Accesso condizionale: impostazioni predefinite per la resilienza

Se si è verificato un'interruzione del servizio di autenticazione primario, il servizio di autenticazione di Microsoft Entra Backup può emettere automaticamente token di accesso alle applicazioni per le sessioni esistenti. Questa funzionalità aumenta significativamente la resilienza di Microsoft Entra, perché le autenticazioni per le sessioni esistenti rappresentano più del 90% delle autenticazioni in Microsoft Entra ID. Il servizio di autenticazione di backup non supporta nuove sessioni o autenticazioni da parte degli utenti guest.

Per le autenticazioni protette dall'accesso condizionale, i criteri vengono rivalutati prima dell'emissione dei token di accesso per determinare:

1. Quali criteri di accesso condizionale si applicano?
2. Per i criteri che si applicano, i controlli necessari sono soddisfatti?

Durante un'interruzione, non tutte le condizioni possono essere valutate in tempo reale dal servizio di autenticazione di backup per determinare se devono essere applicati criteri di accesso condizionale. Le impostazioni predefinite per la resilienza dell'accesso condizionale sono un nuovo controllo sessione che consente agli amministratori di decidere tra:

• Indica se bloccare le autenticazioni durante un'interruzione ogni volta che una condizione dei criteri non può essere valutata in tempo reale.
• Consentire la valutazione dei criteri usando i dati raccolti all'inizio della sessione dell'utente.

Importante

Le impostazioni predefinite di resilienza vengono abilitate automaticamente per tutti i criteri nuovi ed esistenti e Microsoft consiglia vivamente di lasciare le impostazioni predefinite di resilienza abilitate per ridurre l'impatto di un'interruzione. Amministrazione possono disabilitare le impostazioni predefinite di resilienza per i singoli criteri di accesso condizionale.

Come funziona?

Durante un'interruzione, il servizio di autenticazione di backup ripubblicerà automaticamente i token di accesso per determinate sessioni:

Descrizione sessione	Accesso concesso
Nuova sessione	No
Sessione esistente: non sono configurati criteri di accesso condizionale	Sì
Sessione esistente: i criteri di accesso condizionale configurati e i controlli necessari, ad esempio MFA, sono stati soddisfatti in precedenza	Sì
Sessione esistente: i criteri di accesso condizionale configurati e i controlli necessari, ad esempio MFA, non sono stati soddisfatti in precedenza	Determinato dalle impostazioni predefinite per la resilienza

Quando una sessione esistente scade durante un'interruzione di Microsoft Entra, la richiesta di un nuovo token di accesso viene instradata al servizio di autenticazione di backup e tutti i criteri di accesso condizionale vengono rivalutati. Se non sono presenti criteri di accesso condizionale o tutti i controlli necessari, ad esempio MFA, sono stati precedentemente soddisfatti all'inizio della sessione, il servizio di autenticazione di backup rilascia un nuovo token di accesso per estendere la sessione.

Se i controlli obbligatori di un criterio non sono stati soddisfatti in precedenza, il criterio viene rivalutato per determinare se l'accesso deve essere concesso o negato. Tuttavia, non tutte le condizioni possono essere rivalutate in tempo reale durante un'interruzione. Queste condizioni includono:

• Appartenenza al gruppo
• Appartenenza ai ruoli
• Rischio di accesso
• Rischio utente
• Località paese/area geografica (risoluzione di nuove coordinate IP o GPS)
• Punti di forza dell'autenticazione

Quando è attivo, il servizio di autenticazione di backup non valuta i metodi di autenticazione richiesti dai punti di forza dell'autenticazione. Se è stato usato un metodo di autenticazione non resistente al phishing prima di un'interruzione, durante un'interruzione non viene richiesta l'autenticazione a più fattori anche se si accede a una risorsa protetta da criteri di accesso condizionale con un livello di autenticazione resistente al phishing.

Impostazioni predefinite per la resilienza abilitate

Quando le impostazioni predefinite per la resilienza sono abilitate, il servizio di autenticazione di backup usa i dati raccolti all'inizio della sessione per valutare se i criteri devono essere applicati in assenza di dati in tempo reale. Per impostazione predefinita, tutti i criteri hanno le impostazioni predefinite di resilienza abilitate. L'impostazione potrebbe essere disabilitata per i singoli criteri quando è necessaria la valutazione dei criteri in tempo reale per l'accesso alle applicazioni sensibili durante un'interruzione.

Esempio: un criterio con impostazioni predefinite di resilienza abilitato richiede che a tutti gli utenti sia assegnato un ruolo con privilegi che acceda ai portali di Microsoft Amministrazione per eseguire l'autenticazione a più fattori. Prima di un'interruzione, se un utente a cui non è assegnato un ruolo di amministratore accede al portale di Azure, il criterio non si applica e all'utente verrà concesso l'accesso senza che venga richiesta l'autenticazione a più fattori. Durante un'interruzione, il servizio di autenticazione di backup rivaluta i criteri per determinare se all'utente deve essere richiesta l'autenticazione a più fattori. Poiché il servizio di autenticazione di backup non è in grado di valutare l'appartenenza al ruolo in tempo reale, utilizzerebbe i dati raccolti all'inizio della sessione dell'utente per determinare che i criteri non devono ancora essere applicati. Di conseguenza, all'utente viene concesso l'accesso senza che venga richiesta l'autenticazione a più fattori.

Impostazioni predefinite della resilienza disabilitate

Quando le impostazioni predefinite della resilienza sono disabilitate, il servizio di autenticazione di backup non userà i dati raccolti all'inizio della sessione per valutare le condizioni. Durante un'interruzione, se una condizione dei criteri non può essere valutata in tempo reale, l'accesso viene negato.

Esempio: i criteri con impostazioni predefinite di resilienza disabilitate richiedono che tutti gli utenti a cui sia assegnato un ruolo con privilegi che accedono ai portali di Microsoft Amministrazione per eseguire l'autenticazione a più fattori. Prima di un'interruzione, se un utente a cui non è assegnato un ruolo di amministratore accede al portale di Azure, il criterio non si applica e all'utente verrà concesso l'accesso senza che venga richiesta l'autenticazione a più fattori. Durante un'interruzione, il servizio di autenticazione di backup rivaluta i criteri per determinare se all'utente deve essere richiesta l'autenticazione a più fattori. Poiché il servizio di autenticazione di backup non è in grado di valutare l'appartenenza al ruolo in tempo reale, l'utente potrebbe accedere al portale di Azure.

Avviso

La disabilitazione delle impostazioni predefinite di resilienza per un criterio applicabile a un gruppo o a un ruolo ridurrà la resilienza per tutti gli utenti nel tenant. Poiché l'appartenenza a gruppi e ruoli non può essere valutata in tempo reale durante un'interruzione, anche gli utenti che non appartengono al gruppo o al ruolo nell'assegnazione dei criteri verranno negati l'accesso all'applicazione nell'ambito dei criteri. Per evitare di ridurre la resilienza per tutti gli utenti che non rientrano nell'ambito dei criteri, è consigliabile applicare i criteri a singoli utenti anziché a gruppi o ruoli.

Test delle impostazioni predefinite per la resilienza

Non è possibile eseguire un'esecuzione a secco usando il servizio di autenticazione di backup o simulare il risultato di un criterio con impostazioni predefinite di resilienza abilitate o disabilitate in questo momento. Microsoft Entra esegue esercizi mensili usando il servizio di autenticazione di backup. I log di accesso vengono visualizzati se il servizio di autenticazione di backup è stato usato per rilasciare il token di accesso. Nel pannello Log di accesso di Monitoraggio delle identità>e> integrità è possibile aggiungere il filtro "Token issuer type == Microsoft Entra Backup Auth" per visualizzare i log elaborati dal servizio Di autenticazione di Backup di Microsoft Entra.

Configurazione delle impostazioni predefinite per la resilienza

È possibile configurare le impostazioni predefinite per la resilienza dell'accesso condizionale dall'interfaccia di amministrazione di Microsoft Entra, dalle API Microsoft Graph o da PowerShell.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>dell'accesso condizionale.
3. Creare un nuovo criterio o selezionare un criterio esistente
4. Aprire le impostazioni del controllo sessione
5. Selezionare Disabilita le impostazioni predefinite per la resilienza per disabilitare l'impostazione per questo criterio. Gli accessi nell'ambito dei criteri vengono bloccati durante un'interruzione di Microsoft Entra
6. Salvare le modifiche apportate ai criteri

API Microsoft Graph

È anche possibile gestire le impostazioni predefinite di resilienza per i criteri di accesso condizionale usando l'API Microsoft Graph e Microsoft Graph Explorer.

URL di richiesta di esempio:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Corpo della richiesta di esempio:

{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Questa operazione di patch può essere distribuita usando Microsoft PowerShell dopo l'installazione del modulo Microsoft.Graph.Authentication. Per installare questo modulo, aprire un prompt di PowerShell con privilegi elevati ed eseguire

Install-Module Microsoft.Graph.Authentication

Connessione a Microsoft Graph, richiedendo gli ambiti necessari:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Eseguire l'autenticazione quando richiesto.

Creare il corpo JSON per la richiesta PATCH:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Eseguire l'operazione patch:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Consigli

Microsoft consiglia di abilitare le impostazioni predefinite per la resilienza. Anche se non esistono problemi di sicurezza diretti, i clienti devono valutare se vogliono consentire al servizio di autenticazione di backup di valutare i criteri di accesso condizionale durante un'interruzione usando i dati raccolti all'inizio della sessione anziché in tempo reale.

È possibile che l'appartenenza a un ruolo o a un gruppo di un utente sia cambiata dall'inizio della sessione. Con la valutazione dell'accesso continuo (CAE), i token di accesso sono validi per 24 ore, ma soggetti a eventi di revoca immediata. Il servizio di autenticazione di backup sottoscrive gli stessi eventi di revoca CAE. Se il token di un utente viene revocato come parte di CAE, l'utente non è in grado di accedere durante un'interruzione. Quando le impostazioni predefinite per la resilienza sono abilitate, le sessioni esistenti che scadono durante un'interruzione verranno estese. Le sessioni vengono estese anche se i criteri sono stati configurati con un controllo sessione per applicare una frequenza di accesso. Ad esempio, un criterio con impostazioni predefinite di resilienza abilitate potrebbe richiedere che gli utenti riautenticano ogni ora per accedere a un sito di SharePoint. Durante un'interruzione, la sessione dell'utente verrebbe estesa anche se Microsoft Entra ID potrebbe non essere disponibile per autenticare nuovamente l'utente.

Passaggi successivi

• Valutazione dell'accesso continuo (CAE)