Avaliação contínua de acesso
A expiração e a atualização do token são um mecanismo padrão no setor. Quando um aplicativo cliente como o Outlook se conecta a um serviço como o Exchange Online, as solicitações de API são autorizadas usando tokens de acesso OAuth 2.0. Por padrão, os tokens de acesso são válidos por uma hora; quando expiram, o cliente é redirecionado para o Microsoft Entra para atualizá-los. Esse período de atualização oferece uma oportunidade para reavaliar as políticas de acesso do usuário. Por exemplo: podemos optar por não atualizar o token devido a uma política de acesso condicional ou porque o usuário está desabilitado no diretório.
Os clientes expressam preocupações sobre o atraso entre o momento em que as condições de um usuário são alteradas e quando as alterações de política são impostas. A Microsoft experimentou a abordagem "objeto sem ponta" de tempos de vida de token reduzidos, mas descobriu que isso prejudica as experiências e a confiabilidade do usuário sem eliminar os riscos.
Responder a violações de política ou problemas de segurança de maneira oportuna realmente requer uma "conversa" entre o emissor do token Microsoft Entra e a terceira parte confiável (aplicativo habilitado). Essa conversa bidirecional nos dá dois recursos importantes. A terceira parte confiável pode ver quando as propriedades são alteradas, como o local de rede, e informar o emissor do token. Ela também proporciona ao emissor do token uma maneira de dizer à terceira parte confiável para parar de respeitar os tokens de um determinado usuário devido a comprometimento da conta, desabilitação ou outras preocupações. O mecanismo para essa conversa é a avaliação contínua do acesso (CAE), um padrão do setor baseado no Perfil de Avaliação de Acesso Contínuo (CAEP) da Open ID. A meta para a avaliação crítica do evento é que a resposta seja quase em tempo real, mas a latência de até 15 minutos pode ser observada devido ao tempo de propagação do evento; no entanto, a imposição da política de locais IP é instantânea.
A implementação inicial da avaliação contínua de acesso se concentra no Exchange, no Teams e no SharePoint Online.
Para preparar seus aplicativos para usar a CAE, consulte Como usar APIs habilitadas para avaliação contínua de acesso nos seus aplicativos.
Principais benefícios
- Término do usuário ou alteração/redefinição de senha: a revogação da sessão do usuário é imposta quase em tempo real.
- Alteração de local de rede: as políticas de local de acesso condicional são impostas quase em tempo real.
- A exportação de tokens para um computador fora de uma rede confiável pode ser impedida com políticas de localização de acesso condicional.
Cenários
Há dois cenários que compõem a avaliação contínua de acesso, a avaliação de evento crítico e a avaliação de política de acesso condicional.
Avaliação de evento crítico
A avaliação contínua de acesso é implementada habilitando serviços, como o Exchange Online, o SharePoint Online e o Teams, para se inscrever em eventos críticos no Microsoft Entra. Esses eventos podem então ser avaliados e impostos quase em tempo real. A avaliação de evento crítico não depende de políticas de Acesso Condicional, portanto, está disponível em qualquer locatário. Os seguintes eventos são avaliados no momento:
- A conta de usuário foi excluída ou desabilitada
- A senha de um usuário é alterada ou redefinida
- A autenticação multifator está habilitada para o usuário
- O administrador revoga explicitamente todos os tokens de atualização para um usuário
- Alto risco de usuário detectado pelo Microsoft Entra ID Protection
Esse processo habilita o cenário em que os usuários perdem o acesso a arquivos organizacionais, emails, calendário ou tarefas do SharePoint Online e ao Teams a partir de aplicativos de cliente do Microsoft 365 em minutos após um evento crítico.
Observação
O SharePoint Online não é compatível com eventos de risco do usuário.
Avaliação da política de acesso condicional
O Exchange Online, o SharePoint Online, Teams e MS Graph podem sincronizar as principais políticas de acesso condicional para avaliação dentro do próprio serviço.
Este processo permite o cenário em que os usuários perdem o acesso a arquivos, email, calendário ou tarefas de aplicativos cliente do Microsoft 365 ou do SharePoint Online imediatamente após as alterações no local da rede.
Observação
Nem todas as combinações de aplicativos cliente e provedores de recursos são compatíveis. Consulte as tabelas a seguir. A primeira coluna desta tabela refere-se aos aplicativos Web iniciados por meio do navegador da Web (ou seja, PowerPoint iniciado no navegador da Web), enquanto as quatro colunas restantes se referem aos aplicativos nativos em execução em cada plataforma descrita. Além disso, as referências ao "Office" abrangem o Word, o Excel e o PowerPoint.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Com suporte | Compatível | Compatível | Compatível | Com suporte |
| Exchange Online | Com suporte | Compatível | Compatível | Compatível | Com suporte |
| Aplicativos Web do Office | Aplicativos do Office Win32 | Office para iOS | Office para Android | Office para Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Sem suporte * | Com suporte | Compatível | Compatível | Com suporte |
| Exchange Online | Sem suporte | Com suporte | Compatível | Compatível | Com suporte |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Com suporte | Sem suporte | Com suporte | Compatível | Sem suporte |
| Equipes web | Equipes Win32 | Equipes iOS | Equipes Android | Equipes Mac | |
|---|---|---|---|---|---|
| Equipes Service | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial |
| SharePoint Online | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial |
| Exchange Online | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial |
* Os tempos de vida do token para aplicativos Web do Office são reduzidos para uma hora quando uma política de acesso condicional é definida.
Observação
O Teams é composto por vários serviços e, entre eles, as chamadas e os serviços de chat não seguem as políticas de Acesso Condicional baseadas em IP.
A avaliação contínua de acesso está disponível também em locatários do Azure Governamental (GCC High e DOD) para o Exchange Online.
Recursos do cliente
Desafio de declaração do lado do cliente
Antes da avaliação contínua de acesso, os clientes repetem o token de acesso a partir do cache, desde que ele não tenha expirado. Com a CAE, apresentamos um novo caso em que um provedor de recursos pode rejeitar um token quando ele não expirou. Para informar os clientes a ignorar o cache mesmo que os tokens armazenados em cache não tenham expirado, apresentamos um mecanismo chamado desafio de declaração para indicar que o token foi rejeitado e um novo token de acesso precisa ser emitido pelo Microsoft Entra. A CAE exige uma atualização do cliente para reconhecer o desafio de declaração. As versões mais recentes dos seguintes aplicativos dá suporte ao desafio de declaração:
| Web | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Com suporte | Compatível | Compatível | Compatível | Com suporte |
| Teams | Com suporte | Compatível | Compatível | Compatível | Com suporte |
| Office | Sem suporte | Com suporte | Compatível | Compatível | Com suporte |
| OneDrive | Com suporte | Compatível | Compatível | Compatível | Com suporte |
Tempo de vida do Token
Como o risco e a política são avaliados em tempo real, os clientes que negociam as sessões de reconhecimento de avaliação contínua de acesso não confiam mais nas políticas de tempo de vida do token de acesso estático. Essa alteração significa que a política de tempo de vida do token configurável não é respeitada para clientes que negociam sessões com reconhecimento de CAE.
O tempo de vida do token é aumentado para ser de longa duração, até 28 horas, em sessões de CAE. Eventos críticos e avaliação de políticas levam à revogação, não apenas por um período de tempo arbitrário. Essa alteração aumenta a estabilidade dos aplicativos sem afetar a postura de segurança.
Se você não estiver usando clientes compatíveis com CAE, o tempo de vida do token de acesso padrão continua sendo de uma hora. O padrão só será alterado se você tiver configurado o tempo de vida do token de acesso com a versão prévia do recurso Tempo de vida de token configurável (CTL).
Exemplos de diagramas de fluxo
Fluxo de eventos de revogação do usuário
- Um cliente compatível com CAE apresenta credenciais ou um token de atualização para o Microsoft Entra solicitando um token de acesso para algum recurso.
- Um token de acesso é retornado junto com outros artefatos para o cliente.
- Um Administrador revoga explicitamente todos os tokens de atualização para o usuário e, em seguida, um evento de revogação é enviado ao provedor de recursos do Microsoft Entra.
- Um token de acesso é apresentado ao provedor de recursos. O provedor de recursos avalia a validade do token e verifica se há algum evento de revogação para o usuário. O provedor de recursos usa essas informações para decidir conceder ou não acesso ao recurso.
- Nesse caso, o provedor de recursos nega o acesso e envia um desafio de declaração 401+ de volta ao cliente.
- O cliente compatível com CAE compreende o desafio de declaração 401+. Ele ignora os caches e volta para a etapa 1, enviando o seu token de atualização junto com o desafio de declaração de volta para o Microsoft Entra. Em seguida, o Microsoft Entra reavalia todas as condições e solicita que o usuário se reautentique neste caso.
Fluxo de alteração de condição do usuário
No exemplo a seguir, um administrador de acesso condicional configurou uma política de acesso condicional baseada em local para permitir apenas o acesso de intervalos de IP específicos:
- Um cliente compatível com CAE apresenta credenciais ou um token de atualização para o Microsoft Entra solicitando um token de acesso para algum recurso.
- O Microsoft Entra avalia todas as políticas de acesso condicional para ver se o usuário e o cliente atendem às condições.
- Um token de acesso é retornado junto com outros artefatos para o cliente.
- O usuário sai de um intervalo de IP permitido.
- O cliente apresenta um token de acesso ao provedor de recursos de fora de um intervalo de IP permitido.
- O provedor de recursos avalia a validade do token e verifica a política de local sincronizada do Microsoft Entra.
- Nesse caso, o provedor de recursos nega o acesso e envia um desafio de declaração 401+ de volta ao cliente. O cliente é desafiado porque não está vindo de um intervalo de IP permitido.
- O cliente compatível com CAE compreende o desafio de declaração 401+. Ele ignora os caches e volta para a etapa 1, enviando o seu token de atualização junto com o desafio de declaração de volta para o Microsoft Entra. O Microsoft Entra reavalia todas as condições e nega acesso nesse caso.
Exceção para variações de endereço IP e como desativar a exceção
Na etapa 8 acima, quando o Microsoft Entra reavalia as condições, ele nega o acesso porque o novo local detectado pelo Microsoft Entra está fora do intervalo de IP permitido. Isso não acontece sempre. Devido a algumas topologias de rede complexas, a solicitação de autenticação pode chegar de um endereço IP de saída permitido mesmo depois que a solicitação de acesso recebida pelo provedor de recursos chegou de um endereço IP que não é permitido. Nessas condições, o Microsoft Entra interpreta que o cliente continua em um local permitido e deve receber acesso. Portanto, o Microsoft Entra emite um token de uma hora que suspende as verificações de endereço IP no recurso até a expiração do token. O Microsoft Entra continua a impor verificações de endereço IP.
Se você estiver enviando tráfego para recursos que não são do Microsoft 365 por meio do Acesso Global Seguro, os provedores de recursos não estarão cientes do endereço IP de origem do usuário, pois a restauração de IP de origem não tem suporte para esses recursos no momento. Nesse caso, se o usuário estiver no local de IP confiável (como visto pelo Microsoft Entra), o Microsoft Entra emitirá um token de uma hora que suspende as verificações de endereço IP no recurso até a expiração do token. O Microsoft Entra continua a impor verificações de endereço IP corretamente para esses recursos.
Modo Standard versus Estrito. A concessão de acesso sob essa exceção (ou seja, um local permitido detectado entre Microsoft Entra ID com um local não permitido detectado pelo provedor de recursos) protege a produtividade do usuário mantendo o acesso a recursos críticos. Essa é a imposição de localização padrão. Por outro lado, os administradores que operam em topologias de rede estáveis e desejam remover essa exceção podem usar a Imposição de Localização Estrita (Visualização Pública).
Habilitar ou desabilitar o CAE
A configuração do CAE foi movida para o acesso condicional. Novos clientes CAE poderão acessar e alternar o CAE diretamente ao criar políticas de Acesso Condicional. No entanto, alguns clientes existentes deverão passar pela migração antes que possam começar a acessar o CAE por meio do Acesso Condicional.
Migração
Os clientes que definiram as configurações de CAE em Segurança antes devem migrar as configurações para uma nova política de acesso condicional.
A tabela a seguir descreve a experiência de migração de cada grupo de clientes com base nas configurações de CAE definidas anteriormente.
| Configuração de CAE existente | A migração é necessária | Habilitar automaticamente para CAE | A experiência de migração esperada |
|---|---|---|---|
| Novos locatários que não configuraram nada na experiência antiga. | Não | Sim | A configuração de CAE antiga fica oculta, considerando que esses clientes provavelmente não viam a experiência antes da disponibilidade geral. |
| Os locatários habilitados explicitamente para todos os usuários com a experiência antiga. | Não | Sim | A configuração de CAE antiga fica esmaecida. Como esses clientes habilitaram explicitamente essa configuração para todos os usuários, eles não precisam migrar. |
| Locatários que habilitaram explicitamente alguns usuários em seus locatários com a experiência antiga. | Sim | Não | As configurações antigas da CAE ficam esmaecidas. Se você clicar em Migrar, o assistente para nova política de acesso condicional será iniciado, que inclui Todos os usuários, exceto os usuários e os grupos copiados da CAE. Também define o novo controle de sessão Personalizar avaliação de acesso contínuo como Desabilitado. |
| Locatários que desabilitam explicitamente a versão prévia. | Sim | Não | As configurações antigas da CAE ficam esmaecidas. Se você clicar em Migrar, o assistente para nova política de acesso condicional será iniciado, que inclui Todos os usuários e define o novo controle de sessão Personalizar a Avaliação contínua de acesso como Desabilitado. |
Mais informações sobre a avaliação de acesso contínuo como um controle de sessão podem ser encontradas na seção Personalizar a avaliação de acesso contínuo.
Limitações
Tempo efetivo de atualização da política e associação ao grupo
As alterações feitas nas políticas de acesso condicional e na associação de grupo feitas pelos administradores podem levar até um dia para efetivação. O atraso é da replicação entre o Microsoft Entra e provedores de recursos, como o Exchange Online e o SharePoint Online. Foram feitas algumas otimizações nas atualizações de políticas que reduzem o atraso para duas horas. No entanto, elas ainda não abrangem todos os cenários.
Quando a política de acesso condicional ou as alterações de associação de grupo precisam ser aplicadas imediatamente a determinados usuários, você tem duas opções.
- Executar o comando do PowerShell revoke-mgusersign para revogar todos os tokens de atualização de um usuário especificado.
- Selecione "Revogar sessão" na página de perfil do usuário para revogar a sessão do usuário e garantir que as políticas atualizadas sejam aplicadas imediatamente.
Variação de endereço IP e redes com endereço IP compartilhado ou IPs de saída desconhecidos
As redes modernas geralmente otimizam a conectividade e os caminhos de rede para aplicativos de maneira diferente. Muitas vezes, essa otimização causa variações nos endereços IP de origem e de roteamento de conexões, conforme observado pelo provedor de identidade e pelos provedores de recursos. Você pode observar esse caminho dividido ou variação de endereço IP em várias topologias de rede, incluindo, dentre outras:
- Proxies locais e baseados em nuvem.
- Implementações de rede virtual privada (VPN), como túnel dividido.
- Implantações de SD-WAN (rede de longa distância) definidas pelo software.
- Topologias de saída de rede com balanceamento de carga ou redundantes, como aquelas que usam SNAT.
- Implantações de filiais que permitem conectividade direta com a Internet para aplicativos específicos.
- Redes que dão suporte a clientes IPv6.
- Outras topologias, que lidam com o tráfego de aplicativos ou de recursos de forma diferente do tráfego para o provedor de identidade.
Além das variações de IP, os clientes também podem empregar soluções de rede e serviços que:
- Usam endereços IP que possam ser compartilhados com outros clientes. Por exemplo, serviços proxy baseados em nuvem em que os endereços IP de saída são compartilhados entre os clientes.
- Usam endereços IP facilmente variados ou indefinidos. Por exemplo, topologias em que há grandes conjuntos dinâmicos de endereços IP de saída em uso, como grandes cenários corporativos ou VPN dividida e tráfego de rede de saída local.
Redes em que os endereços IP de saída podem mudar com frequência ou são compartilhados podem afetar o acesso condicional do Microsoft Entra e a Avaliação contínua de acesso (CAE). Essa variabilidade pode afetar como esses recursos funcionam e suas configurações recomendadas. O túnel dividido também pode causar blocos inesperados quando um ambiente é configurado usando melhores práticas de VPN de túnel dividido. O roteamento de IPs otimizados por meio de um IP/VPN confiável pode ser necessário para impedir bloqueios relacionados a insufficient_claims ou falha na verificação de imposição de IP instantânea.
A tabela a seguir resume comportamentos e recomendações de recursos de CAE e acesso condicional para diferentes tipos de implantações de rede e provedores de recursos (RP):
| Tipo de rede | Exemplo | IPs vistos pelo Microsoft Entra | IPs observados pelo RP | Configuração do Acesso Condicional aplicável (Localização Nomeada Confiável) | Imposição de CAE | Token de acesso de CAE | Recomendações |
|---|---|---|---|---|---|---|---|
| 1. Os IPs de saída são dedicados e enumeráveis para o Microsoft Entra e todo o tráfego de RP | Todo o tráfego de rede para Microsoft Entra e RPs é egresso por 1.1.1.1 e/ou 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Eventos Críticos Alterações de local de IP |
Longa duração – até 28 horas | Se os locais nomeados do acesso condicional forem definidos, certifique-se de que eles contenham todos os IPs de saída possíveis (vistos pelo Microsoft Entra e todos os RP) |
| 2. Os IPs de saída são dedicados e enumeráveis para o Microsoft Entra, mas não para tráfego RP | Tráfego de rede para as saídas do Microsoft Entra até 1.1.1.1. Saídas de tráfego de RP por meio de x.x.x.x | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Eventos Críticos | Tempo de vida do token de acesso padrão – 1 hora | Não adicione IPs de saída não dedicados ou não enumeráveis (x.x.x.x) às regras de Acesso Condicional de Localização Nomeada Confiável, pois isso pode enfraquecer a segurança |
| 3. Os IPs de saída não são dedicados/compartilhados ou não são enumeráveis para o tráfego do Microsoft Entra e RP | O tráfego de rede para as saídas do Microsoft Entra por meio de y.y.y.y. As saídas do tráfego de RP por meio de x.x.x.x | y.y.y.y | x.x.x.x | N/A – nenhuma política de acesso condicional de IP/locais confiáveis configurada | Eventos Críticos | Longa duração – até 28 horas | Não adicione IPs de saída não dedicados ou não enumeráveis (x.x.x.x/y.y.y.y) nas regras de Acesso Condicional de Localização Nomeada Confiável, já que isso pode enfraquecer a segurança |
As redes e os serviços de rede usados pelos clientes que se conectam a provedores de identidade e de recurso continuam evoluindo e mudando em resposta às tendências modernas. Essas alterações podem afetar as configurações de acesso condicional e CAE que dependem dos endereços IP subjacentes. Ao decidir sobre essas configurações, considere as alterações futuras na tecnologia e a manutenção da lista definida de endereços no seu plano.
Políticas de localização compatíveis
A CAE só tem insight sobre localizações nomeadas baseadas no IP. O CAE não tem informações sobre outras condições de localização, como IPs confiáveis da MFA ou localizações baseadas em país/região. Quando um usuário vem de um IP confiável da MFA, de um local confiável que inclui IPs confiáveis da MFA ou de um local de país/região, o CAE não será aplicado depois que esse usuário se mudar para um local diferente. Nesses casos, o Microsoft Entra emite um token de acesso de uma hora sem verificação instantânea de imposição de IP.
Importante
Se você deseja que suas políticas de localização sejam aplicadas em tempo real por avaliação de acesso contínua, use apenas a Condição de localização de acesso condicional baseada em IP e configure todos os endereços IP, incluindo IPv4 e IPv6, que podem ser vistos pelo provedor de identidade e provedor de recursos. Não use as condições de localização de país/região ou o recurso de IPs confiáveis disponíveis na página de configurações do serviço de Autenticação Multifator do Microsoft Entra.
Limitações de localização nomeada
Quando a soma de todos os intervalos de IP especificados nas políticas de localização excede 5.000, o CAE não pode impor o fluxo de local de alteração do usuário em tempo real. Neste caso, o Microsoft Entra emite um token CAE de uma hora. A CAE continua a impor todos os outros eventos e políticas, além dos eventos de alteração de local do cliente. Com essa alteração, você ainda mantém uma postura de segurança mais forte em comparação aos tokens de uma hora tradicionais, já que outros eventos são avaliados quase em tempo real.
Configurações do Office e do Web Account Manager
| Canal de atualizações do Office | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| Canal Empresarial Semestral | Se definido como habilitado ou 1, não há suporte para CAE. | Se definido como habilitado ou 1, não há suporte para CAE. |
| Canal Atual ou Canal Empresarial Mensal |
Há compatibilidade com a CAE independentemente da configuração | Há compatibilidade com a CAE independentemente da configuração |
Para obter uma explicação sobre os canais de atualizações do Office, consulte Visão geral dos canais de atualizações para aplicativos Microsoft 365. Recomenda-se que as organizações não desabilitem o Gerenciador de contas da Web (WAM).
Coautoria em aplicativos do Office
Quando vários usuários estão colaborando em um documento ao mesmo tempo, o CAE pode não revogar o acesso deles ao documento imediatamente com base em eventos de alteração de política. Nesse caso, o usuário perde o acesso completamente após:
- fechar o documento
- fechar o aplicativo do Office
- Após uma hora, quando uma política de IP de acesso condicional é definida
Para reduzir ainda mais esse tempo, um Administrador do SharePoint pode reduzir o tempo de vida máximo de sessões de coautoria para documentos armazenados no SharePoint Online e no Microsoft OneDrive, configurando uma política de local de rede. Depois que essa configuração for alterada, o tempo de vida máximo das sessões de coautoria é reduzido para 15 minutos e poderá ser ajustado ainda mais usando o comando "Set-SPOTenant –IPAddressWACTokenLifetime" do PowerShell do SharePoint Online.
Habilitar depois que um usuário for desabilitado
Se você habilitar um usuário logo após a desabilitação, haverá latência antes que a conta seja reconhecida como habilitada nos serviços downstream da Microsoft.
- O SharePoint Online e o Teams geralmente têm um atraso de 15 minutos.
- O Exchange Online geralmente tem um atraso de 35-40 minutos.
Notificações por push
Uma política de endereço IP não é avaliada antes que as notificações por push sejam liberadas. Esse cenário existe porque as notificações por push são de saída e não têm um endereço IP associado a ser avaliado. Se um usuário selecionar nessa notificação por push, por exemplo, um email no Outlook, as políticas de endereço IP da CAE ainda serão impostas antes que o email possa ser exibido. As notificações por push exibem uma pré-visualização da mensagem que não está protegida por uma política de endereço IP. Todas as outras verificações da CAE são feitas antes do envio da notificação por push. Se um usuário ou dispositivo tiver seu acesso removido, a imposição ocorrerá dentro do período documentado.
Usuários convidados
O CAE não dá suporte a contas de usuário convidado. Eventos de revogação de CAE e políticas de Acesso Condicional baseadas em IP não são impostos instantaneamente.
CAE e frequência de entrada
A frequência de entrada é respeitada com ou sem CAE.