Condividi tramite

Configurazione dei criteri di durata della sessione adattiva

  • Articolo

Avviso

Se si usa la funzionalità di durata configurabile dei token attualmente in anteprima pubblica, si noti che la creazione di due criteri diversi per la stessa combinazione di utenti o app, uno con questa funzionalità e un altro con la funzionalità di durata dei token configurabile, non è supportata. Il 30 gennaio 2021 Microsoft ha ritirato la funzionalità di durata configurabile per i token di aggiornamento e di sessione e l'ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.

Prima di abilitare la frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se "Ricorda MFA sui dispositivi attendibili" è attivato, assicurati di disabilitarlo prima di usare la frequenza di accesso, poiché l'uso di queste due impostazioni insieme può portare a sollecitazioni impreviste agli utenti. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di autenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Microsoft Entra.

Implementazione delle politiche

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto. Per altre informazioni, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.

Criterio 1: Controllo frequenza di accesso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Accesso condizionale>Criteri.

  3. Selezionare Nuovi criteri.

  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app cloud di destinazione.

    Nota

    È consigliabile impostare la stessa frequenza di richiesta di autenticazione per le chiavi di Microsoft app Office, ad esempio Exchange Online e SharePoint Online, per un'esperienza utente ottimale.

  6. Sotto Controlli di accesso>Sessione.

    1. Selezionare Frequenza di accesso.
      1. Scegliere Riautenticazione periodica e immettere un valore di ore o giorni oppure selezionare Ogni volta.

    Screenshot che mostra una politica di accesso condizionale configurata per la frequenza di accesso.

  7. Salva la tua polizza.

Politica 2: sessione del browser persistente

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Accesso condizionale>Criteri.

  3. Selezionare Nuovi criteri.

  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie.

    Nota

    Questo controllo richiede di scegliere "Tutte le app cloud" come condizione. La persistenza della sessione del browser è controllata dal token della sessione di autenticazione. Tutte le schede di una sessione del browser condividono un singolo token di sessione, pertanto devono tutte condividere lo stato di persistenza.

  6. Sotto Controlli di accesso>Sessione.

    1. Selezionare Sessione del browser persistente.

      Nota

      La configurazione della sessione del browser persistente in Microsoft Entra Conditional Access sostituisce l'impostazione "Mantieni l'accesso?" nella pagina di branding aziendale per lo stesso utente se hai configurato entrambe le politiche.

    2. Selezionare un valore dall'elenco a discesa.

  7. Salva la tua politica.

Politica 3: Controllo della frequenza di accesso per ogni utente rischioso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passa a Protezione>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In Risorse di destinazione>includi, selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio utente impostare Configurare su .
    1. In Configurare i livelli di rischio utente necessari per l'applicazione dei criteri selezionare Alto. Questa guida si basa sui consigli Microsoft e potrebbe variare per ciascuna organizzazione
    2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Seleziona Richiedi modifica password.
    3. Seleziona Seleziona.
  9. Sotto Sessione.
    1. Selezionare Frequenza di accesso.
    2. Assicurati che Ogni volta sia selezionato.
    3. Seleziona Seleziona.
  10. Conferma le impostazioni e imposta Abilita criterio su Solo report.
  11. Selezionare Crea per impostare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Attivato.

Convalida

Usare lo strumento What If per simulare l'accesso dell'utente all'applicazione di destinazione e altre condizioni in base a come hai configurato la tua politica. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Tolleranza tempestiva

Consideriamo cinque minuti di sfasamento dell'orologio quando ogni volta è selezionato nei criteri, in modo da non richiedere agli utenti più spesso di una volta ogni cinque minuti. Se l'utente ha completato l'autenticazione a più fattori negli ultimi 5 minuti e ha raggiunto un altro criterio di accesso condizionale che richiede la riautenticazione, non viene richiesto all'utente. Il richiedere eccessivamente agli utenti di riautenticarsi può avere un impatto sulla loro produttività e aumentare il rischio che approvino richieste MFA non avviate da loro. Utilizzare "Frequenza di accesso – ogni volta" solo per esigenze aziendali specifiche.

Problemi noti

  • Se si configura la frequenza di accesso per i dispositivi mobili: l'autenticazione dopo ogni intervallo di frequenza di accesso potrebbe essere lenta, può richiedere in media 30 secondi. Inoltre, può verificarsi in varie app contemporaneamente.
  • Nei dispositivi iOS: se un'app configura i certificati come primo fattore di autenticazione e l'app ha sia la frequenza di accesso che i criteri di gestione delle applicazioni mobili di Intune applicati, gli utenti finali non potranno accedere all'app quando i criteri vengono attivati.

Passaggi successivi