Valutazione continua dell'accesso
La scadenza e l'aggiornamento dei token sono un meccanismo standard del settore. Quando un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso sono validi per un'ora, quando scadono il client viene reindirizzato a Microsoft Entra per aggiornarli. Tale periodo di aggiornamento offre la possibilità di rivalutare i criteri per l'accesso degli utenti. Ad esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o perché l'utente è disabilitato nella directory.
I clienti evidenziano il problema del ritardo tra il momento in cui vengono modificate le condizioni per un utente e il momento in cui vengono applicate le modifiche ai criteri. Microsoft ha sperimentato l'approccio mitigato riducendo la durata dei token, ma ha scoperto che questo peggiora l'esperienza dell'utente e riduce l'affidabilità senza eliminare i rischi.
Una risposta tempestiva alle violazioni dei criteri o ai problemi di sicurezza richiede realmente una "conversazione" tra l'autorità emittente di token Microsoft Entra e la relying party (app abilitata). Questa conversazione bidirezionale offre due importanti funzionalità. La relying party può vedere quando le proprietà cambiano, ad esempio il percorso di rete, e comunicarlo all'autorità di certificazione del token. Inoltre offre all’autorità di certificazione del token un modo per indicare alla relying party di interrompere il rispetto dei token per un determinato utente a causa di una compromissione o disabilitazione dell'account o di altri problemi. Il meccanismo per questa conversazione è la valutazione continua dell'accesso, uno standard di settore basato su Profilo di Valutazione continua dell'accesso di Open ID. L'obiettivo per la valutazione critica degli eventi è ottenere una risposta quasi in tempo reale, ma la latenza di un massimo di 15 minuti potrebbe essere osservata a causa del tempo di propagazione degli eventi. Tuttavia, l'applicazione dei criteri delle posizioni IP è immediata.
L'implementazione iniziale della valutazione continua dell'accesso è incentrata su Exchange, Teams e SharePoint Online.
Per preparare le applicazioni per l'uso della Valutazione continua dell'accesso, vedere Come usare le API abilitate per la valutazione continua dell'accesso nelle applicazioni.
Vantaggi chiave
- Chiusura utente o modifica/reimpostazione della password: la revoca della sessione utente viene applicata quasi in tempo reale.
- Modifica del percorso di rete: i criteri dei percorsi di accesso condizionale vengono applicati quasi in tempo reale.
- L'esportazione di token in un computer esterno a una rete attendibile può essere impedita con i criteri dei percorsi di accesso condizionale.
Scenari
Esistono due scenari che costituiscono la valutazione continua dell'accesso, la valutazione critica degli eventi e la valutazione dei criteri di accesso condizionale.
Valutazione degli eventi critici
La valutazione dell'accesso continuo viene implementata abilitando i servizi, ad esempio Exchange Online, SharePoint Online e Teams, per sottoscrivere eventi critici di Microsoft Entra. Tali eventi possono quindi essere valutati e applicati quasi in tempo reale. La valutazione degli eventi critici non si basa sui criteri di accesso condizionale, quindi è disponibile in qualsiasi tenant. Gli eventi seguenti vengono attualmente valutati:
- L'account utente viene eliminato o disabilitato
- La password per un utente viene modificata o reimpostata
- L'autenticazione a più fattori è abilitata per l'utente
- L'amministratore revoca esplicitamente tutti i token di aggiornamento per un utente
- Rischio utente elevato rilevato da Microsoft Entra ID Protection
Questo processo abilita lo scenario in cui gli utenti perdono l'accesso ai file di SharePoint Online dell'organizzazione, alla posta elettronica, al calendario o alle attività e a Teams dalle app client di Microsoft 365 entro pochi minuti da un evento critico.
Nota
SharePoint Online non supporta gli eventi di rischio utente.
Valutazione dei criteri di accesso condizionale
Exchange Online, SharePoint Online, Teams e MS Graph possono sincronizzare i criteri di accesso condizionale chiave per la valutazione all'interno del servizio stesso.
Questo processo abilita lo scenario in cui gli utenti perdono l'accesso a file, posta elettronica, calendario o attività da app client di Microsoft 365 o SharePoint Online immediatamente dopo la modifica del percorso di rete.
Nota
Non tutte le combinazioni di app client e provider di risorse sono supportate. Vedere le tabelle seguenti. La prima colonna di questa tabella si riferisce alle applicazioni Web avviate tramite Web browser (ovvero PowerPoint avviato nel Web browser), mentre le altre quattro colonne fanno riferimento alle applicazioni native in esecuzione in ogni piattaforma descritta. Inoltre, i riferimenti a "Office" includono Word, Excel e PowerPoint.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Supportata | Supportato | Supportato | Supportato | Supportata |
| Exchange Online | Supportata | Supportato | Supportato | Supportato | Supportata |
| App Web di Office | App Win32 di Office | Office per iOS | Office per Android | Office per Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Non supportato * | Supportata | Supportato | Supportato | Supportata |
| Exchange Online | Non supportato | Supportata | Supportato | Supportato | Supportata |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Supportato | Non supportato | Supportata | Supportato | Non supportato |
| Web teams | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Servizio Teams | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato |
| SharePoint Online | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato |
| Exchange Online | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato |
* La durata dei token per le app Web di Office viene ridotta a 1 ora quando viene impostato un criterio di accesso condizionale.
Nota
Teams è costituito da più servizi e tra questi i servizi di chiamata e chat non rispettano i criteri di accesso condizionale basato su IP.
La valutazione continua dell'accesso è disponibile anche nei tenant di Azure per enti pubblici (GCC High e DOD) per Exchange Online.
Funzionalità del client
Richiesta di attestazione lato client
Prima della valutazione continua dell'accesso, i client eseguivano la riproduzione del token di accesso dalla cache purché non fosse scaduto. Con Valutazione continua dell'accesso viene presentato un nuovo caso in cui un provider di risorse può rifiutare un token quando non è scaduto. Per informare i client di ignorare la cache anche se i token memorizzati nella cache non sono scaduti, viene presentato un meccanismo denominato richiesta di attestazione per indicare che il token è stato rifiutato e che è necessario rilasciare un nuovo token di accesso da Microsoft Entra. Valutazione continua dell'accesso richiede un aggiornamento del client per comprendere la richiesta di attestazione. Le versioni più recenti delle applicazioni seguenti supportano la richiesta di attestazione:
| Web | App Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Supportata | Supportato | Supportato | Supportato | Supportata |
| Teams | Supportata | Supportato | Supportato | Supportato | Supportata |
| Office | Non supportato | Supportata | Supportato | Supportato | Supportata |
| OneDrive | Supportata | Supportato | Supportato | Supportato | Supportata |
Durata dei token
Poiché i rischi e i criteri vengono valutati in tempo reale, i client che negoziano sessioni con riconoscimento della valutazione continua dell'accesso non si basano più sui criteri di durata dei token di accesso statici. Questo significa che i criteri di durata dei token configurabili non vengono rispettati per i client che negoziano sessioni con riconoscimento della Valutazione continua dell'accesso.
La durata dei token aumenta fino a 28 ore nelle sessioni di Valutazione continua dell'accesso. Gli eventi critici e la valutazione dei criteri portano alla revoca, non solo a un periodo di tempo arbitrario. Questo cambiamento aumenta la stabilità delle applicazioni senza influire sulla postura di sicurezza.
Se non si usano client in grado di usare la Valutazione continua dell'accesso, la durata predefinita del token di accesso rimane di 1 ora. L'impostazione predefinita cambia solo se è stata configurata la durata del token di accesso con la funzionalità di anteprima Durata configurabile del token.
Diagrammi di flusso di esempio
Flusso dell'evento di revoca dell'utente
- Un client in grado di usare la Valutazione continua dell'accesso presenta le credenziali o un token di aggiornamento a Microsoft Entra chiedendo un token di accesso per alcune risorse.
- Un token di accesso viene restituito insieme ad altri artefatti al client.
- Un amministratore revoca tutti i token di aggiornamento per l'utente in modo esplicito, quindi un evento di revoca viene inviato al provider di risorse da Microsoft Entra.
- Viene presentato un token di accesso al provider di risorse. Il provider di risorse valuta la validità del token e verifica se è presente un evento di revoca per l'utente. Il provider di risorse usa queste informazioni per decidere di concedere o meno l'accesso alla risorsa.
- In questo caso, il provider di risorse nega l'accesso e invia una richiesta di attestazione 401+ al client.
- Il client abilitato per CAE riconosce il test di attestazione 401+. Questo ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione a Microsoft Entra. Microsoft Entra quindi rivaluta tutte le condizioni e chiede all'utente di eseguire di nuovo l'autenticazione in questo caso.
Flusso di modifica della condizione utente
Nell'esempio seguente, un Amministratore dell'accesso condizionale ha configurato un criterio di accesso condizionale basato sulla posizione per consentire l'accesso solo da intervalli IP specifici:
- Un client in grado di usare la Valutazione continua dell'accesso presenta le credenziali o un token di aggiornamento a Microsoft Entra chiedendo un token di accesso per alcune risorse.
- Microsoft Entra valuta tutti i criteri di accesso condizionale per verificare se l'utente e il client soddisfano le condizioni.
- Un token di accesso viene restituito insieme ad altri artefatti al client.
- L'utente esce da un intervallo IP consentito.
- Il client presenta un token di accesso al provider di risorse dall'esterno di un intervallo IP consentito.
- Il provider di risorse valuta la validità del token e controlla i criteri di posizione sincronizzati da Microsoft Entra.
- In questo caso, il provider di risorse nega l'accesso e invia una richiesta di attestazione 401+ al client. Il client visualizza una richiesta perché non proviene da un intervallo IP consentito.
- Il client abilitato per CAE riconosce il test di attestazione 401+. Questo ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione a Microsoft Entra. Microsoft Entra rivaluta tutte le condizioni e nega l'accesso in questo caso.
Eccezione per le variazioni degli indirizzi IP e come disattivare l'eccezione
Nel passaggio 8 precedente, quando Microsoft Entra rivaluta le condizioni, nega l'accesso perché la nuova posizione rilevata da Microsoft Entra non rientra nell'intervallo IP consentito. Questo non avviene sempre. A causa di alcune topologie di rete complessa, la richiesta di autenticazione può arrivare da un indirizzo IP in uscita consentito anche dopo che la richiesta di accesso ricevuta dal provider di risorse è arrivata da un indirizzo IP non consentito. In questo caso, Microsoft Entra comprende che il client si trova ancora in una posizione consentita e deve concedere l'accesso. Pertanto, Microsoft Entra emette un token di un'ora che sospende i controlli degli indirizzi IP nella risorsa fino alla scadenza del token. Microsoft Entra continua ad applicare i controlli degli indirizzi IP.
Se si invia traffico a risorse non Microsoft 365 tramite Accesso sicuro globale, i provider di risorse non conoscono l'indirizzo IP di origine dell'utente perché il ripristino dell'IP di origine non è attualmente supportato per queste risorse. In questo caso, se l'utente si trova nella posizione IP attendibile (come visto con Microsoft Entra), Microsoft Entra emette un token di un'ora che sospende i controlli degli indirizzi IP nella risorsa fino alla scadenza del token. Microsoft Entra continua ad applicare correttamente i controlli degli indirizzi IP per queste risorse.
Strategie di routing delle VM modalità rigorosa. La concessione dell'accesso in base a questa eccezione (ovvero, una posizione consentita rilevata in Microsoft Entra ID con il rilevamento di una posizione non consentita da parte del provider di risorse) protegge la produttività degli utenti mantenendo l'accesso alle risorse critiche. Si tratta dell'imposizione della posizione standard. D'altra parte, gli amministratori che operano in topologie di rete stabili e desiderano rimuovere questa eccezione possono usare l'Imposizione rigorosa della posizione (anteprima pubblica).
Abilitare o disabilitare la Valutazione continua dell'accesso
L'impostazione di Valutazione continua dell'accesso è stata spostata su Accesso condizionale. I nuovi clienti di Valutazione continua dell'accesso possono accedere e attivare o disattivare Valutazione continua dell'accesso direttamente durante la creazione dei criteri di accesso condizionale. Tuttavia, alcuni clienti esistenti dovranno eseguire la migrazione prima di poter accedere alla funzionalità Valutazione continua dell'accesso tramite l'accesso condizionale.
Migrazione
I clienti che hanno configurato prima le impostazioni di Valutazione continua dell'accesso in Sicurezza devono eseguire la migrazione delle impostazioni a un nuovo criterio di accesso condizionale.
La tabella seguente descrive l'esperienza di migrazione di ogni gruppo di clienti in base alle impostazioni di Valutazione continua dell'accesso configurate in precedenza.
| Impostazione di Valutazione continua dell'accesso esistente | È necessaria la migrazione | Abilitata automaticamente per Valutazione continua dell'accesso | Esperienza di migrazione prevista |
|---|---|---|---|
| Nuovi tenant che non hanno configurato alcun elemento nell'esperienza precedente. | No | Sì | L'impostazione di Valutazione continua dell'accesso precedente è nascosta perché è probabile che questi clienti non abbiano visualizzato l'esperienza prima della disponibilità generale. |
| Tenant abilitati in modo esplicito per tutti gli utenti con l'esperienza precedente. | No | Sì | L'impostazione di Valutazione continua dell'accesso precedente è disattivata. Poiché questi clienti hanno abilitato in modo esplicito questa impostazione per tutti gli utenti, non devono eseguire la migrazione. |
| Tenant che hanno abilitato in modo esplicito alcuni utenti nei propri tenant con l'esperienza precedente. | Sì | No | Le impostazioni di Valutazione continua dell'accesso precedenti sono disattivate. Facendo clic su Esegui migrazione viene avviata la creazione guidata dei nuovi criteri di accesso condizionale, che include tutti gli utenti, escludendo gli utenti e i gruppi copiati dalla Valutazione continua dell'accesso. Si imposta anche il nuovo controllo di sessione Personalizza la valutazione continua dell'accesso su Disabilitato. |
| Tenant che hanno disabilitato in modo esplicito l'anteprima. | Sì | No | Le impostazioni di Valutazione continua dell'accesso precedenti sono disattivate. Facendo clic su Esegui migrazione viene avviata la nuova procedura guidata dei criteri di accesso condizionale, che include tutti gli utenti e imposta il nuovo controllo di sessione Personalizza la valutazione continua dell'accesso su Disabilitato. |
Altre informazioni sulla valutazione continua dell'accesso come controllo di sessione sono disponibili nella sezione Personalizzare la valutazione continua dell'accesso.
Limiti
Tempo di applicazione dell'appartenenza ai gruppi e dell'aggiornamento dei criteri
Le modifiche apportate ai criteri di accesso condizionale e all'appartenenza a gruppi da parte degli amministratori potrebbero richiedere fino a un giorno per essere effettive. Il ritardo è dovuto alla replica tra Microsoft Entra e i provider di risorse, ad esempio Exchange Online e SharePoint Online. Alcune ottimizzazioni sono state eseguite per gli aggiornamenti dei criteri, riducendo il ritardo a due ore. Tuttavia, questo non riguarda ancora tutti gli scenari.
Nel caso in cui a determinati utenti debbano essere immediatamente applicate modifiche inerenti ai criteri di accesso condizionale o all'appartenenza ai gruppi, sono disponibili due opzioni.
- Eseguire il comando revoke-mgusersign di PowerShell per revocare tutti i token di aggiornamento di un utente specifico.
- Selezionare "Revoca sessione" nella pagina del profilo utente per revocare la sessione dell'utente e assicurarsi che i criteri aggiornati vengano applicati immediatamente.
Variazione dell'indirizzo IP e reti con indirizzi IP condivisi o IP in uscita sconosciuti
Le reti moderne spesso ottimizzano la connettività e i percorsi di rete per le applicazioni in modo diverso. Questa ottimizzazione causa spesso variazioni del routing e degli indirizzi IP di origine delle connessioni, come illustrato dal provider di identità e dai provider di risorse. È possibile osservare questa variazione dello split-path o dell'indirizzo IP in più topologie di rete, tra cui, a titolo esemplificativo:
- Proxy locali e basati sul cloud.
- Implementazioni della rete privata virtuale (VPN), ad esempio split tunneling.
- Distribuzioni WAN definita dal software.
- Topologie di rete in uscita con bilanciamento del carico o ridondanti, ad esempio quelle che usano SNAT.
- Distribuzioni di succursali che consentono la connettività Internet diretta per applicazioni specifiche.
- Reti che supportano i client IPv6.
- Altre topologie, che gestiscono il traffico delle applicazioni o delle risorse in modo diverso dal traffico verso il provider di identità.
Oltre alle variazioni degli IP, i clienti possono anche usare soluzioni e servizi di rete che:
- Usano indirizzi IP che potrebbero essere condivisi con altri clienti. Ad esempio, i servizi di proxy basati sul cloud in cui gli indirizzi IP in uscita vengono condivisi tra i clienti.
- Usano indirizzi IP facilmente variabili o indefinibili. Ad esempio, le topologie in cui ci vengono usati set dinamici di grandi dimensioni di indirizzi IP in uscita, ad esempio scenari aziendali di grandi dimensioni o split VPN e traffico di rete in uscita locale.
Le reti in cui gli indirizzi IP in uscita possono cambiare spesso o sono condivisi potrebbero influire sull'accesso condizionale di Microsoft Entra e sulla Valutazione continua dell'accesso. Questa variabilità può influire sul funzionamento di queste funzionalità e sulle relative configurazioni consigliate. Anche lo split tunneling può anche causare blocchi imprevisti quando un ambiente viene configurato usando le procedure consigliate per lo split tunneling della VPN. È possibile che sia necessario instradare indirizzi IP ottimizzati tramite un indirizzo IP o una VPN attendibile per impedire blocchi correlati a insufficient_claims o al mancato controllo immediato dell'imposizione dell'IP.
La tabella seguente riepiloga i comportamenti delle funzionalità di Accesso condizionale e Valutazione continua dell'accesso e contiene le raccomandazioni per diversi tipi di distribuzioni di rete e provider di risorse:
| Tipo di rete | Esempio | IP visualizzati con Microsoft Entra | IP visualizzati con il provider di risorse | Configurazione dell'accesso condizionale applicabile (località denominata attendibile) | Applicazione della Valutazione continua dell'accesso | Token di accesso della Valutazione continua dell'accesso | Consigli |
|---|---|---|---|---|---|---|---|
| 1. Gli indirizzi IP in uscita sono dedicati ed enumerabili sia per il traffico di Microsoft Entra che per tutto il traffico del provider di risorse | Tutto il traffico di rete verso Microsoft Entra e i provider di risorse esce attraverso 1.1.1.1 e/o 2.2.2.2.2 | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Eventi critici Modifiche alla posizione dell'IP |
Lunga durata: fino a 28 ore | Se vengono definiti località denominate per l'accesso condizionale, assicurarsi che contengano tutti gli indirizzi IP in uscita possibili (visualizzati da Microsoft Entra e da tutti i provider di risorse) |
| 2. Gli indirizzi IP in uscita sono dedicati ed enumerabili per il traffico di Microsoft Entra che ma non per il traffico del provider di risorse | Traffico di rete verso Microsoft Entra in uscita attraverso 1.1.1.1. Traffico del provider di risorse in uscita attraverso x.x.x.x.x | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Eventi critici | Durata predefinita del token di accesso: 1 ora | Non aggiungere indirizzi IP in uscita non dedicati o non numerabili (x.x.x.x.x) nelle regole di accesso condizionale della località denominata attendibile perché possono indebolire la sicurezza |
| 3. Gli indirizzi IP in uscita non sono dedicati/condivisi o non enumerabili sia per il traffico di Microsoft Entra che per il traffico del provider di risorse | Il traffico di rete verso Microsoft Entra esce attraverso y.y.y.y. Traffico del provider di risorse in uscita attraverso x.x.x.x.x | y.y.y.y | x.x.x.x | N/A: non è configurato alcun criterio di accesso condizionale o località attendibile dell'IP | Eventi critici | Lunga durata: fino a 28 ore | Non aggiungere indirizzi IP in uscita non dedicati o non numerabili (x.x.x.x/y.y.y.y) nelle regole di accesso condizionale della località denominata attendibile perché possono indebolire la sicurezza |
Le reti e i servizi di rete usati dai client che si connettono ai provider di identità e di risorse continuano a evolversi e a cambiare in risposta alle tendenze moderne. Queste modifiche potrebbero influire sulle configurazioni dell'accesso condizionale e della Valutazione continua dell'accesso che si basano sugli indirizzi IP sottostanti. Quando si definiscono queste configurazioni, tenere conto delle modifiche future alla tecnologia e della manutenzione dell'elenco di indirizzi definito nel piano.
Criteri di località supportati
La Valutazione continua dell'accesso ha informazioni dettagliate solo sulle località denominate basati su IP. La Valutazione continua dell'accesso non ha informazioni dettagliate su altre condizioni relative alle località, ad esempio indirizzi IP attendibili MFA o località basate su paese/area geografica. Quando un utente proviene da un indirizzo IP attendibile MFA, il percorso attendibile che include indirizzi IP attendibili MFA o località basate su paese/area geografica, la Valutazione continua dell'accesso non verrà applicato dopo che l'utente si sposta in una località diversa. In questi casi, Microsoft Entra rilascia un token di accesso di un'ora senza verifica immediata dell'imposizione dell'IP.
Importante
Se si desidera che i criteri di posizione vengano applicati in tempo reale dalla valutazione continua dell'accesso, usare solo la condizione della località dell'accesso condizionale basato su IP e configurare tutti gli indirizzi IP, inclusi IPv4 e IPv6, che possono essere visualizzati dal provider di identità e dal provider di risorse. Non usare le condizioni di località basate su paese/area geografica o la funzionalità degli IP attendibili disponibile nella pagina delle impostazioni del servizio di autenticazione a più fattori di Microsoft Entra.
Limitazioni relative alla località denominata
Quando la somma di tutti gli intervalli IP specificati nei criteri di posizione supera 5.000, la Valutazione continua dell'accesso non può applicare il flusso di modifica della posizione dell'utente in tempo reale. In questo caso, Microsoft Entra rilascia un token di Valutazione continua dell'accesso di un'ora. Valutazione continua dell'accesso continua ad applicare tutti gli altri eventi e criteri oltre agli eventi di modifica della posizione del client. Con questa modifica, si mantiene comunque una postura di sicurezza più forte rispetto ai token tradizionali di un'ora, poiché altri eventi vengono comunque valutati quasi in tempo reale.
Impostazioni di Office e di Gestione account Web
| Canale di aggiornamento di Office | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| Canale Enterprise semestrale | Se impostato su Abilitato o 1, Valutazione continua dell'accesso non è supportato. | Se impostato su Abilitato o 1, Valutazione continua dell'accesso non è supportato. |
| Canale corrente o Canale Enterprise mensile |
Valutazione continua dell'accesso è supportato indipendentemente dall'impostazione | Valutazione continua dell'accesso è supportato indipendentemente dall'impostazione |
Per una spiegazione relativa ai canali di aggiornamento di Office, vedere Panoramica dei canali di aggiornamento per Microsoft 365 Apps. La raccomandazione è che le organizzazioni non disabilitano Gestione account Web.
Creazione condivisa nelle app di Office
Quando più utenti collaborano contemporaneamente a un documento, Valutazione continua dell'accesso potrebbe non revocare immediatamente l'accesso al documento in base agli eventi di modifica dei criteri. In questo caso, l'utente perde completamente l'accesso dopo:
- La chiusura del documento
- La chiusura dell'app Office
- Dopo 1 ora dal momento in cui viene impostato un criterio IP di accesso condizionale
Per ridurre ulteriormente questo tempo, un amministratore di SharePoint può ridurre la durata massima delle sessioni di creazione condivisa per i documenti archiviati in SharePoint Online e Microsoft OneDrive configurando un criterio per i percorsi di rete. Una volta modificata questa configurazione, la durata massima delle sessioni di creazione condivisa viene ridotta a 15 minuti e può essere modificata ulteriormente usando il comando di PowerShell per SharePoint Online Set-SPOTenant –IPAddressWACTokenLifetime.
Abilitazione in seguito alla disabilitazione di un utente
Se si abilita un utente subito dopo la disabilitazione, si verifica una certa latenza prima che l'account venga riconosciuto come abilitato nei servizi Microsoft di downstream.
- SharePoint Online e Teams hanno in genere un ritardo di 15 minuti.
- Exchange Online ha in genere un ritardo di 35-40 minuti.
Notifiche push
I criteri relativi agli indirizzi IP non vengono valutati prima del rilascio delle notifiche push. Questo scenario esiste perché le notifiche push sono in uscita e non hanno un indirizzo IP associato da valutare. Se un utente seleziona tale notifica push, ad esempio un'e-mail in Outlook, i criteri degli indirizzi IP di Valutazione continua dell'accesso vengono comunque applicati prima che l'e-mail possa essere visualizzata. Le notifiche push mostrano un'anteprima dei messaggi, che non è protetta da un criterio relativo all'indirizzo IP. Tutti gli altri controlli di Valutazione continua dell'accesso vengono eseguiti prima dell'invio della notifica push. Se l'accesso viene rimosso per un utente o un dispositivo, l'imposizione viene eseguita entro il periodo documentato.
Utenti guest
Valutazione continua dell'accesso non supporta gli account utente guest. Gli eventi di revoca di Valutazione continua dell'accesso e i criteri di accesso condizionale basati su IP non vengono applicati immediatamente.
Valutazione continua dell'accesso e frequenza di accesso
La frequenza di accesso viene rispettata con o senza Valutazione continua dell'accesso.