Valutazione continua dell'accesso

La scadenza e l'aggiornamento dei token sono un meccanismo standard nel settore. Quando un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso sono validi per un'ora. Alla scadenza, il client viene reindirizzato a Azure AD per aggiornarli. Questo periodo di aggiornamento offre l'opportunità di rivalutare i criteri per l'accesso utente. Ad esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o perché l'utente è stato disabilitato nella directory.

I clienti hanno espresso preoccupazioni riguardo al ritardo tra il momento in cui cambiano le condizioni per l'utente, ad esempio il percorso di rete o il furto di credenziali, e il momento in cui è possibile applicare criteri correlati a tale modifica. È stato fatto un esperimento con l'approccio "oggetto blunt" della durata dei token ridotta, ma si è scoperto che possono ridurre le esperienze utente e l'affidabilità senza eliminare i rischi.

La risposta immediata alle violazioni dei criteri o ai problemi di sicurezza richiede effettivamente una "conversazione" tra l'autorità emittente del token, ad esempio Azure AD, e il relying party, ad esempio Exchange Online. Questa conversazione bidirestica offre due funzionalità importanti. Il relying party può notare quando sono state modificate le modifiche, ad esempio un client proveniente da una nuova posizione, e indicare all'autorità emittente del token. Fornisce inoltre all'autorità emittente del token un modo per indicare al relying party di interrompere il rispetto dei token per un determinato utente a causa di compromissione dell'account, disabilitazione o altri problemi. Il meccanismo per questa conversazione è la valutazione dell'accesso continuo (CAE). L'obiettivo è che la risposta sia quasi in tempo reale, ma in alcuni casi può essere osservata una latenza massima di 15 minuti a causa del tempo di propagazione degli eventi.

L'implementazione iniziale della valutazione dell'accesso continuo è incentrata Exchange, Teams e SharePoint Online.

Per preparare le applicazioni per l'uso di CAE, vedere Come usare Valutazione continua dell'accesso api abilitate nelle applicazioni.

Vantaggi principali

  • Terminazione dell'utente o modifica/reimpostazione della password: la revoca della sessione utente verrà applicata quasi in tempo reale.
  • Modifica del percorso di rete: i criteri del percorso di accesso condizionale verranno applicati quasi in tempo reale.
  • L'esportazione di token in un computer esterno a una rete attendibile può essere impedita con i criteri del percorso di accesso condizionale.

Scenari

Esistono due scenari che costituiscono la valutazione dell'accesso continuo, la valutazione degli eventi critici e la valutazione dei criteri di accesso condizionale.

Valutazione di eventi critici

La valutazione dell'accesso continuo viene implementata consentendo ai servizi, ad esempio Exchange Online, SharePoint Online e Teams, di sottoscrivere eventi critici in Azure AD in modo che tali eventi possano essere valutati e applicati quasi in tempo reale. La valutazione di eventi critici non si basa sui criteri di accesso condizionale, quindi è disponibile in qualsiasi tenant. Attualmente vengono valutati gli eventi seguenti:

  • L'account utente è stato eliminato o disabilitato
  • La password per un utente viene modificata o reimpostata
  • L'autenticazione a più fattori è abilitata per l'utente
  • L'amministratore revoca in modo esplicito tutti i token di aggiornamento per un utente
  • Rischio utente elevato rilevato da Azure AD Identity Protection

Questo processo consente lo scenario in cui gli utenti perdono l'accesso a file, posta elettronica, calendario o attività dell'organizzazione SharePoint Online e Teams dalle app client di Microsoft 365 entro pochi minuti da uno di questi eventi critici.

Nota

Teams e SharePoint Online non supportano ancora gli eventi di rischio utente.

Valutazione dei criteri di accesso condizionale (anteprima)

Exchange Online, SharePoint Online, Teams e MS Graph sono in grado di sincronizzare i criteri di accesso condizionale chiave in modo che possano essere valutati all'interno del servizio stesso.

Questo processo consente lo scenario in cui gli utenti perdono l'accesso a file dell'organizzazione, posta elettronica, calendario o attività da app client di Microsoft 365 o da SharePoint Online immediatamente dopo la modifica del percorso di rete.

Nota

Non tutte le combinazioni di app e provider di risorse sono supportate. Vedere la tabella seguente. Office fa riferimento a Word, Excel e PowerPoint.

Outlook Web Outlook Win32 Outlook iOS Outlook Android Outlook Mac
SharePoint Online Supportato Supportato Supportato Supportato Supportato
Exchange Online Supportato Supportato Supportato Supportato Supportato
Office app Web Office App Win32 Office per iOS Office per Android Office per Mac
SharePoint Online Non supportato Supportato Supportato Supportato Supportato
Exchange Online Non supportato Supportato Supportato Supportato Supportato
OneDrive Web OneDrive Win32 OneDrive iOS OneDrive Android OneDrive Mac
SharePoint Online Supportato Supportato Supportato Supportato Supportato
Teams Web Teams Win32 Teams iOS Teams Android Teams Mac
Teams Servizio Supportato Supportato Supportato Supportato Supportato
SharePoint Online Supportato Supportato Supportato Supportato Supportato
Exchange Online Supportato Supportato Supportato Supportato Supportato

Richiesta di attestazione lato client

Prima della valutazione dell'accesso continuo, i client provano sempre a riprodurre il token di accesso dalla cache, purché non sia scaduto. Con CAE viene introdotto un nuovo caso in cui un provider di risorse può rifiutare un token anche quando non è scaduto. Per informare i client di ignorare la cache anche se i token memorizzati nella cache non sono scaduti, viene introdotto un meccanismo denominato richiesta di attestazione per indicare che il token è stato rifiutato e un nuovo token di accesso deve essere emesso da Azure AD. CaE richiede un aggiornamento client per comprendere la richiesta di attestazione. La versione più recente delle applicazioni seguenti supporta la richiesta di attestazione:

Web Win32 iOS Android Mac
Outlook Supportato Supportato Supportato Supportato Supportato
Teams Supportato Supportato Supportato Supportato Supportato
Office Non supportato Supportato Supportato Supportato Supportato
OneDrive Supportato Supportato Supportato Supportato Supportato

Durata dei token

Poiché i rischi e i criteri vengono valutati in tempo reale, i client che negoziano sessioni in grado di riconoscere la valutazione dell'accesso continuo si baseranno su CAE anziché su criteri di durata dei token di accesso statici esistenti, il che significa che i criteri di durata dei token configurabili non verranno più rispettati per i client con supporto cae che negoziano sessioni compatibili con CAE.

La durata dei token viene aumentata per durare a lungo, fino a 28 ore, nelle sessioni CAE. La revoca è basata su eventi critici e valutazione dei criteri, non solo su un periodo di tempo arbitrario. Questa modifica aumenta la stabilità delle applicazioni senza influire sulla sicurezza.

Se non si usano client con capacità CAE, la durata del token di accesso predefinita rimarrà di 1 ora, a meno che non sia stata configurata la durata del token di accesso con la funzionalità di anteprima Durata token configurabile (CTL).

Flussi di esempio

Flusso di eventi di revoca utente:

Flusso di eventi di revoca utente

  1. Un client con supporto cae presenta le credenziali o un token di aggiornamento per Azure AD un token di accesso per una risorsa.
  2. Un token di accesso viene restituito insieme ad altri elementi al client.
  3. Un amministratore revoca in modo esplicito tutti i token di aggiornamento per l'utente. Un evento di revoca verrà inviato al provider di risorse da Azure AD.
  4. Un token di accesso viene presentato al provider di risorse. Il provider di risorse valuta la validità del token e verifica se è presente un evento di revoca per l'utente. Il provider di risorse usa queste informazioni per decidere se concedere o meno l'accesso alla risorsa.
  5. In questo caso, il provider di risorse nega l'accesso e invia una richiesta di richiesta 401+ al client.
  6. Il client con capacità CAE comprende la richiesta di attestazione 401+. Ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione Azure AD. Azure AD quindi rivalutare tutte le condizioni e richiedere all'utente di eseguire nuovamente l'autenticazione in questo caso.

Flusso di modifica della condizione utente (anteprima):

Nell'esempio seguente un amministratore dell'accesso condizionale ha configurato criteri di accesso condizionale basati sulla posizione per consentire l'accesso solo da intervalli IP specifici:

Flusso di eventi della condizione utente

  1. Un client con supporto cae presenta le credenziali o un token di aggiornamento per Azure AD un token di accesso per una risorsa.
  2. Azure AD valuta tutti i criteri di accesso condizionale per verificare se l'utente e il client soddisfano le condizioni.
  3. Un token di accesso viene restituito insieme ad altri elementi al client.
  4. L'utente esce da un intervallo IP consentito
  5. Il client presenta un token di accesso al provider di risorse dall'esterno di un intervallo IP consentito.
  6. Il provider di risorse valuta la validità del token e controlla i criteri di posizione sincronizzati Azure AD.
  7. In questo caso, il provider di risorse nega l'accesso e invia una richiesta di richiesta 401+ al client perché non proviene dall'intervallo IP consentito.
  8. Il client con capacità CAE comprende la richiesta di attestazione 401+. Ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione Azure AD. Azure AD rivaluta tutte le condizioni e in questo caso negherà l'accesso.

Abilitare o disabilitare cae (anteprima)

  1. Accedere al portale di Azure come amministratore dell'accesso condizionale, amministratore della sicurezza o amministratore globale
  2. Passare a Azure Active Directory > di accesso > continuo di sicurezza.
  3. Scegliere Abilita anteprima.
  4. Selezionare Salva.

In questa pagina è possibile limitare facoltativamente gli utenti e i gruppi che saranno soggetti all'anteprima.

Avviso

Per disabilitare la valutazione dell'accesso continuo, selezionare Abilita anteprima, quindi Disabilita anteprima e salva.

Nota

È possibile eseguire query su Microsoft Graph tramite continuousAccessEvaluationPolicy per verificare la configurazione di CAE nel tenant. Una risposta HTTP 200 e il corpo della risposta associato indicano se l'autorità di certificazione è abilitata o disabilitata nel tenant. Cae non è configurato se Microsoft Graph restituisce una risposta HTTP 404.

Abilitazione dell'anteprima CAE nel portale di Azure

Risoluzione dei problemi

Criteri di posizione supportati

Per CAE, sono disponibili solo informazioni dettagliate sulle località denominate basate su IP. Non sono disponibili informazioni dettagliate su altre impostazioni relative alla posizione, ad esempio indirizzi IP attendibili MFA o località basate su paese. Quando l'utente proviene da un INDIRIZZO IP attendibile dell'autenticazione a più fattori o da località attendibili che includono indirizzi IP attendibili mFA o località del paese, la CAE non verrà applicata dopo lo spostamento dell'utente in un percorso diverso. In questi casi, verrà emettere un token CAE di 1 ora senza controllo immediato dell'imposizione IP.

Importante

Quando si configurano i percorsi per la valutazione dell'accesso continuo, usare solo la condizione del percorso di accesso condizionale basato su IP e configurare tutti gli indirizzi IP, inclusi IPv4 e IPv6, che possono essere visti dal provider di identità e dal provider di risorse. Non usare le condizioni di località del paese o la funzionalità ip attendibili disponibile nella Azure AD impostazioni del servizio di Multi-Factor Authentication.

Configurazione dell'indirizzo IP

Il provider di identità e i provider di risorse possono visualizzare indirizzi IP diversi. Questa mancata corrispondenza può verificarsi a causa di implementazioni del proxy di rete nell'organizzazione o di configurazioni IPv4/IPv6 non corrette tra il provider di identità e il provider di risorse. Ad esempio:

  • Il provider di identità visualizza un indirizzo IP dal client.
  • Il provider di risorse visualizza un indirizzo IP diverso dal client dopo aver passato un proxy.
  • L'indirizzo IP visualizzato dal provider di identità fa parte di un intervallo IP consentito nei criteri, ma l'indirizzo IP del provider di risorse non lo è.

Se questo scenario esiste nell'ambiente per evitare cicli infiniti, Azure AD un token CAE di un'ora e non imponi la modifica della posizione del client. Anche in questo caso, la sicurezza è migliorata rispetto ai token tradizionali di un'ora, poiché vengono ancora valutati gli altri eventi oltre agli eventi di modifica della posizione del client.

Office e Gestione account Web predefinite

Office canale di aggiornamento DisableADALatopWAMOverride DisableAADWAM
Canale Enterprise semestrale Se impostato su enabled o 1, CAE non è supportato. Se impostato su enabled o 1, CAE non è supportato.
Canale corrente
oppure
Canale Enterprise mensile
CAE è supportato indipendentemente dall'impostazione CAE è supportato indipendentemente dall'impostazione

Per una spiegazione dei canali di aggiornamento di Office, vedere Panoramica dei canali di aggiornamento per Microsoft 365 Apps. È consigliabile che le organizzazioni non Gestione account Web (WAM).

Ora di validità dell'appartenenza ai gruppi e dell'aggiornamento dei criteri

L'appartenenza ai gruppi e l'aggiornamento dei criteri apportati dagli amministratori potrebbero richiedere fino a un giorno per essere efficaci. È stata eseguita un'ottimizzazione per gli aggiornamenti dei criteri che riducono il ritardo a due ore. Tuttavia, non tratta ancora tutti gli scenari.

Se si verifica un'emergenza ed è necessario che i criteri siano aggiornati o che l'appartenenza al gruppo cambi per essere applicata immediatamente a determinati utenti, è consigliabile usare questo comando di PowerShell o "Revoca sessione" nella pagina del profilo utente per revocare la sessione degli utenti, in modo da assicurarsi che i criteri aggiornati verranno applicati immediatamente.

Coauthoring in Office app

Quando più utenti collaborano contemporaneamente allo stesso documento, l'accesso dell'utente al documento potrebbe non essere revocato immediatamente dalla CAE in base a eventi di revoca dell'utente o di modifica dei criteri. In questo caso, l'utente perde completamente l'accesso dopo, chiudendo il documento, chiudendo Word, Excel o PowerPoint o dopo un periodo di 10 ore.

Per ridurre questo tempo, un amministratore di SharePoint può facoltativamente ridurre la durata massima delle sessioni di creazione condivisa per i documenti archiviati in SharePoint Online e OneDrive for Business, configurando criteri di percorso di rete in SharePoint Online. Dopo aver modificato questa configurazione, la durata massima delle sessioni di coautoriazione verrà ridotta a 15 minuti e potrà essere modificata ulteriormente usando il comando powershell SharePoint Online "Set-SPOTenant –IPAddressWACTokenLifetime"

Abilitare dopo che un utente è stato disabilitato

Se si abilita un utente subito dopo che è stato disabilitato. Ci sarà una certa latenza prima che l'account possa essere abilitato. SPO e Teams avranno un ritardo di 15 minuti. Il ritardo è di 35-40 minuti per EXO.

Domande frequenti

Come funzionerà CAE con la frequenza di accesso?

La frequenza di accesso verrà rispettata con o senza CAE.

Passaggi successivi