Políticas de tempo de vida de sessão adaptativas do Acesso Condicional

Visão geral

As políticas de tempo de vida de sessão adaptável de Acesso Condicional permitem que as organizações restrinjam sessões de autenticação em implantações complexas. Os cenários incluem:

  • Acesso a recursos de um dispositivo não gerenciado ou compartilhado
  • Acesso a informações confidenciais de uma rede externa
  • Usuários de alto impacto
  • Aplicativos de negócios críticos

O Acesso Condicional fornece controles de política de tempo de vida de sessão adaptáveis, para que você possa criar políticas direcionadas a casos de uso específicos em sua organização sem afetar todos os usuários.

Antes de explorar como configurar a política, examine a configuração padrão.

Frequência de entrada do usuário

A frequência de entrada especifica por quanto tempo um usuário pode acessar um recurso antes de ser solicitado a entrar novamente.

A configuração padrão do Microsoft Entra ID para a frequência de entrada do usuário é uma janela contínua de 90 dias. Pode parecer sensato pedir credenciais aos usuários com frequência, mas essa abordagem pode ter o efeito contrário. Usuários que habitualmente inserem credenciais sem pensar podem, sem querer, fornecê-las a solicitações maliciosas.

Não pedir a um usuário para entrar novamente pode parecer alarmante, mas qualquer violação de política de TI revoga a sessão. Exemplos incluem uma alteração de senha, um dispositivo não compatível ou uma conta sendo desabilitada. Você também pode revogar as sessões de usuários explicitamente usando o PowerShell do Microsoft Graph. A configuração padrão da ID do Microsoft Entra é: não peça aos usuários que forneçam suas credenciais se a postura de segurança de suas sessões não tiver sido alterada.

A configuração da frequência de entrada funciona com aplicativos que tenham implementado os protocolos OAuth2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft, como os do Windows, Mac e Mobile, incluindo os seguintes aplicativos Web, está em conformidade com a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • portal do Azure

A frequência de login (SIF) funciona com aplicativos SAML que não sejam da Microsoft e com aplicativos que utilizem os protocolos OAuth2 ou OIDC, desde que não armazenem seus próprios cookies e redirecionem regularmente de volta ao Microsoft Entra ID para autenticação.

Frequência de entrada do usuário e autenticação multifator

Anteriormente, a frequência de login se aplicava apenas à autenticação de primeiro fator em dispositivos integrados ao Microsoft Entra, integrados de forma híbrida e registrados. Você não poderia reforçar facilmente a autenticação multifator nesses dispositivos. Com base nos comentários dos clientes, a frequência de entrada agora também se aplica à autenticação multifator (MFA).

Um diagrama mostrando como a frequência de login e a Autenticação Multifator funcionam juntas.

Frequência de entrada do usuário e identidades do dispositivo

Em dispositivos integrados ao Microsoft Entra e dispositivos integrados de forma híbrida, desbloquear o dispositivo ou fazer login interativamente atualiza o Token de Atualização Primário (PRT) a cada quatro horas. O último carimbo de data/hora de atualização registrado para o PRT em comparação com o carimbo de data/hora atual deve estar dentro do tempo alocado na política SIF para que o PRT satisfaça o SIF e conceda acesso a um PRT que tenha uma declaração de MFA existente. Em dispositivos registrados do Microsoft Entra, desbloquear ou entrar não atende à política SIF porque o usuário não está acessando um dispositivo registrado do Microsoft Entra por meio de uma conta do Microsoft Entra. No entanto, o plug-in Microsoft Entra WAM pode atualizar um PRT durante a autenticação de aplicativos nativos usando o WAM.

Observação

O carimbo de data/hora registrado no momento do login do usuário não é necessariamente o mesmo que o último carimbo de data/hora registrado na atualização do PRT, devido ao ciclo de atualização de quatro horas. Isso ocorre quando o PRT expira e o login do usuário o renova por quatro horas. Nos exemplos a seguir, suponha que a política SIF seja definida como uma hora e que o PRT seja atualizado às 00:00.

Exemplo 1: quando você continua a trabalhar no mesmo documento no SPO por uma hora

  • Às 00:00, um usuário entra no dispositivo ingressado no Microsoft Entra do Windows 11 e começa a trabalhar em um documento armazenado no SharePoint Online.
  • O usuário continua trabalhando no mesmo documento em seu próprio dispositivo por uma hora.
  • À 01:00, será solicitado que o usuário entre novamente. A solicitação é baseada no requisito de frequência de autenticação definido na política de Acesso Condicional configurada pelo administrador.

Exemplo 2: quando você pausa o trabalho com uma tarefa em segundo plano em execução no navegador e, em seguida, interage novamente após o tempo da política SIF decorrido

  • Às 00:00, um usuário entra no dispositivo ingressado no Microsoft Entra do Windows 11 e começa a carregar um documento no SharePoint Online.
  • Às 00h10, o usuário bloqueia o dispositivo. O upload em segundo plano continua no SharePoint Online.
  • Às 02:45, o usuário desbloqueia o dispositivo. O upload em segundo plano mostra a conclusão.
  • Às 02:45, o usuário será solicitado a fazer login ao interagir novamente. Essa solicitação é com base no requisito de frequência de entrada da política de Acesso condicional configurada pelo administrador, uma vez que a última entrada ocorreu à 00:00.

Se o aplicativo cliente (nos detalhes da atividade) for um navegador, o sistema adia a aplicação da frequência de login de eventos e políticas nos serviços em segundo plano até a próxima interação do usuário. Em clientes confidenciais, o sistema adia a imposição da frequência de autenticações nos logins não interativos até o próximo login interativo.

Exemplo 3: com ciclo de atualização de quatro horas do token principal após desbloqueio

Cenário 1 – O usuário retorna dentro do ciclo

  • Às 00:00, um usuário faz login em seu dispositivo Windows 11 ingressado no Microsoft Entra e começa a trabalhar em um documento armazenado no SharePoint Online.
  • Às 00h30, o usuário bloqueia o dispositivo.
  • Às 00h45, o usuário desbloqueia o dispositivo.
  • À 01:00, será solicitado que o usuário entre novamente. Esse prompt é baseado no requisito de frequência de login na Política de Acesso Condicional configurada pelo administrador, uma hora após o login inicial.

Cenário 2 – O usuário retorna fora do ciclo

  • Às 00:00, um usuário faz login em seu dispositivo Windows 11 ingressado no Microsoft Entra e começa a trabalhar em um documento armazenado no SharePoint Online.
  • Às 00h30, o usuário bloqueia o dispositivo.
  • Às 04:45, o usuário desbloqueia o dispositivo.
  • Às 05:45, será solicitado que o usuário entre novamente. A solicitação é baseada no requisito de frequência de autenticação definido na política de Acesso Condicional configurada pelo administrador. Já se passou uma hora desde que o PRT foi atualizado às 04h45, e mais de quatro horas desde o login inicial às 00h00.

Sempre exigir reautenticação

Em alguns cenários, talvez você queira exigir uma nova autenticação sempre que um usuário executar ações específicas, como:

  • Acessar aplicativos confidenciais.
  • Proteger recursos por meio de provedores de VPN ou Redes como Serviço (NaaS).
  • Proteger a elevação de privilégios de uma função no PIM.
  • Proteger as entradas de usuário em computadores da Área de Trabalho Virtual do Azure.
  • Proteger usuários de risco e logons de risco identificados pela Microsoft Entra ID Protection.
  • Protegendo ações confidenciais do usuário, como o registro do Microsoft Intune.

Quando você seleciona Todas as vezes, a política requer reautenticação total quando a sessão é avaliada. Esse requisito significa que, se o usuário fechar e abrir o navegador durante o tempo de vida da sessão, ele poderá não ser solicitado a autenticar novamente. Definir a frequência de login para “sempre” funciona melhor quando o recurso possui a lógica necessária para identificar quando um cliente deve obter um novo token. Esses recursos redirecionam o usuário de volta para o Microsoft Entra somente depois que a sessão expirar.

Limite o número de aplicativos que impõem uma política que exige que os usuários reautentiquem todas as vezes. Disparar a reautenticação com muita frequência pode aumentar a fricção de segurança a tal ponto que os usuários experimentem fadiga de MFA e abram a porta para phishing. Os aplicativos Web geralmente fornecem uma experiência menos disruptiva do que suas versões para desktop quando a exigência de reautenticação sempre está habilitada. A política leva em conta um desvio de cinco minutos no relógio sempre que a opção “a qualquer hora” é selecionada, de modo que não exiba solicitações aos usuários com frequência superior a uma vez a cada cinco minutos.

Aviso

Usar a frequência de logon para exigir a reautenticação todas as vezes, sem autenticação multifator, pode resultar em um ciclo de logon para seus usuários.

Persistência de sessões de navegação

Uma sessão persistente do navegador permite que os usuários permaneçam conectados após o fechamento e a reabertura da janela do navegador.

A configuração padrão do Microsoft Entra ID para a persistência da sessão no navegador permite que os usuários em dispositivos pessoais decidam se desejam manter a sessão ativa, exibindo a mensagem Deseja permanecer conectado? após a autenticação bem-sucedida. Se você configurar a persistência do navegador no AD FS seguindo as diretrizes nas configurações de logon único do AD FS, a política será seguida e a sessão do Microsoft Entra também será mantida. Você configura se os usuários em seu locatário veem o aviso Permanecer conectado? ao alterar a configuração apropriada no painel de identidade visual da empresa.

Em navegadores persistentes, os cookies permanecem armazenados no dispositivo do usuário mesmo após o navegador ser fechado. Esses cookies podem acessar artefatos do Microsoft Entra, que permanecem utilizáveis até a expiração do token, independentemente das políticas de Acesso Condicional aplicadas ao ambiente de recursos. Portanto, o cache de token pode estar violando diretamente as políticas de segurança desejadas para autenticação. Armazenar tokens além da sessão atual pode parecer conveniente, mas pode criar uma vulnerabilidade de segurança permitindo o acesso não autorizado aos artefatos do Microsoft Entra.

Configurar controles da sessão de autenticação

O Acesso Condicional é uma funcionalidade do Microsoft Entra ID P1 ou P2 que requer uma licença premium. Para obter mais informações sobre acesso condicional, consulte o que é acesso condicional na ID do Microsoft Entra?.

Aviso

Se você usar o recurso de tempo de vida do token configurável , não crie duas políticas diferentes para a mesma combinação de usuário ou aplicativo: uma com esse recurso e outra com o recurso de tempo de vida do token configurável. A Microsoft descontinuou o recurso de tempo de vida configurável para tokens de atualização e de sessão em 30 de janeiro de 2021, substituindo-o pelo recurso de gerenciamento de sessão de autenticação do Acesso Condicional.

Antes de habilitar a frequência de entrada, verifique se outras configurações de reautenticação estão desabilitadas em seu locatário. Se a opção “Lembrar MFA em dispositivos confiáveis” estiver ativada, desative-a antes de usar a frequência de login, pois a combinação dessas duas configurações pode gerar solicitações inesperadas aos usuários. Para obter mais informações sobre prompts de reautenticação e tempo de vida da sessão, consulte Otimizar prompts de reautenticação e entender o tempo de vida da sessão para a autenticação multifator do Microsoft Entra.

Próximas etapas

  • Last updated on