Configurar gestão de sessão de autenticação com Acesso Condicional

Em implementações complexas, as organizações podem ter a necessidade de restringir as sessões de autenticação. Alguns cenários podem incluir:

  • Acesso a recursos a partir de um dispositivo não gerido ou partilhado
  • Acesso a informação sensível a partir de uma rede externa
  • Utilizadores de alto impacto
  • Aplicações empresariais críticas

Os controlos de acesso condicional permitem-lhe criar políticas que direcionem casos específicos de utilização dentro da sua organização sem afetar todos os utilizadores.

Antes de mergulhar em detalhes sobre como configurar a política, vamos examinar a configuração padrão.

Frequência de inscrição do utilizador

A frequência de início de sessão define o período de tempo antes de ser pedido a um utilizador que inicie sessão novamente quando tentar aceder a um recurso.

A configuração padrão do Azure Ative Directory (Azure AD) para a frequência de inscrição do utilizador é uma janela rolante de 90 dias. Pedir credenciais aos utilizadores muitas vezes parece uma coisa sensata a fazer, mas pode dar a volta por cima: os utilizadores que são treinados para introduzir as suas credenciais sem pensar podem fornecer-lhes involuntariamente uma solicitação de credencial maliciosa.

Pode parecer alarmante não pedir a um utilizador que volte a entrar, na realidade qualquer violação das políticas de TI irá revogar a sessão. Alguns exemplos incluem (mas não se limitam a) uma alteração de palavra-passe, um dispositivo incompatível ou desativação de conta. Também pode revogar explicitamente as sessões dos utilizadores utilizando o PowerShell. A configuração Azure AD padrão resume-se a "não pedir aos utilizadores que forneçam as suas credenciais se a postura de segurança das suas sessões não tiver mudado".

A definição de frequência de início funciona com aplicações que implementaram protocolos OAuth2 ou OIDC de acordo com as normas. A maioria das aplicações nativas da Microsoft para Windows, Mac e Mobile, incluindo as seguintes aplicações web, cumprem a definição.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal Administração Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Teams cliente web
  • Dynamics CRM Online
  • Portal do Azure

A definição de frequência de inscrição funciona com aplicações e aplicações SAML de terceiros que implementaram protocolos OAuth2 ou OIDC, desde que não larguem os seus próprios cookies e sejam redirecionados de volta para Azure AD para autenticação regularmente.

Frequência de inscrição do utilizador e autenticação multifactor

A frequência de entrada aplicada anteriormente apenas à primeira autenticação de fatores em dispositivos Azure AD aderidos, a Hybrid Azure AD aderiu e Azure AD registada. Não era fácil para os nossos clientes reefetecem a autenticação multifactor (MFA) nesses dispositivos. Com base no feedback do cliente, a frequência de inscrição também se aplicará a MFA.

Assine na frequência e MFA

Frequência de inscrição do utilizador e identidades do dispositivo

No Azure AD aderiram, Azure AD híbridos unidos, ou Azure AD dispositivos registados, desbloquear o dispositivo ou assinar interativamente irá satisfazer a política de frequência de inscrição. Nos dois exemplos, a frequência de inscrição do utilizador é definida em 1 hora:

Exemplo 1:

  • Às 00:00, um utilizador assina o seu Windows 10 Azure AD dispositivo de alistamento e começa a trabalhar num documento armazenado no SharePoint Online.
  • O utilizador continua a trabalhar no mesmo documento no seu dispositivo durante uma hora.
  • Às 01:00, o utilizador é solicitado a iniciar novamente a sedência com base no requisito de frequência de inscrição na política de Acesso Condicional configurado pelo seu administrador.

Exemplo 2:

  • Às 00:00, um utilizador assina o seu Windows 10 Azure AD dispositivo de alistamento e começa a trabalhar num documento armazenado no SharePoint Online.
  • Às 00:30, o utilizador levanta-se e faz uma pausa para bloquear o dispositivo.
  • Às 00:45, o utilizador regressa da pausa e desbloqueia o dispositivo.
  • Às 01:45, o utilizador é solicitado a iniciar novamente a s inscrição com base no requisito de frequência de inscrição na política de Acesso Condicional configurado pelo seu administrador desde que a última inscrição aconteceu às 00:45.

Requerem a reauthentication todas as vezes

Existem cenários em que os clientes podem querer exigir uma nova autenticação, sempre que um utilizador realiza ações específicas. A frequência de inscrição tem uma nova opção para cada vez , além de horas ou dias.

Cenários apoiados:

Quando os administradores selecionam cada vez, será necessário uma reaustração completa quando a sessão for avaliada.

Persistência das sessões de navegação

Uma sessão de browser persistente permite que os utilizadores mantenham a sessão iniciada depois de abrirem e fecharem a janela do browser.

O Azure AD por defeito para a persistência da sessão do navegador permite que os utilizadores em dispositivos pessoais escolham se persistem na sessão mostrando um "Stay signed in?" pronta após a autenticação bem sucedida. Se a persistência do navegador estiver configurada em AD FS usando a orientação no artigo AD FS única definição de sessão de acesso, vamos cumprir essa política e persistir a sessão de Azure AD também. Também pode configurar se os utilizadores do seu inquilino vêem o "Stay signed in?" pronta alterando a definição adequada no painel de marca da empresa.

Configurar controlos de sessão de autenticação

O Acesso Condicional é uma capacidade Azure AD Premium e requer uma licença premium. Se quiser saber mais sobre o Acesso Condicional, veja o que é o Acesso Condicional no Diretório Ativo Azure?

Aviso

Se estiver a utilizar a funcionalidade de vida útil de token configurável atualmente em visualização pública, por favor, note que não suportamos a criação de duas políticas diferentes para o mesmo utilizador ou combinação de aplicações: uma com esta funcionalidade e outra com uma funcionalidade de vida simbólica. A Microsoft retirou a funcionalidade de vida útil de token configurável para a atualização e sessão de token durante o dia 30 de janeiro de 2021 e substituiu-a pela funcionalidade de gestão da sessão de autenticação de acesso condicional.

Antes de ativar a frequência de inscrição, certifique-se de que outras definições de reauthenciacation estão desativadas no seu inquilino. Se estiver ativado "Remember MFA em dispositivos fidedignos", certifique-se de desativá-lo antes de utilizar a frequência de início de sposição, uma vez que utilizar estas duas definições em conjunto pode levar a que os utilizadores sejam inesperadamente informados. Para saber mais sobre pedidos de reauthentication e vida útil da sessão, consulte o artigo, otimize as solicitações de reauestação e compreenda a vida útil da sessão para Azure AD Autenticação Multifactor.

Implementação da Política

Para garantir que a sua política funciona como esperado, as melhores práticas recomendadas são testá-la antes de a lançar para a produção. Idealmente, use um inquilino de teste para verificar se a sua nova apólice funciona como pretendido. Para mais informações, consulte o artigo Planear uma implementação de Acesso Condicional.

Política 1: Controlo de frequência de inscrição

  1. Inscreva-se no portal do Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue para o Azure Ative Directory>Security>Conditional Access.

  3. Selecione Nova política.

  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.

  5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo as aplicações de nuvem-alvo.

    Nota

    Recomenda-se definir a frequência de pedido de autenticação igual para as principais aplicações do Microsoft Office, como Exchange Online e SharePoint Online para melhor experiência do utilizador.

  6. No âmbito do Access Controls>Session.

    1. Selecione a frequência de inscrição.
      1. Escolha a reauferição periódica e introduza um valor de horas ou dias ou selecione Todas as vezes.
  7. Guarde a sua apólice.

    Política de acesso condicional configurada para a frequência de inscrição

Política 2: Sessão de navegador persistente

  1. Inscreva-se no portal do Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue para o Azure Ative Directory>Security>Conditional Access.

  3. Selecione Nova política.

  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.

  5. Escolha todas as condições necessárias.

    Nota

    Por favor, note que este controlo requer escolher "All Cloud Apps" como condição. A persistência da sessão de navegador é controlada por token de sessão de autenticação. Todos os separadores de uma sessão de navegador partilham um token de uma única sessão e, portanto, todos devem partilhar o estado de persistência.

  6. No âmbito do Access Controls>Session.

    1. Selecione a sessão de navegador persistente.

      Nota

      A configuração persistente da Sessão de Navegador em Azure AD Acesso Condicional substitui o "Stay signed in?" a definição no painel de marca da empresa no portal do Azure para o mesmo utilizador se tiver configurado ambas as políticas.

    2. Selecione um valor a partir do dropdown.

  7. Guarde a sua apólice.

Política 3: Controlo de frequência de inscrição sempre que o utilizador arriscado

  1. Inscreva-se no portal do Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.
  2. Navegue para o Azure Ative Directory>Security>Conditional Access.
  3. Selecione Nova política.
  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.
  5. Em Atribuições, selecione Utilizadores ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os utilizadores.
    2. Em 'Excluir', selecione Utilizadores e grupos e escolha as contas de acesso de emergência ou break-glass da sua organização.
    3. Selecione Concluído.
  6. Em aplicativos ou ações> cloudInclua, selecione todas as aplicações na nuvem.
  7. Em Condições>Risco do utilizador, definir Configurar para Sim. Ao abrigo da configuração dos níveis de risco do utilizador necessários para que a política seja aplicada selecioneHigh e, em seguida, selecione Feito.
  8. Sob controlos de acesso>Grant, selecione o acesso ao Grant, exija alterar a palavra-passe e selecione Select.
  9. Em Sessão controla>a frequência de inscrição, selecione Todas as vezes.
  10. Confirme as suas definições e defina Ativar a políticaapenas para reportar.
  11. Selecione Criar para criar para ativar a sua política.

Depois de os administradores confirmarem as suas definições utilizando o modo apenas de relatório, podem mover a política Enable para alternar do Relatório apenas para On.

Validação

Utilize a ferramenta What If para simular uma entrada do utilizador para a aplicação alvo e outras condições com base na configuração da sua política. Os controlos de gestão da sessão de autenticação aparecem no resultado da ferramenta.

Tolerância rápida

Consideramos cinco minutos de distorção do relógio, para que não indiquemos os utilizadores mais vezes do que uma vez a cada cinco minutos. Se o utilizador tiver feito MFA nos últimos 5 minutos, e atingir outra política de Acesso Condicional que requer a reauferição, não iremos pedir ao utilizador. Os utilizadores que promovam excessivamente a reauferição podem ter impacto na sua produtividade e aumentar o risco de os utilizadores aprovarem pedidos de MFA que não iniciaram. Utilize "Frequência de entrada – todas as vezes" apenas para necessidades específicas do negócio.

Problemas conhecidos

  • Se configurar a frequência de inscrição para dispositivos móveis: A autenticação após cada intervalo de frequência de início pode ser lenta, pode demorar 30 segundos, em média. Além disso, pode acontecer em várias aplicações ao mesmo tempo.
  • Nos dispositivos iOS: Se uma aplicação configurar os certificados como o primeiro fator de autenticação e a aplicação tiver tanto a frequência de início como Intune políticas de gestão de aplicações móveis aplicadas, os utilizadores finais ficam impedidos de iniciar sessão na app quando a política é desencadeada.

Passos seguintes