'interno dell'organizzazione senza influire su tutti gli utenti.

Prima di approfondire i dettagli su come configurare i criteri, si esaminerà la configurazione predefinita.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.

La configurazione predefinita di Microsoft Entra ID per la frequenza di accesso utente è una finestra mobile di 90 giorni. Richiedere agli utenti di immettere credenziali è spesso un'operazione sensata, ma può avere conseguenze negative: gli utenti abituati a immettere le proprie credenziali senza prestare attenzione possono fornirle involontariamente a una richiesta di credenziali dannosa.

Può sembrare rischioso non chiedere a un utente di eseguire di nuovo l'accesso. In realtà, qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi sono la modifica della password, un dispositivo non conforme o la disabilitazione di un account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando PowerShell. La configurazione predefinita di Microsoft Entra ID è "non chiedere agli utenti di fornire le proprie credenziali se il comportamento di sicurezza delle sessioni non è cambiato".

L'impostazione della frequenza di accesso funziona con le app che hanno implementato i protocolli OAUTH2 o OIDC secondo gli standard. La maggior parte delle app per Windows, Mac e dispositivi mobili, incluse le applicazioni Web seguenti, è conforme all'impostazione .

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portale di amministrazione di Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Client Web Teams
  • Dynamics CRM Online
  • Portale di Azure

L'impostazione della frequenza di accesso funziona anche con le applicazioni SAML, purché queste non eliminino i propri cookie e vengano reindirizzate di nuovo a Microsoft Entra ID a intervalli regolari per l'autenticazione.

Frequenza di accesso utente e autenticazione a più fattori

La frequenza di accesso è stata applicata in precedenza solo all'autenticazione del primo fattore nei dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra in modo ibrido e registrati in Microsoft Entra. Non esisteva un modo semplice per i clienti di riapplicare l'autenticazione a più fattori (MFA) a questi dispositivi. A seguito del feedback dei clienti, la frequenza di accesso alla piattaforma verrà applicata anche per l'autenticazione a più fattori.

Diagramma del processo di accesso con autenticazione a più fattori con frequenza di accesso.

Frequenza di accesso utente e identità dei dispositivi

Se si hanno dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra ibrido o registrati con Microsoft Entra, quando un utente sblocca il proprio dispositivo o accede in modo interattivo, questo evento soddisferà anche i criteri di frequenza di accesso. Nei due esempi seguenti, la frequenza di accesso utente è impostata su un'ora:

Esempio 1:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto a Microsoft Entra e inizia a lavorare a un documento archiviato in SharePoint Online.
  • L'utente continua a lavorare allo stesso documento sul proprio dispositivo per un'ora.
  • Alle ore 01:00 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore.

Esempio 2:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto a Microsoft Entra e inizia a lavorare a un documento archiviato in SharePoint Online.
  • Alle ore 00:30 l'utente decide di fare una pausa, bloccando il dispositivo.
  • Alle ore 00:45 l'utente riprende il lavoro dopo la pausa e sblocca il dispositivo.
  • Alle ore 01:45 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore. dato che l'ultimo accesso è avvenuto alle ore 00:45.

Persistenza delle sessioni di esplorazione

Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser. L'impostazione predefinita di Microsoft Entra ID per la persistenza della sessione del browser consente agli utenti nei dispositivi personali di scegliere se rendere persistente la sessione mostrando un 'Resta connesso?' Richiesta dopo una corretta autenticazione.

Convalida

Usare lo strumento What If per simulare l'accesso dell'utente all'applicazione di destinazione e altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Screenshot dei risultati dello strumento di Accesso Condizionale

Distribuzione delle politiche

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto.

Valutazione dell'accesso continuo (CAE)

La scadenza e l'aggiornamento dei token sono un meccanismo standard del settore. Quando un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso sono validi per un'ora, quando scadono il client viene reindirizzato a Microsoft Entra ID per aggiornarli. Tale periodo di aggiornamento offre la possibilità di rivalutare i criteri per l'accesso degli utenti. Ad esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o perché l'utente è stato disabilitato nella directory.

Tuttavia, esiste un ritardo tra il momento in cui le condizioni cambiano per un utente e quello in cui le modifiche ai criteri vengon applicate. Una risposta tempestiva alle violazioni dei criteri o ai problemi di sicurezza richiede realmente una "conversazione" tra l'emittente del token e la relying party (app abilitate). Questa conversazione bidirezionale offre due importanti funzionalità. La parte affidabile può vedere quando le proprietà cambiano, ad esempio la posizione di rete, e comunicarlo all'emittente del token. Inoltre offre all’emittente del token un modo per indicare alla relying party di interrompere l'accettazione dei token per un determinato utente a causa di compromissione, disabilitazione dell'account o altri problemi. Il meccanismo per questa conversazione è la valutazione dell'accesso continuo (continuous access evaluation, CAE).

Vantaggi

La valutazione dell'accesso continuo offre diversi vantaggi principali.

  • Cessazione dell’utente o modifica/reimpostazione della password: la revoca della sessione utente verrà applicata quasi in tempo reale.
  • Modifica della posizione di rete: i criteri di accesso condizionale basati sulla posizione verranno applicati quasi in tempo reale.
  • L'esportazione di token verso un computer al di fuori di una rete attendibile può essere impedita con le politiche di accesso condizionale basate sulla posizione.

Flusso del processo di valutazione e revoca

Diagramma del flusso di processo quando viene revocato un token di accesso e un client deve ripristinare l'accesso.

  1. Un client abilitato per la valutazione dell'accesso continuo (CAE) presenta le credenziali o un token di aggiornamento a Microsoft Entra ID richiedendo un token di accesso per alcune risorse.
  2. Un token di accesso viene restituito insieme ad altri artefatti al client.
  3. Un amministratore revoca in modo esplicito tutti i token di aggiornamento per l'utente. Un evento di revoca verrà inviato al provider di risorse da Microsoft Entra ID.
  4. Viene presentato un token di accesso al provider di risorse. Il provider di risorse valuta la validità del token e verifica se è presente un evento di revoca per l'utente. Il provider di risorse usa queste informazioni per decidere di concedere o meno l'accesso alla risorsa.
  5. Nel caso del diagramma, il provider di risorse nega l'accesso e invia un test di attestazione 401+ al client.
  6. Il client abilitato per CAE riconosce il test di attestazione 401+. Ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione a Microsoft Entra ID. Microsoft Entra ID rivaluta quindi tutte le condizioni e chiede all'utente di ripetere l'autenticazione in questo caso.