Configurar o gerenciamento de sessão de autenticação com Acesso Condicional

Em implantações complexas, talvez as organizações precisem restringir as sessões de autenticação. Alguns cenários podem incluir:

• Acesso a recursos de um dispositivo não gerenciado ou compartilhado
• Acesso a informações confidenciais de uma rede externa
• Usuários com alto impacto
• Aplicativos de negócios críticos

Os controles de Acesso condicional permitem criar políticas direcionadas a casos de uso específicos na organização, sem afetar todos os usuários.

Antes de analisar detalhadamente como configurar a política, vamos examinar a configuração padrão.

Frequência de entrada do usuário

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso.

A configuração padrão do Microsoft Entra ID para a frequência de entrada do usuário é uma janela contínua de 90 dias. Solicitar credenciais aos usuários frequentemente parece uma coisa sensata a se fazer, mas o tiro pode sair pela culatra: os usuários treinados para inserir suas credenciais sem pensar podem fornecê-las involuntariamente a uma solicitação de credencial mal-intencionada.

Pode parecer alarmante não solicitar que um usuário entre novamente e, na verdade, qualquer violação das políticas de TI revogará a sessão. Alguns exemplos incluem, mas não se limitam a: uma alteração de senha, um dispositivo incompatível ou uma desabilitação de conta. Você também pode revogar as sessões de usuários explicitamente usando o PowerShell. A configuração padrão do Microsoft Entra é “não solicitar que os usuários forneçam suas credenciais se a postura de segurança de suas sessões não tiver sido alterada”.

A configuração da frequência de entrada funciona com aplicativos que tenham implementado os protocolos OAuth2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e Celular, incluindo os aplicativos Web a seguir, está em conformidade com a configuração.

• Word, Excel, PowerPoint Online
• OneNote Online
• Office.com
• Portal de administração do Microsoft 365
• Exchange Online
• SharePoint e OneDrive
• Cliente Web do Teams
• Dynamics CRM Online
• Portal do Azure

A configuração da frequência de entrada também funciona com aplicativos SAML de terceiros e aplicativos que tenham implementado os protocolos OAuth2 ou OIDC, desde que eles não removam os próprios cookies e sejam redirecionados periodicamente ao Microsoft Entra para autenticação.

Frequência de entrada do usuário e autenticação multifator

Anteriormente, a frequência de entrada se aplicava somente à autenticação de primeiro fator em dispositivos ingressados no Microsoft Entra, ingressados no Microsoft Entra Híbrido e registrados no Microsoft Entra. Não havia uma maneira fácil de os clientes reforçarem a autenticação multifator nesses dispositivos. Com base nos comentários dos clientes, a frequência de entrada também se aplicará à MFA.

Frequência de entrada do usuário e identidades do dispositivo

Em dispositivos ingressados no Microsoft Entra e ingressados no Microsoft Entra híbrido, desbloquear o dispositivo ou entrar de maneira interativa só atualizará o PRT (Token de Atualização Principal) a cada quatro horas. O último carimbo de data/hora de atualização registrado para PRT em comparação com o carimbo de data/hora atual deve estar dentro do tempo alocado na política SIF para PRT para atender ao SIF e conceder acesso a um PRT que tenha uma declaração de MFA existente. Em dispositivos registrados do Microsoft Entra, o desbloqueio/entrada não atenderia à política SIF porque o usuário não está acessando um dispositivo registrado do Microsoft Entra por meio de uma conta Microsoft Entra. No entanto, o plug-in Microsoft Entra WAM pode atualizar um PRT durante a autenticação de aplicativo nativo usando o WAM.

Observação: o carimbo de data/hora capturado do logon do usuário não é necessariamente o mesmo que o último carimbo de data/hora registrado da atualização do PRT devido ao ciclo de atualização de 4 horas. O caso é o mesmo quando um PRT expirou e um log-in de usuário o atualiza por 4 horas. Nos exemplos a seguir, suponha que a política SIF esteja definida como 1 hora e o PRT seja atualizado às 00:00.

Exemplo 1: quando você continua a trabalhar no mesmo documento no SPO por uma hora

• À 00:00, um usuário entra em seu dispositivo ingressado no Microsoft Entra do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
• O usuário continua trabalhando no mesmo documento em seu próprio dispositivo por uma hora.
• À 01:00, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada na política de Acesso condicional configurada pelo administrador.

Exemplo 2: ao pausar o trabalho com uma tarefa em segundo plano em execução no navegador, interaja novamente após o tempo de política SIF ter passado

• À 00:00, um usuário entra em seu dispositivo ingressado no Microsoft Entra do Windows 10 e inicia o upload de um documento no SharePoint Online.
• À 00:10, o usuário se levanta e faz um intervalo, bloqueando o dispositivo. O upload em segundo plano continua no SharePoint Online.
• Às 02:45, o usuário retorna do intervalo e desbloqueia o dispositivo. O upload em segundo plano mostra a conclusão.
• Às 02:45, o usuário é solicitado a entrar quando interagir novamente com base no requisito de frequência de entrada da política de Acesso condicional configurada pelo administrador, uma vez que a última entrada ocorreu à 00:00.

Se o aplicativo cliente (em detalhes da atividade) for um Navegador, adiaremos a imposição de frequência de entrada de eventos/políticas nos serviços em segundo plano até a próxima interação do usuário.   

Exemplo 3: com ciclo de atualização de quatro horas do token de atualização principal do desbloqueio

Cenário 1 – O usuário retorna dentro do ciclo

• À 00:00, um usuário entra em seu dispositivo ingressado no Microsoft Entra do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
• À 00:30, o usuário se levanta e faz um intervalo, bloqueando o dispositivo.
• À 00:45, o usuário retorna do intervalo e desbloqueia o dispositivo.
• À 01:00, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada da política de Acesso condicional configurada pelo administrador, 1 hora após a entrada inicial.

Cenário 2 – O usuário retorna um ciclo externo

• À 00:00, um usuário entra em seu dispositivo ingressado no Microsoft Entra do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
• À 00:30, o usuário se levanta e faz um intervalo, bloqueando o dispositivo.
• Às 04:45, o usuário retorna do intervalo e desbloqueia o dispositivo.
• À 05:45, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada da política de Acesso condicional configurada pelo administrador, 1 hora depois que o PRT foi atualizado às 04:45 (mais de 4hrs após a entrada inicial às 00:00).

Sempre exigir reautenticação

Há cenários em que os clientes podem querer exigir uma nova autenticação, sempre antes que um usuário executar ações específicas. A frequência de entrada tem uma nova opção para Sempre, além de horas ou dias.

Cenários com suporte:

• Exigir a reautenticação do usuário durante o registro de dispositivo Intune, independentemente do status atual da MFA.
• Exigir a reautenticação do usuário para usuários suspeitos com o controle de concessão de alteração de senha necessária.
• Exigir a reautenticação do usuário para entradas suspeitas com o controle de concessão de autenticação multifator necessária.

Quando os administradores selecionarem Sempre, isso exigirá reautenticação total quando a sessão for avaliada.

Persistência de sessões de navegação

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

O padrão do Microsoft Entra para persistência de sessão de navegador permite que os usuários em dispositivos pessoais escolham se desejam manter a sessão mostrando a solicitação “Permanecer conectado?” após a autenticação bem-sucedida. Se a persistência do navegador estiver configurada no AD FS usando as diretrizes no artigo Configurações de logon único do AD FS, também vamos obedecer a essa política e persistir a sessão do Microsoft Entra. Você também pode definir se os usuários em seu locatário visualizam a solicitação “Permanecer conectado?” prompt alterando a configuração apropriada no painel de identidade visual da empresa.

Em navegadores persistentes, os cookies permanecem armazenados no dispositivo do usuário mesmo depois que um usuário fecha o navegador. Esses cookies podem ter acesso a artefatos do Microsoft Entra e esses artefatos podem ser usados até que o token expire, independentemente das políticas de Acesso Condicional colocadas no ambiente de recursos. Portanto, o cache de token pode estar violando diretamente as políticas de segurança desejadas para autenticação. Embora possa parecer conveniente armazenar tokens além da sessão atual, isso pode criar uma vulnerabilidade de segurança permitindo o acesso não autorizado a artefatos do Microsoft Entra.

Configurar controles da sessão de autenticação

Acesso Condicional é um recurso do Microsoft Entra ID P1 ou P2 e requer uma licença Premium. Se você quiser saber mais sobre Acesso Condicional, consulte O que é Acesso Condicional no Microsoft Entra ID?

Aviso

Se você estiver usando o recurso de tempo de vida de token configurável, atualmente em versão preliminar pública, observe que não há suporte para a criação de duas políticas diferentes para a mesma combinação de usuário ou aplicativo: uma com esse recurso e outra com o recurso de tempo de vida de token configurável. A Microsoft desativou o recurso de tempo de vida de token configurável para atualização e tempos de vida de token de sessão em 30 de janeiro de 2021, substituindo-o pelo recurso de gerenciamento de sessão de autenticação de Acesso Condicional.

Antes de habilitar a Frequência de Entrada, verifique se outras configurações de reautenticação estão desabilitadas em seu locatário. Se "Lembrar MFA em dispositivos confiáveis" estiver habilitado, certifique-se de desabilitá-lo antes de usar a Frequência de Entrada, pois usar essas duas configurações em conjunto pode levar à solicitação de usuários inesperadamente. Para saber mais sobre solicitações de reautenticação e tempo de vida da sessão, consulte o artigo Otimizar solicitações de reautenticação e entender o tempo de vida da sessão para a autenticação multifator do Microsoft Entra.

Implantação de política

Para garantir que sua política funcione conforme o esperado, a melhor prática é testá-la antes de distribuí-la em produção. O ideal é usar um locatário de teste para verificar se a nova política funciona conforme o esperado. Para obter mais informações, consulte o artigo Planejar uma implantação de Acesso Condicional.

Política 1: Controle de frequência de entrada

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, um Administrador de Acesso Condicional.

2. Navegue até Proteção>Acesso Condicional.

3. Selecione Criar nova política.

4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

   Observação

   É recomendável definir a frequência de solicitação de autenticação igual para os principais aplicativos do Microsoft Office, como o Exchange Online e o SharePoint Online para uma melhor experiência do usuário.

6. Em Controles de acesso>Sessão.

   1. Selecione Frequência de entrada.
      1. Escolha a Reautenticação periódica e insira um valor de horas ou dias ou selecione Sempre.

7. Salve sua política.

   

Política 2: Sessão persistente do navegador

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, um Administrador de Acesso Condicional.

2. Navegue até Proteção>Acesso Condicional.

3. Selecione Criar nova política.

4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

5. Escolha todas as condições necessárias.

   Observação

   Observe que esse controle exige que você escolha "Todos os Aplicativos de Nuvem" como uma condição. A persistência da sessão do navegador é controlada pelo token de sessão de autenticação. Todas as guias em uma sessão de navegador compartilham um único token de sessão e, portanto, todas precisam compartilhar o estado de persistência.

6. Em Controles de acesso>Sessão.

   1. Selecione Sessão de navegador persistente.

      Observação

      A configuração de Sessão Persistente de Navegador no Acesso Condicional do Microsoft Entra substitui a configuração “Continuar conectado?” configuração no painel de marca da empresa para o mesmo usuário se você tiver configurado ambas as políticas.

   2. Selecione um valor no menu suspenso.

7. Salve sua política.

Política 3: Usar o controle de frequência de entrada sempre com um usuário suspeito

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, um Administrador de Acesso Condicional.
2. Navegue até Proteção>Acesso Condicional.
3. Selecione Criar nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
   3. Selecione Concluído.
6. Em Recursos de destino>Aplicativos de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
7. Em Condições>Risco do usuário, defina Configurar como Sim. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto e, em seguida, selecione Concluído.
8. Em Controles de acesso>Conceder, selecione Conceder acesso, Solicitar alteração de senha e escolha Selecionar.
9. Em Controles de sessão>Frequência de entrada, selecione Sempre.
10. Confirme suas configurações e defina Habilitar política com Somente relatório.
11. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem suas configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Validação

Use a ferramenta What If para simular uma entrada de usuário no aplicativo de destino e outras condições com base na forma como você configurou a política. Os controles de gerenciamento de sessão de autenticação aparecem nos resultados da ferramenta.

Tolerância de prompt

Fatoramos para cinco minutos de distorção do relógio, de modo que não solicitamos aos usuários com mais frequência do que uma vez a cada cinco minutos. Se o usuário tiver feito a MFA nos últimos 5 minutos e atingir outra política de acesso condicional que exija reautenticação, não solicitaremos ao usuário. A solicitação excessiva de usuários para reautenticação pode afetar a produtividade deles e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. Use "Frequência de entrada – Sempre" apenas para necessidades comerciais específicas.

Problemas conhecidos

• Se você configurar a frequência de entrada para dispositivos móveis: a autenticação após cada intervalo de frequência de entrada pode ser lenta, levando 30 segundos em média. Isso também pode acontecer em vários aplicativos ao mesmo tempo.
• Em dispositivos iOS: se um aplicativo configurar certificados como o primeiro fator de autenticação e tiver a frequência de entrada e as políticas de gerenciamento de aplicativo móvel do Intune aplicadas, os usuários finais serão impedidos de entrar no aplicativo quando a política for disparada.

Próximas etapas

• Se você estiver pronto para configurar as políticas de acesso condicional para seu ambiente, confira o artigo Planejar uma implantação de acesso condicional.