Avaliação contínua de acesso para o Microsoft 365
Os serviços de nuvem modernos que usam o OAuth 2.0 para autenticação tradicionalmente dependem da expiração do token de acesso para revogar o acesso de uma conta de usuário. Na prática, isso significa que, mesmo que um administrador revogue o acesso de uma conta de usuário, o usuário ainda terá acesso até que o token de acesso expire, que para o Microsoft 365 por padrão, costumava ser até uma hora após o evento de revogação inicial.
A avaliação contínua de acesso para o Microsoft 365 e o Microsoft Entra ID encerra proativamente as sessões de usuário ativas e impõe alterações na política de locatário quase em tempo real, em vez de depender da expiração do token de acesso. O Microsoft Entra ID notifica os serviços do Microsoft 365 habilitados para avaliação de acesso contínuo (como SharePoint, Teams e Exchange) quando a conta de usuário ou locatário foi alterado de uma maneira que requer reavaliação do estado de autenticação da conta de usuário.
Quando um cliente habilitado para avaliação de acesso contínuo, como o Outlook, tenta acessar o Exchange com um token de acesso existente, o token é rejeitado pelo serviço, solicitando uma nova autenticação do Microsoft Entra. O resultado é uma imposição quase em tempo real da conta de usuário e das alterações de política.
Aqui estão alguns benefícios adicionais:
Para um participante mal-intencionado que copia e exporta um token de acesso válido fora da sua organização, a avaliação de acesso contínuo impede o uso desse token por meio da política de localização do endereço IP do Microsoft Entra. Com a avaliação contínua de acesso, o Microsoft Entra ID sincroniza as políticas até os serviços do Microsoft 365 compatíveis, portanto, quando um token de acesso tenta acessar o serviço de fora do intervalo de endereços IP na política, o serviço rejeita o token.
A avaliação contínua de acesso melhora a resiliência exigindo menos atualizações de token. Como os serviços de suporte recebem notificações proativas sobre a necessidade de reautenticação, o Microsoft Entra ID pode emitir tokens de vida mais longa, por exemplo, além de uma hora. Com tokens mais longos, os clientes não precisam solicitar uma atualização de token do Microsoft Entra ID com frequência, portanto, a experiência do usuário é mais resiliente.
Aqui estão alguns exemplos de situações em que a avaliação contínua de acesso melhora a segurança do controle de acesso do usuário:
A senha de uma conta de usuário foi comprometida para que um administrador invalide todas as sessões existentes e redefina sua senha do centro de administração do Microsoft 365. Quase em tempo real, todas as sessões de usuário existentes com os serviços do Microsoft 365 são invalidadas.
Um usuário que trabalha em um documento no Word leva seu tablet para uma cafeteria pública que não está em um intervalo de endereços IP definido pelo administrador e aprovado. Na cafeteria, o acesso do usuário ao documento é bloqueado imediatamente.
No momento, para o Microsoft 365, a avaliação de acesso contínuo é compatível com:
- Serviços do Exchange, do SharePoint e do Teams.
- Outlook, Teams, Office e OneDrive em um navegador da Web e para os clientes Win32, iOS, Android e Mac.
A Microsoft está trabalhando em outros serviços e clientes do Microsoft 365 para dar suporte à avaliação contínua de acesso.
A avaliação contínua de acesso será incluída em todas as versões do Office 365 e do Microsoft 365. A configuração de políticas de Acesso Condicional requer o Microsoft Entra ID P1, que está incluído em todas as versões do Microsoft 365.
Observação
Consulte este artigo para obter as limitações da avaliação de acesso contínuo.
Cenários compatíveis com o Microsoft 365
A avaliação de acesso contínuo oferece suporte a dois tipos de eventos:
- Eventos críticos são aqueles em que um usuário deve perder o acesso.
- A avaliação da política de acesso condicional ocorre quando um usuário deve perder o acesso a um recurso com base em uma política definida pelo administrador.
Eventos críticos incluem:
- A conta de usuário está desabilitada
- A senha foi alterada
- As sessões de usuário são revogadas
- A autenticação multifator está habilitada para o usuário
- O risco de conta aumentou com base na avaliação do acesso do Proteção do Microsoft Entra ID
A avaliação da política de Acesso Condicional ocorre quando a conta de usuário não está mais se conectando de uma rede confiável.
Os seguintes serviços do Microsoft 365 atualmente dão suporte à avaliação contínua de acesso escutando eventos do Microsoft Entra ID.
| Tipo de imposição | Exchange | SharePoint | Teams |
|---|---|---|---|
| Eventos críticos: | |||
| Revogação do usuário | Com suporte | Compatível | Com suporte |
| Risco do usuário | Com suporte | Sem suporte | Com suporte |
| Avaliação da política de Acesso Condicional: | |||
| Política de local do endereço IP | Com suporte | Com suporte* | Com suporte\*\* |
* O acesso ao navegador da Web do SharePoint Office dá suporte à imposição de política de IP instantânea habilitando o modo estrito. Sem o modo estrito, o tempo de vida do token de acesso é de uma hora.
** Chamadas, reuniões e chat no Teams não estão em conformidade com políticas de acesso condicional baseadas em IP.
Para obter mais informações sobre como configurar uma política de Acesso Condicional, consulte este artigo.
Clientes do Microsoft 365 que dão suporte à avaliação contínua de acesso
Os clientes habilitados para avaliação de acesso contínuo do Microsoft 365 dão suporte a um desafio de declaração, que é um redirecionamento de uma sessão de usuário para o Microsoft Entra ID para autenticação novamente, quando um token de usuário armazenado em cache é rejeitado por um serviço Microsoft 365 habilitado para avaliação de acesso contínuo.
Os clientes a seguir dão suporte à avaliação contínua de acesso na Web, Win32, iOS, Android e Mac:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* Não há suporte para o desafio de declaração no Office para Web.
Para clientes que não dão suporte à avaliação de acesso contínuo, o tempo de vida do token de acesso para o Microsoft 365 permanece como uma hora por padrão.
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de