Durata della sessione adattiva per l'accesso condizionale
Nelle distribuzioni complesse, le organizzazioni potrebbero avere la necessità di limitare le sessioni di autenticazione. Alcuni scenari possibili sono:
- Accesso alle risorse da un dispositivo condiviso o non gestito
- Accesso alle informazioni riservate da una rete esterna
- Utenti a impatto elevato
- Applicazioni aziendali critiche
L'accesso condizionale fornisce controlli dei criteri di durata delle sessioni adattivi che consentono di creare criteri per casi d'uso specifici all'interno dell'organizzazione senza influire su tutti gli utenti.
Prima di approfondire i dettagli su come configurare i criteri, si esaminerà la configurazione predefinita.
Frequenza di accesso utente
La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.
La configurazione predefinita di Microsoft Entra ID per la frequenza di accesso utente è una finestra mobile di 90 giorni. La richiesta di credenziali agli utenti spesso sembra una cosa sensata da fare, ma può ritorcersi contro: gli utenti sottoposti a training per immettere le proprie credenziali senza pensare potrebbero fornirle involontariamente anche a una richiesta di credenziali fraudolenta e pericolosa.
Potrebbe sembrare pericoloso non chiedere a un utente di eseguire di nuovo l'accesso, ma in realtà qualsiasi violazione dei criteri IT revocherà la sessione. Alcuni esempi includono (ma non sono limitati a) una modifica della password, un dispositivo non conforme o una disabilitazione dell'account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando PowerShell Microsoft Graph. La configurazione predefinita di Microsoft Entra ID può essere riassunta con un'operazione: "chiedere agli utenti di fornire le proprie credenziali se il comportamento di sicurezza delle sessioni non è cambiato".
L'impostazione della frequenza di accesso funziona con le app che implementano protocolli OAuth2 o OIDC in base agli standard. La maggior parte delle app native Microsoft per Windows, Mac e dispositivi mobili, incluse le applicazioni Web seguenti, è conforme all'impostazione.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- Portale di amministrazione di Microsoft 365
- Exchange Online
- SharePoint e OneDrive
- Client Web Teams
- Dynamics CRM Online
- Azure portal
La frequenza di accesso (SIF) funziona con applicazioni e app SAML di terze parti che implementano protocolli OAuth2 o OIDC, purché non rilascino i propri cookie e vengano reindirizzate a Microsoft Entra ID per l'autenticazione normale.
Frequenza di accesso utente e autenticazione a più fattori
Frequenza di accesso applicata in precedenza solo alla prima autenticazione a fattori nei dispositivi aggiunti a Microsoft Entra, aggiunti a Microsoft Entra ibrido e registrati in Microsoft Entra. I nostri clienti non avevano un modo semplice per riapplicare l'autenticazione a più fattori su tali dispositivi. In base al feedback dei clienti, la frequenza di accesso si applica anche per l'autenticazione a più fattori.
Frequenza di accesso utente e identità dei dispositivi
Nei dispositivi aggiunti a Microsoft Entra e aggiunti a Microsoft Entra ibrido: sbloccando il dispositivo o accedendo in modo interattivo, il token di aggiornamento primario (PRT) viene aggiornato ogni 4 ore. La data e l'ora dell'ultimo aggiornamento registrate per il token di aggiornamento primario rispetto alla data e all'ora correnti devono essere entro il tempo assegnato nei criteri SIF per consentire al token di aggiornamento primario di soddisfare il SIF e concedere l'accesso a un token di aggiornamento primario che dispone di un'attestazione MFA esistente. Nei dispositivi registrati di Microsoft Entra, lo sblocco/accesso non soddisfa i criteri SIF perché l'utente non accede a un dispositivo registrato da Microsoft Entra tramite un account Microsoft Entra. Tuttavia, il plug-in Microsoft Entra WAM può aggiornare un token di aggiornamento primario durante l'autenticazione dell'applicazione nativa tramite WAM.
Nota
Il timestamp acquisito dall'accesso utente non corrisponde necessariamente all'ultimo timestamp registrato dell'aggiornamento PRT a causa del ciclo di aggiornamento di 4 ore. Il caso in cui è uguale si ha quando il token di aggiornamento primario è scaduto e un utente lo aggiorna per 4 ore. Negli esempi seguenti si supponga che i criteri SIF siano impostati su 1 ora e che il token di aggiornamento primario venga aggiornato alle 00:00.
Esempio 1: quando si continua a lavorare sullo stesso documento in SPO per un'ora
- Alle 00:00, un utente accede al dispositivo aggiunto a Windows 11 Microsoft Entra e avvia il lavoro su un documento archiviato in SharePoint Online.
- L'utente continua a lavorare allo stesso documento sul proprio dispositivo per un'ora.
- Alle 01:00, all'utente viene richiesto di eseguire di nuovo l'accesso. Questo prompt si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore.
Esempio 2: quando si sospende il lavoro con un'attività in background in esecuzione nel browser, quindi si interagisce di nuovo dopo che è trascorso il tempo dei criteri SIF
- Alle 00:00, un utente accede al dispositivo aggiunto a Windows 11 Microsoft Entra e inizia a caricare un documento in SharePoint Online.
- Alle 00:10, l'utente si alza e fa una pausa, bloccando il proprio dispositivo. Il caricamento in background procede a SharePoint Online.
- Alle 02:45, l'utente finisce la pausa e sblocca il dispositivo. Il caricamento in background mostra il completamento.
- Alle 02:45, all'utente viene richiesto di eseguire di nuovo l'accesso. Questo prompt si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore dall'ultimo accesso delle 00:00.
Se l'app client (nei dettagli attività) è un browser, rinvieremo l'applicazione della frequenza di accesso degli eventi o dei criteri nei servizi in background fino alla successiva interazione dell'utente. Nei client riservati, l'imposizione della frequenza di accesso per gli accessi non interattivi viene posticipata fino al successivo accesso interattivo.
Esempio 3: Con un ciclo di aggiornamento di quattro ore del token di aggiornamento primario dallo sblocco
Scenario 1 - L'utente torna all'interno del ciclo
- Alle 00:00, un utente accede al dispositivo aggiunto a Windows 11 Microsoft Entra e avvia il lavoro su un documento archiviato in SharePoint Online.
- Alle 00:30, l'utente si alza e fa una pausa, bloccando il proprio dispositivo.
- Alle ore 00:45 l'utente riprende il lavoro dopo la pausa e sblocca il dispositivo.
- Alle 01:00, all'utente viene richiesto di eseguire di nuovo l'accesso. Questo prompt si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore, 1 ora dopo l'accesso iniziale.
Scenario 2 - L'utente torna all'esterno del ciclo
- Alle 00:00, un utente accede al dispositivo aggiunto a Windows 11 Microsoft Entra e avvia il lavoro su un documento archiviato in SharePoint Online.
- Alle 00:30, l'utente si alza e fa una pausa, bloccando il proprio dispositivo.
- Alle 04:45, l'utente finisce la pausa e sblocca il dispositivo.
- Alle 05:45, all'utente viene richiesto di eseguire di nuovo l'accesso. Questo prompt si basa sul requisito di frequenza di accesso nei criteri di accesso condizionale configurati dall'amministratore. È trascorsa 1 ora dopo l'aggiornamento del token di aggiornamento primario alle 04:45 e sono trascorse oltre 4 ore dall'accesso iniziale alle 00:00.
Richiedere la riautenticazione ogni volta
Esistono scenari in cui i clienti potrebbero voler richiedere un'autenticazione aggiornata, ogni volta che un utente esegue azioni specifiche, ad esempio:
- Accesso ad applicazioni sensibili.
- Protezione delle risorse dietro provider VPN o Network as a Service (NaaS).
- Protezione dell'elevazione dei ruoli con privilegi in PIM.
- Protezione degli accessi utente alle macchine desktop virtuali di Azure.
- Protezione di utenti rischiosi e accessi rischiosi identificato da Microsoft Entra ID Protection.
- Protezione delle azioni degli utenti sensibili, ad esempio la registrazione di Microsoft Intune.
La frequenza di accesso impostata su ogni volta funziona meglio quando la risorsa ha la logica di quando un client deve ottenere un nuovo token. Queste risorse reindirizzano l'utente a Microsoft Entra solo dopo la scadenza della sessione.
Gli amministratori devono limitare il numero di applicazioni con cui applicano criteri che richiedono agli utenti di ripetere l'autenticazione ogni volta. Quando l'opzione Ogni volta viene selezionata nei criteri, si contano cinque minuti di asimmetria dell'orologio, in modo da non effettuare richieste agli utenti più di una volta ogni cinque minuti. L'attivazione della riautenticazione troppo di frequente può aumentare l'attrito di sicurezza fino ad arrivare a un punto in cui gli utenti si stancano dell'autenticazione a più fattori e rischiano di cadere vittima di tentativi di phishing. Le applicazioni Web offrono in genere un'esperienza meno dirompente rispetto alle controparti desktop quando è abilitata l'opzione per richiedere ogni volta la riautenticazione.
- Per le applicazioni nello stack di Microsoft 365, è consigliabile usare la frequenza di accesso utente basata sul tempo per un'esperienza utente migliore.
- Per il portale di Azure e l'Interfaccia di amministrazione di Microsoft Entra, è consigliabile usare una bassa frequenza di accesso dell'utente oppure richiedere la riautenticazione all'attivazione di PIM usando il contesto di autenticazione per un'esperienza utente migliore.
Scenari supportati a livello generale:
- Richiedere la riautenticazione dell'utente durante la registrazione del dispositivo Intune, indipendentemente dal relativo stato di autenticazione a più fattori corrente.
- Richiedere la riautenticazione per gli utenti rischiosi con il controllo di concessione richiedi modifica password.
- Richiedere la riautenticazione per gli accessi rischiosi con il controllo di concessione richiedi autenticazione a più fattori.
Le funzionalità di anteprima pubblica di febbraio 2024 consentono agli amministratori di richiedere l'autenticazione con:
- Applicazioni abilitate per SAML o OIDC
- Contesto di autenticazione
- Altre azioni utente
Quando gli amministratori selezionano Ogni volta, richiede la riautenticazione completa quando viene valutata la sessione.
Persistenza delle sessioni di esplorazione
Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser.
L'impostazione predefinita di Microsoft Entra ID per la persistenza delle sessioni del browser consente agli utenti di dispositivi personali di scegliere se rendere persistente la sessione visualizzando la richiesta "Rimanere connessi?" dopo l’avvenuta autenticazione. Se la persistenza del browser è configurata in AD FS usando le indicazioni contenute nell'articolo Impostazioni di Single Sign-On di AD FS, Microsoft garantisce la conformità a tale criterio e rende persistente anche la sessione di Microsoft Entra. Inoltre, è possibile effettuare la configurazione in modo che gli utenti nel tenant visualizzino la richiesta "Rimanere connessi?" modificando l'impostazione appropriata nel riquadro di personalizzazione dell'azienda.
Nei browser permanenti i cookie rimangono archiviati nel dispositivo dell'utente anche dopo che quest'ultimo chiude il browser. Questi cookie potrebbero avere accesso agli artefatti di Microsoft Entra e tali artefatti sono utilizzabili fino alla scadenza del token indipendentemente dai criteri di accesso condizionale inseriti nell'ambiente delle risorse. Pertanto, la memorizzazione nella cache dei token può essere in violazione diretta dei criteri di sicurezza desiderati per l'autenticazione. Anche se potrebbe sembrare utile archiviare i token oltre la sessione corrente, così facendo si va a creare una vulnerabilità di sicurezza consentendo l'accesso non autorizzato agli artefatti di Microsoft Entra.
Configurazione dei controlli sessione di autenticazione
L'accesso condizionale è una funzionalità P1 o P2 di Microsoft Entra ID e richiede una licenza Premium. Per altre informazioni sull'argomento, vedere Cos'è l'accesso condizionale in Microsoft Entra ID?
Avviso
Se si usa la funzionalità di durata configurabile dei token attualmente in anteprima pubblica, si noti che la creazione di due criteri diversi per la stessa combinazione di utenti o app, uno con questa funzionalità e un altro con la funzionalità di durata dei token configurabile, non è supportata. Il 30 gennaio 2021 Microsoft ha ritirato la funzionalità di durata configurabile per i token di aggiornamento e di sessione e l'ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.
Prima di abilitare Frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se è abilitata l'autenticazione a più fattori nei dispositivi attendibili, assicurarsi di disabilitarla prima di usare la frequenza di accesso, perché l'uso di queste due impostazioni insieme può causare richieste impreviste agli utenti. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di autenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Microsoft Entra.
Passaggi successivi
- Configurare la durata della sessione nei criteri di accesso condizionale
- Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente in uso, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.