Configurar o gerenciamento de sessão de autenticação com Acesso Condicional

Em implantações complexas, talvez as organizações precisem restringir as sessões de autenticação. Alguns cenários podem incluir:

  • Acesso a recursos de um dispositivo não gerenciado ou compartilhado
  • Acesso a informações confidenciais de uma rede externa
  • Usuários com alto impacto
  • Aplicativos de negócios críticos

Os controles de Acesso condicional permitem criar políticas direcionadas a casos de uso específicos na organização, sem afetar todos os usuários.

Antes de analisar detalhadamente como configurar a política, vamos examinar a configuração padrão.

Frequência de entrada do usuário

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso.

A configuração padrão do Azure Active Directory (Microsoft Azure AD) para a frequência de entrada do usuário é uma janela contínua de 90 dias. Solicitar credenciais aos usuários frequentemente parece uma coisa sensata a se fazer, mas o tiro pode sair pela culatra: os usuários treinados para inserir suas credenciais sem pensar podem fornecê-las involuntariamente a uma solicitação de credencial mal-intencionada.

Pode parecer alarmante não solicitar que um usuário entre novamente e, na verdade, qualquer violação das políticas de TI revogará a sessão. Alguns exemplos incluem, mas não se limitam a: uma alteração de senha, um dispositivo incompatível ou uma desabilitação de conta. Você também pode revogar as sessões de usuários explicitamente usando o PowerShell. A configuração padrão do Azure AD é “não solicitar que os usuários forneçam suas credenciais se a postura de segurança de suas sessões não tiver sido alterada”.

A configuração da frequência de entrada funciona com aplicativos que tenham implementado os protocolos OAuth2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e Celular, incluindo os aplicativos Web a seguir, está em conformidade com a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

A configuração da frequência de entrada também funciona com aplicativos SAML de terceiros e aplicativos que tenham implementado os protocolos OAuth2 ou OIDC, desde que eles não removam os próprios cookies e sejam redirecionados periodicamente ao Azure AD para autenticação.

Frequência de entrada do usuário e autenticação multifator

Anteriormente, a frequência de entrada se aplicava somente à autenticação de primeiro fator em dispositivos ingressados no Azure AD, ingressados no Azure AD Híbrido e registrados no Microsoft Azure AD. Não havia uma maneira fácil de os clientes reimporem a MFA (autenticação multifator) nesses dispositivos. Com base nos comentários dos clientes, a frequência de entrada também se aplicará à MFA.

Frequência de entrada e MFA

Frequência de entrada do usuário e identidades do dispositivo

Em dispositivos ingressados no Azure AD ou no Azure AD híbrido ou registrados no Azure AD, o desbloqueio do dispositivo ou a entrada de modo interativo atenderá à política de frequência de entrada. Nos dois exemplos a seguir, a frequência de entrada do usuário é definida como 1 hora:

Exemplo 1:

  • À 00:00, um usuário entra em seu dispositivo ingressado no Azure AD do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
  • O usuário continua trabalhando no mesmo documento em seu próprio dispositivo por uma hora.
  • À 01:00, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada na política de Acesso condicional configurada pelo administrador.

Exemplo 2:

  • À 00:00, um usuário entra em seu dispositivo ingressado no Azure AD do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
  • À 00:30, o usuário se levanta e faz um intervalo, bloqueando o dispositivo.
  • À 00:45, o usuário retorna do intervalo e desbloqueia o dispositivo.
  • À 01:45, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada da política de Acesso condicional configurada pelo administrador, uma vez que a última entrada ocorreu à 00:45.

Sempre exigir reautenticação

Há cenários em que os clientes podem querer exigir uma nova autenticação, sempre antes que um usuário executar ações específicas. A frequência de entrada tem uma nova opção para Sempre, além de horas ou dias.

Cenários com suporte:

Quando os administradores selecionarem Sempre, isso exigirá reautenticação total quando a sessão for avaliada.

Persistência de sessões de navegação

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

O padrão do Azure AD para persistência de sessão de navegador permite que os usuários em dispositivos pessoais escolham se desejam manter a sessão mostrando a solicitação “Permanecer conectado?” após a autenticação bem-sucedida. Se a persistência do navegador estiver configurada no AD FS usando as diretrizes no artigo Configurações de logon único do AD FS, também vamos obedecer a essa política e persistir a sessão do Azure AD. Você também pode definir se os usuários em seu locatário visualizam a solicitação “Permanecer conectado?” prompt alterando a configuração apropriada no painel de identidade visual da empresa.

Configurar controles da sessão de autenticação

Acesso Condicional é um recurso Azure AD Premium e requer uma licença Premium. Se você quiser saber mais sobre Acesso Condicional, consulte O que é Acesso Condicional no Azure Active Directory?

Aviso

Se você estiver usando o recurso de tempo de vida de token configurável, atualmente em versão preliminar pública, observe que não há suporte para a criação de duas políticas diferentes para a mesma combinação de usuário ou aplicativo: uma com esse recurso e outra com o recurso de tempo de vida de token configurável. A Microsoft desativou o recurso de tempo de vida de token configurável para atualização e tempos de vida de token de sessão em 30 de janeiro de 2021, substituindo-o pelo recurso de gerenciamento de sessão de autenticação de Acesso Condicional.

Antes de habilitar a Frequência de Entrada, verifique se outras configurações de reautenticação estão desabilitadas em seu locatário. Se "Lembrar MFA em dispositivos confiáveis" estiver habilitado, certifique-se de desabilitá-lo antes de usar a Frequência de Entrada, pois usar essas duas configurações em conjunto pode levar à solicitação de usuários inesperadamente. Para saber mais sobre solicitações de reautenticação e tempo de vida da sessão, consulte o artigo Otimizar solicitações de reautenticação e entender o tempo de vida da sessão para a Autenticação Multifator do Microsoft Azure AD.

Implantação de política

Para garantir que sua política funcione conforme o esperado, a melhor prática é testá-la antes de distribuí-la em produção. O ideal é usar um locatário de teste para verificar se a nova política funciona conforme o esperado. Para obter mais informações, consulte o artigo Planejar uma implantação de Acesso Condicional.

Política 1: Controle de frequência de entrada

  1. Entre no portal do Azure como Administrador global, Administrador de segurança ou Administrador de acesso condicional.

  2. Procure Azure Active DirectorySegurançaAcesso Condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

    Observação

    É recomendável definir a frequência de solicitação de autenticação igual para os principais aplicativos do Microsoft Office, como o Exchange Online e o SharePoint Online para uma melhor experiência do usuário.

  6. Em Controles de acesso>Sessão.

    1. Selecione Frequência de entrada.
      1. Escolha a Reautenticação periódica e insira um valor de horas ou dias ou selecione Sempre.
  7. Salve sua política.

    Política de Acesso Condicional configurada para frequência de entrada

Política 2: Sessão persistente do navegador

  1. Entre no portal do Azure como Administrador global, Administrador de segurança ou Administrador de acesso condicional.

  2. Procure Azure Active DirectorySegurançaAcesso Condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias.

    Observação

    Observe que esse controle exige que você escolha "Todos os Aplicativos de Nuvem" como uma condição. A persistência da sessão do navegador é controlada pelo token de sessão de autenticação. Todas as guias em uma sessão de navegador compartilham um único token de sessão e, portanto, todas precisam compartilhar o estado de persistência.

  6. Em Controles de acesso>Sessão.

    1. Selecione Sessão de navegador persistente.

      Observação

      A configuração de Sessão Persistente de Navegador no Acesso Condicional do Microsoft Azure AD substitui a configuração “Continuar conectado?” no painel de identidade visual da empresa no portal do Azure para o mesmo usuário se você tiver configurado ambas as políticas.

    2. Selecione um valor no menu suspenso.

  7. Salve sua política.

Política 3: Usar o controle de frequência de entrada sempre com um usuário suspeito

  1. Entre no portal do Azure como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
  2. Procure Azure Active DirectorySegurançaAcesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em Condições>Risco do usuário, defina Configurar como Sim. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto e, em seguida, selecione Concluído.
  8. Em Controles de acesso>Conceder, selecione Conceder acesso, Solicitar alteração de senha e escolha Selecionar.
  9. Em Controles de sessão>Frequência de entrada, selecione Sempre.
  10. Confirme suas configurações e defina Habilitar política com Somente relatório.
  11. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem suas configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Validação

Use a ferramenta What If para simular uma entrada de usuário no aplicativo de destino e outras condições com base na forma como você configurou a política. Os controles de gerenciamento de sessão de autenticação aparecem nos resultados da ferramenta.

Tolerância de prompt

Fatoramos para cinco minutos de distorção do relógio, de modo que não solicitamos aos usuários com mais frequência do que uma vez a cada cinco minutos. Se o usuário tiver feito a MFA nos últimos 5 minutos e atingir outra política de acesso condicional que exija reautenticação, não solicitaremos ao usuário. A promoção excessiva de usuários para reautenticação pode afetar a produtividade deles e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. Use "Frequência de entrada – Sempre" apenas para necessidades comerciais específicas.

Problemas conhecidos

  • Se você configurar a frequência de entrada para dispositivos móveis: a autenticação após cada intervalo de frequência de entrada pode ser lenta, levando 30 segundos em média. Isso também pode acontecer em vários aplicativos ao mesmo tempo.
  • Em dispositivos iOS: se um aplicativo configurar certificados como o primeiro fator de autenticação e tiver a frequência de entrada e as políticas de gerenciamento de aplicativo móvel do Intune aplicadas, os usuários finais serão impedidos de entrar no aplicativo quando a política for disparada.

Próximas etapas