Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale

Nelle distribuzioni complesse, le organizzazioni potrebbero avere la necessità di limitare le sessioni di autenticazione. Alcuni scenari possibili sono:

  • Accesso alle risorse da un dispositivo non gestito o condiviso
  • Accesso a informazioni riservate da una rete esterna
  • Utenti ad alto impatto
  • Applicazioni aziendali critiche

I controlli di accesso condizionale consentono di creare criteri mirati a casi d'uso specifici all'interno dell'organizzazione senza influire su tutti gli utenti.

Prima di approfondire i dettagli su come configurare i criteri, si esaminerà la configurazione predefinita.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.

La Azure Active Directory predefinita (Azure AD) per la frequenza di accesso utente è una finestra in sequenza di 90 giorni. La richiesta di credenziali agli utenti sembra spesso un'operazione ragionevole da eseguire, ma può essere controvento: gli utenti con training per l'immissione delle credenziali senza pensare possono involontariamente fornirli a una richiesta di credenziali dannose.

Potrebbe sembrare allarmante non chiedere a un utente di eseguire di nuovo l'accesso. In realtà, qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi includono, ad esempio, una modifica della password, un dispositivo non conforme o la disabilitazione dell'account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando PowerShell. La Azure AD predefinita è "non chiedere agli utenti di fornire le proprie credenziali se il comportamento di sicurezza delle sessioni non è cambiato".

L'impostazione della frequenza di accesso funziona con le app che hanno implementato i protocolli OAUTH2 o OIDC secondo gli standard. La maggior parte delle app native Microsoft Windows, Mac e Mobile, incluse le applicazioni Web seguenti, è conforme all'impostazione .

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portale di amministrazione di Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Client Web Teams
  • Dynamics CRM Online
  • Portale di Azure

L'impostazione della frequenza di accesso funziona anche con le applicazioni SAML, purché non eliminano i propri cookie e vengono reindirizzati a Azure AD per l'autenticazione a intervalli regolari.

Frequenza di accesso utente e autenticazione a più fattori

In precedenza, la frequenza di accesso si applicava solo al primo fattore di autenticazione nei dispositivi Azure AD aggiunti, Azure AD ibrido aggiunti Azure AD registrati. Non esisteva un modo semplice per i clienti di applicare nuovamente l'autenticazione a più fattori (MFA) in tali dispositivi. A seguito del feedback dei clienti, la frequenza di accesso verrà applicata anche per l'autenticazione a più fattori.

Frequenza di accesso e autenticazione a più fattori

Frequenza di accesso utente e identità dei dispositivi

Se si hanno dispositivi aggiunti ad Azure AD, aggiunti ad Azure AD ibrido o registrati con Azure AD, quando un utente sblocca il proprio dispositivo o accede in modo interattivo, questo evento soddisferà anche i criteri di frequenza di accesso. Nei due esempi seguenti la frequenza di accesso utente è impostata su 1 ora:

Esempio 1:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto ad Azure AD e inizia a lavorare a un documento archiviato in SharePoint Online.
  • L'utente continua a lavorare allo stesso documento sul proprio dispositivo per un'ora.
  • Alle ore 01:00 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore.

Esempio 2:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto ad Azure AD e inizia a lavorare a un documento archiviato in SharePoint Online.
  • Alle 00:30, l'utente si alza e si interrompe bloccando il dispositivo.
  • Alle ore 00:45 l'utente riprende il lavoro dopo la pausa e sblocca il dispositivo.
  • Alle ore 01:45 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore. dato che l'ultimo accesso è avvenuto alle ore 00:45.

Persistenza delle sessioni di esplorazione

Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser.

L'impostazione predefinita di Azure AD per la persistenza delle sessioni del browser consente agli utenti di dispositivi personali di scegliere se rendere persistente la sessione visualizzando il messaggio "Rimanere connessi?" Richiesta dopo una corretta autenticazione. Se la persistenza del browser è configurata in AD FS usando le indicazioni riportate nell'articolo AD FS Single Sign-On Impostazioni, verrà rispettato tale criterio e verrà mantenuta anche la sessione Azure AD. È anche possibile configurare se gli utenti nel tenant visualizzano il messaggio "Rimanere connessi?" modificare l'impostazione appropriata nel riquadro di personalizzazione aziendale in portale di Azure usando le indicazioni nell'articolo Personalizzare la Azure AD di accesso.

Configurazione dei controlli della sessione di autenticazione

L'accesso condizionale è Azure AD Premium funzionalità e richiede una licenza Premium. Per altre informazioni sull'accesso condizionale, vedere Che cos'è l'accesso condizionale in Azure Active Directory?

Avviso

Se si usa la funzionalità di durata dei token configurabile attualmente in anteprima pubblica, si noti che non è possibile creare due criteri diversi per la stessa combinazione di utente o app: uno con questa funzionalità e un altro con la funzionalità di durata del token configurabile. Microsoft ha ritirato la funzionalità di durata dei token configurabile per la durata dei token di aggiornamento e di sessione il 30 gennaio 2021 e la ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.

Prima di abilitare Frequenza di accesso, assicurarsi che altre impostazioni di riautenticazione siano disabilitate nel tenant. Se l'opzione "Memorizza MFA nei dispositivi attendibili" è abilitata, assicurarsi di disabilitarla prima di usare la frequenza di accesso, perché l'uso di queste due impostazioni insieme può causare la richiesta di conferma agli utenti in modo imprevisto. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione per Azure AD Multi-Factor Authentication.

Criterio 1: Controllo della frequenza di accesso

  1. Creare nuovi criteri

  2. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app cloud di destinazione.

    Nota

    È consigliabile impostare la stessa frequenza di richiesta di autenticazione per le app Microsoft Office chiave, ad esempio Exchange Online e SharePoint Online per una migliore esperienza utente.

  3. Passare a Access Controls Session (Sessione di controlli > di accesso) e fare clic su Sign-in frequency (Frequenza di accesso)

  4. Immettere il valore richiesto di giorni e ore nella prima casella di testo

  5. Selezionare il valore Ore o Giorni dall'elenco a discesa

  6. Salvare i criteri

Criteri di accesso condizionale configurati per la frequenza di accesso

Nei Azure AD registrati Windows dispositivi che a loro volta a un accesso al dispositivo vengono considerati una richiesta. Ad esempio, se la frequenza di accesso è stata configurata su 24 ore per le app Office, gli utenti nei dispositivi Azure AD registrati Windows soddisfano i criteri di frequenza di accesso accedendo al dispositivo e non verranno più chieti all'apertura delle app Office.

Criterio 2: Sessione persistente del browser

  1. Creare nuovi criteri

  2. Scegliere tutte le condizioni necessarie.

    Nota

    Si noti che questo controllo richiede di scegliere "Tutte le app cloud" come condizione. La persistenza della sessione del browser è controllata dal token della sessione di autenticazione. Tutte le schede in una sessione del browser condividono un singolo token di sessione e pertanto tutte devono condividere lo stato di persistenza.

  3. Passare alla sessione dei controlli di accesso > e fare clic su Sessione persistente del browser

  4. Selezionare un valore dall'elenco a discesa

  5. Salvare i criteri

Criteri di accesso condizionale configurati per un browser permanente

Nota

La configurazione della sessione persistente del browser Azure AD'accesso condizionale sovrascriverà il messaggio "Mantieni l'accesso?" nel riquadro di personalizzazione dell'azienda nel portale di Azure per lo stesso utente se sono stati configurati entrambi i criteri.

Convalida

Usare lo strumento What If per simulare l'accesso dell'utente all'applicazione di destinazione e altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Risultati dello strumento What If dell'accesso condizionale

Distribuzione dei criteri

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto. Per altre informazioni, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.

Problemi noti

  • Se si configura la frequenza di accesso per i dispositivi mobili, l'autenticazione dopo ogni frequenza di accesso interna sarebbe lenta (possono essere in media 30 secondi). Può verificarsi anche in diverse app contemporaneamente.
  • Nei dispositivi iOS, se un'app configura i certificati come primo fattore di autenticazione e all'app sono applicati sia la frequenza di accesso che i criteri di gestione delle applicazioni mobili di Intune, agli utenti finali verrà impedito l'accesso all'app quando vengono attivati i criteri.

Passaggi successivi