Acesso condicional: Padrões de resiliência

  • Artigo

Se houver uma interrupção do serviço de autenticação primária, o serviço de autenticação de backup do Microsoft Entra poderá emitir tokens de acesso automaticamente para os aplicativos para sessões existentes. Esta funcionalidade aumenta significativamente a resiliência do Microsoft Entra, porque as reautenticações para sessões existentes representam mais de 90% das autenticações para o Microsoft Entra ID. O serviço de autenticação de backup não dá suporte a novas sessões ou autenticações feitas por usuários convidados.

Para autenticações protegidas pelo acesso condicional, as políticas são reavaliadas antes que os tokens de acesso sejam emitidos para determinar:

  1. Quais políticas de acesso condicional aplicar?
  2. Para políticas que se aplicarem, os controles necessários foram satisfeitos?

Durante uma interrupção, nem todas as condições podem ser avaliadas em tempo real pelo serviço de autenticação de backup para determinar se uma política de acesso condicional deve ser aplicada. Os padrões de resiliência de Acesso Condicional são um novo controle de sessão, que permite que os administradores decidam entre:

  • Bloquear as autenticações durante uma interrupção, sempre que uma condição de política não puder ser avaliada em tempo real.
  • Permitir que as políticas sejam avaliadas usando os dados coletados no início da sessão do usuário.

Importante

Os padrões de resiliência são habilitados automaticamente para todas as políticas, tanto as novas quanto as já existentes, e a Microsoft recomenda deixá-los habilitados para atenuar o impacto de uma interrupção. Os administradores podem desabilitar os padrões de resiliência para políticas de acesso condicional individuais.

Como ele funciona?

Durante uma interrupção, o serviço de autenticação de backup reemitirá automaticamente tokens de acesso para determinadas sessões:

Descrição da sessão Acesso concedido
Nova sessão Não
Sessão existente – Nenhuma política de acesso condicional está configurada Sim
Sessão existente – as políticas de acesso condicional configuradas e os controles necessários, como a MFA, foram atendidas anteriormente Sim
Sessão existente – as políticas de acesso condicional configuradas e os controles necessários, como a MFA, não foram atendidas anteriormente Determinado por padrões de resiliência

Quando uma sessão existente expira durante uma interrupção do Microsoft Entra, a solicitação de um novo token de acesso é encaminhado para o Serviço de Autenticação de Backup e todas as políticas de Acesso Condicional são reavaliadas. Se não houver nenhuma política de acesso condicional ou todos os controles necessários, como a MFA, foram previamente atendidos no início da sessão, o serviço de autenticação de backup emitirá um novo token de acesso para estender a sessão.

Se os controles necessários de uma política não foram atendidos anteriormente, a política será reavaliada para determinar se o acesso deve ser concedido ou negado. No entanto, nem todas as condições podem ser reavaliadas em tempo real durante uma interrupção. Essas condições incluem:

  • Associação de grupo
  • Associação de Função
  • Risco de entrada
  • Risco do usuário
  • Localização do país/região (resolução de novas coordenadas de IP ou GPS)
  • Forças da autenticação

Quando ativo, o Serviço de Autenticação de Backup não avalia os métodos de autenticação exigidos pelas forças da autenticação. Se você usar um método de autenticação não resistente a phishing antes de uma interrupção, durante uma interrupção, você não precisará fazer a autenticação multifator, mesmo se acessar um recurso protegido por uma política de acesso condicional com uma força de autenticação resistente a phishing.

Padrões de resiliência habilitados

Quando os padrões de resiliência estão habilitados, o serviço de autenticação de backup usa os dados coletados no início da sessão para avaliar, na ausência de dados em tempo real, se a política deve ser aplicada. Por padrão, todas as políticas têm os padrões de resiliência habilitados. A configuração pode ser desabilitada para políticas individuais quando a avaliação da política em tempo real for necessária para o acesso a aplicativos confidenciais durante uma interrupção.

Exemplo: uma política com padrões de resiliência habilitados requer que todos os usuários tenham uma função com privilégios acessando portais de administração da Microsoft para fazer MFA. Antes de uma interrupção, se um usuário que não recebe um função Administrador acessar o portal do Azure, a política não se aplicará e o usuário receberá o acesso sem ser solicitado a realizar a MFA. Durante uma interrupção, o serviço de autenticação de backup reavalia a política para determinar se o usuário deve ser solicitado a realizar a MFA. Como o serviço de autenticação de backup não pode avaliar a associação de função em tempo real, ele usa os dados coletados no início da sessão do usuário para determinar se a política ainda não deverá ser aplicada. Como resultado, o usuário receberia o acesso sem ser solicitado pela MFA.

Padrões de resiliência desabilitados

Quando os padrões de resiliência estiverem desabilitados, o serviço de autenticação de backup não usará os dados coletados no início da sessão para avaliar as condições. Durante uma interrupção, se uma condição de política não puder ser avaliada em tempo real, o acesso é negado.

Exemplo: uma política com padrões de resiliência desabilitada requer que todos os usuários tenham uma função privilegiada acessando os portais de administração da Microsoft para fazer MFA. Antes de uma interrupção, se um usuário que não recebe um função Administrador acessar o portal do Azure, a política não se aplicará e o usuário receberá o acesso sem ser solicitado a realizar a MFA. Durante uma interrupção, o serviço de autenticação de backup reavalia a política para determinar se o usuário deve ser solicitado a realizar a MFA. Como o serviço de autenticação de backup não pode avaliar a associação de função em tempo real, ele impede que o usuário acesse o portal do Azure.

Aviso

Desabilitar os padrões de resiliência de uma política que se aplica a um grupo ou função reduzirá a resiliência para todos os usuários em seu locatário. Como a associação de grupo e de função não podem ser avaliadas em tempo real durante uma interrupção, até mesmo os usuários que não pertencem ao grupo ou à função na atribuição de política terão o acesso negado ao aplicativo no escopo da política. Para evitar a redução da resiliência para todos os usuários que não estejam no escopo da política, considere aplicar a política a usuários individuais em vez de grupos ou funções.

Testando padrões de resiliência

No momento, não é possível conduzir uma simulação usando o serviço de autenticação de backup, nem simular o resultado de uma política com padrões de resiliência habilitados ou desabilitados. O Microsoft Entra realiza exercícios mensais usando o Serviço de Autenticação de Backup. Os logs de início de sessão são exibidos se o Serviço de Autenticação de Backup for usado para emitir o token de acesso. Na folha Identidade>Monitoramento e integridade>Logs de Entrada, você pode adicionar o filtro "Tipo de emissor de token == Autenticação de Backup do Microsoft Entra " para exibir os logs processados pelo serviço de Autenticação de Backup do Microsoft Entra.

Configurar padrões de resiliência

Você pode configurar padrões de resiliência de acesso condicional pelo centro de administração do Microsoft Entra, pelas APIs do Graph ou pelo PowerShell.

Centro de administração Microsoft Entra

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Crie uma nova política ou selecione uma já existente
  4. Abra as Configurações de controle de sessão
  5. Selecione Desabilitar padrões de resiliência para desabilitar a configuração dessa política. Os inícios de sessão no escopo da política serão bloqueados durante uma interrupção do Microsoft Entra
  6. Salvas as alterações na política

APIs do Graph

Você também pode gerenciar padrões de resiliência para suas políticas de acesso condicional usando a API do Graph e o Microsoft Graph Explorer.

Exemplo de URL da solicitação:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Exemplo de corpo da solicitação:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Essa operação de patch pode ser implantada usando o Microsoft PowerShell após a instalação do módulo Microsoft.Graph.Authentication. Para instalar este módulo, abra um prompt do PowerShell com privilégios elevados e execute

Install-Module Microsoft.Graph.Authentication

Conecte-se ao Microsoft Graph, solicitando os escopos necessários:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Faça a autenticação quando solicitado.

Crie o corpo JSON para a solicitação de PATCH:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Execute a operação de patch:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Recomendações

A Microsoft recomenda habilitar padrões de resiliência. Embora não haja nenhuma preocupação direta quanto à segurança, os clientes devem avaliar se desejam permitir que o serviço de autenticação de backup avalie as políticas de acesso condicional durante uma interrupção usando os dados coletados no início da sessão, em vez de em tempo real.

É possível que a função ou associação de grupo de um usuário possa ter sido alterada desde o início da sessão. Com a CAE (avaliação contínua de acesso), os tokens de acesso são válidos por 24 horas, mas ficam sujeitos a eventos de revogação instantânea. O serviço de autenticação de backup assina os mesmos eventos de revogação de CAE. Se o token de um usuário for revogado como parte da CAE, o usuário não poderá entrar durante uma interrupção. Quando os padrões de resiliência são habilitados, as sessões existentes que expirarem durante uma interrupção serão estendidas. As sessões serão estendidas mesmo que a política tenha sido configurada com um controle de sessão para impor uma frequência de entrada. Por exemplo, uma política com padrões de resiliência habilitados pode exigir que os usuários façam a autenticação novamente a cada hora para acessar um site do SharePoint. Durante uma interrupção, a sessão do usuário seria estendida, embora o Microsoft Entra ID possa não estar disponível para autenticar o usuário novamente.

Próximas etapas