Acesso condicional: padrões de resiliência
Se houve uma interrupção do serviço de autenticação principal, o Serviço de Autenticação de Backup do Microsoft Entra pode emitir automaticamente tokens de acesso para aplicativos para sessões existentes. Essa funcionalidade aumenta significativamente a resiliência do Microsoft Entra, porque as reautenticações para sessões existentes representam mais de 90% das autenticações para o Microsoft Entra ID. O Serviço de Autenticação de Backup não oferece suporte a novas sessões ou autenticações por usuários convidados.
Para autenticações protegidas pelo Acesso Condicional, as políticas são reavaliadas antes que os tokens de acesso sejam emitidos para determinar:
- Que políticas de Acesso Condicional se aplicam?
- Para as políticas aplicáveis, os controlos exigidos foram cumpridos?
Durante uma interrupção, nem todas as condições podem ser avaliadas em tempo real pelo Serviço de Autenticação de Backup para determinar se uma política de Acesso Condicional deve ser aplicada. Os padrões de resiliência de Acesso Condicional são um novo controle de sessão que permite que os administradores decidam entre:
- Se as autenticações devem ser bloqueadas durante uma interrupção sempre que uma condição de política não puder ser avaliada em tempo real.
- Permitir que as políticas sejam avaliadas usando dados coletados no início da sessão do usuário.
Importante
Os padrões de resiliência são habilitados automaticamente para todas as políticas novas e existentes, e a Microsoft recomenda deixar os padrões de resiliência habilitados para mitigar o impacto de uma interrupção. Os administradores podem desativar os padrões de resiliência para políticas individuais de Acesso Condicional.
Como é que isto funciona?
Durante uma interrupção, o Serviço de Autenticação de Backup reemitirá automaticamente tokens de acesso para determinadas sessões:
| Descrição da sessão | Acesso concedido |
|---|---|
| New session | Não |
| Sessão existente – Nenhuma política de Acesso Condicional está configurada | Sim |
| Sessão existente – As políticas de Acesso Condicional configuradas e os controles necessários, como MFA, foram previamente satisfeitos | Sim |
| Sessão existente – As políticas de Acesso Condicional configuradas e os controles necessários, como MFA, não foram satisfeitos anteriormente | Determinado por padrões de resiliência |
Quando uma sessão existente expira durante uma interrupção do Microsoft Entra, a solicitação de um novo token de acesso é roteada para o Serviço de Autenticação de Backup e todas as políticas de Acesso Condicional são reavaliadas. Se não houver políticas de Acesso Condicional ou se todos os controles necessários, como MFA, tiverem sido satisfeitos anteriormente no início da sessão, o Serviço de Autenticação de Backup emitirá um novo token de acesso para estender a sessão.
Se os controles necessários de uma política não foram satisfeitos anteriormente, a política é reavaliada para determinar se o acesso deve ser concedido ou negado. No entanto, nem todas as condições podem ser reavaliadas em tempo real durante uma interrupção. Estas condições incluem:
- Associação a um grupo
- Participação na função
- Risco de início de sessão
- Risco de utilizador
- Localização do país/região (resolução de novas coordenadas IP ou GPS)
- Pontos fortes da autenticação
Quando ativo, o Serviço de Autenticação de Backup não avalia os métodos de autenticação exigidos pelos pontos fortes da autenticação. Se você usou um método de autenticação não resistente a phishing antes de uma interrupção, durante uma interrupção não será solicitado a autenticação multifator, mesmo que acesse um recurso protegido por uma política de Acesso Condicional com uma força de autenticação resistente a phishing.
Padrões de resiliência habilitados
Quando os padrões de resiliência são habilitados, o Serviço de Autenticação de Backup usa dados coletados no início da sessão para avaliar se a política deve ser aplicada na ausência de dados em tempo real. Por padrão, todas as políticas têm padrões de resiliência habilitados. A configuração pode ser desabilitada para políticas individuais quando a avaliação de políticas em tempo real for necessária para o acesso a aplicativos confidenciais durante uma interrupção.
Exemplo: uma política com padrões de resiliência habilitados exige que todos os usuários atribuídos a uma função privilegiada acessando portais de administração da Microsoft façam MFA. Antes de uma interrupção, se um usuário ao qual não é atribuída uma função de administrador acessar o portal do Azure, a política não se aplicará e o usuário receberá acesso sem ser solicitado para MFA. Durante uma interrupção, o Serviço de Autenticação de Backup reavaliaria a política para determinar se o usuário deveria ser solicitado a fornecer MFA. Como o Serviço de Autenticação de Backup não pode avaliar a associação à função em tempo real, ele usaria os dados coletados no início da sessão do usuário para determinar que a política ainda não deve ser aplicada. Como resultado, o usuário receberia acesso sem ser solicitado para MFA.
Padrões de resiliência desativados
Quando os padrões de resiliência são desabilitados, o Serviço de Autenticação de Backup não usa dados coletados no início da sessão para avaliar as condições. Durante uma interrupção, se uma condição de política não puder ser avaliada em tempo real, o acesso será negado.
Exemplo: Uma política com padrões de resiliência desabilitados exige que todos os usuários atribuídos a uma função privilegiada acessando portais de administração da Microsoft façam MFA. Antes de uma interrupção, se um usuário ao qual não é atribuída uma função de administrador acessar o portal do Azure, a política não se aplicará e o usuário receberá acesso sem ser solicitado para MFA. Durante uma interrupção, o Serviço de Autenticação de Backup reavaliaria a política para determinar se o usuário deveria ser solicitado a fornecer MFA. Como o Serviço de Autenticação de Backup não pode avaliar a associação de função em tempo real, ele bloquearia o acesso do usuário ao Portal do Azure.
Aviso
A desativação dos padrões de resiliência para uma política que se aplica a um grupo ou função reduzirá a resiliência para todos os usuários em seu locatário. Como a associação a grupos e funções não pode ser avaliada em tempo real durante uma interrupção, mesmo os usuários que não pertencem ao grupo ou função na atribuição de política terão acesso negado ao aplicativo no escopo da política. Para evitar a redução da resiliência para todos os usuários que não estão no escopo da política, considere aplicar a política a usuários individuais em vez de grupos ou funções.
Testando padrões de resiliência
Não é possível realizar uma execução seca usando o Serviço de Autenticação de Backup ou simular o resultado de uma política com padrões de resiliência habilitados ou desabilitados no momento. O Microsoft Entra realiza exercícios mensais usando o Serviço de Autenticação de Backup. Os logs de entrada são exibidos se o Serviço de Autenticação de Backup foi usado para emitir o token de acesso. Na folha Logs de entrada do Identity>Monitoring & health>, você pode adicionar o filtro "Tipo de emissor de token == Microsoft Entra Backup Auth" para exibir os logs processados pelo serviço Microsoft Entra Backup Authentication.
Configurando padrões de resiliência
Você pode configurar os padrões de resiliência do Acesso Condicional no centro de administração do Microsoft Entra, nas APIs do MS Graph ou no PowerShell.
Centro de administração do Microsoft Entra
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Acesso condicional de proteção>.
- Criar uma nova política ou selecionar uma política existente
- Abrir as configurações do controle de sessão
- Selecione Desativar padrões de resiliência para desabilitar a configuração desta política. As entradas no escopo da política são bloqueadas durante uma interrupção do Microsoft Entra
- Guardar alterações à política
MS Graph APIs
Você também pode gerenciar padrões de resiliência para suas políticas de Acesso Condicional usando a API do MS Graph e o Microsoft Graph Explorer.
URL de solicitação de exemplo:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Corpo da solicitação da amostra:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Essa operação de patch pode ser implantada usando o Microsoft PowerShell após a instalação do módulo Microsoft.Graph.Authentication. Para instalar este módulo, abra um prompt do PowerShell com privilégios elevados e execute
Install-Module Microsoft.Graph.Authentication
Conecte-se ao Microsoft Graph, solicitando os escopos necessários:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Autentique-se quando solicitado.
Crie o corpo JSON para a solicitação PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Execute a operação de patch:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Recomendações
A Microsoft recomenda habilitar os padrões de resiliência. Embora não haja preocupações diretas de segurança, os clientes devem avaliar se desejam permitir que o Serviço de Autenticação de Backup avalie as políticas de Acesso Condicional durante uma interrupção usando dados coletados no início da sessão, em vez de em tempo real.
É possível que a função ou a associação de grupo de um usuário tenha sido alterada desde o início da sessão. Com a Avaliação Contínua de Acesso (CAE), os tokens de acesso são válidos por 24 horas, mas estão sujeitos a eventos de revogação instantânea. O Serviço de Autenticação de Backup assina os mesmos eventos de revogação CAE. Se o token de um usuário for revogado como parte do CAE, o usuário não poderá entrar durante uma interrupção. Quando os padrões de resiliência são habilitados, as sessões existentes que expiram durante uma interrupção serão estendidas. As sessões são estendidas mesmo que a política tenha sido configurada com um controle de sessão para impor uma frequência de entrada. Por exemplo, uma política com padrões de resiliência habilitados pode exigir que os usuários se autentiquem novamente a cada hora para acessar um site do SharePoint. Durante uma interrupção, a sessão do usuário seria estendida mesmo que o Microsoft Entra ID possa não estar disponível para autenticar novamente o usuário.