Condividi tramite

Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Microsoft Entra

  • Articolo

Microsoft Entra ID include più impostazioni che determinano la frequenza con cui gli utenti devono ripetere l'autenticazione. Questa riautenticazione può essere con un primo fattore, ad esempio password, FIDO o Microsoft Authenticator senza password o per eseguire l'autenticazione a più fattori. È possibile configurare queste impostazioni di riautenticazione in base alle esigenze per il proprio ambiente e l'esperienza utente desiderata.

La configurazione predefinita di Microsoft Entra ID per la frequenza di accesso utente è una finestra mobile di 90 giorni. Chiedere agli utenti le credenziali spesso sembra una cosa sensata da fare, ma può ripristinare il fuoco. Se gli utenti vengono sottoposti a training per immettere le proprie credenziali senza pensare, possono fornire involontariamente le credenziali a un prompt delle credenziali dannose.

Potrebbe sembrare allarmante non chiedere a un utente di eseguire nuovamente l'accesso, anche se qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi includono una modifica della password, un dispositivo non conforme o un'operazione di disabilitazione dell'account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando Microsoft Graph PowerShell.

Questo articolo illustra in dettaglio le configurazioni consigliate e il funzionamento delle diverse impostazioni e l'interazione tra loro.

Per offrire agli utenti il giusto equilibrio tra sicurezza e facilità d'uso chiedendo loro di accedere alla frequenza corretta, è consigliabile usare le configurazioni seguenti:

  • Se si dispone di Microsoft Entra ID P1 o P2:
    • Abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usando dispositivi gestiti o Seamless SSO.
    • Se è necessaria la riautenticazione, usare un criterio di frequenza di accesso condizionale.
    • Per gli utenti che accedono da dispositivi non gestiti o da scenari di dispositivi mobili, le sessioni del browser persistente potrebbero non essere preferibili oppure è possibile usare l'accesso condizionale per abilitare sessioni del browser permanenti con criteri di frequenza di accesso. Limitare la durata a un tempo appropriato in base al rischio di accesso, in cui un utente con meno rischi ha una durata di sessione più lunga.
  • Se si hanno licenze di Microsoft 365 apps o il livello Gratuito di Microsoft Entra:
    • Abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usando dispositivi gestiti o Seamless SSO.
    • Mantenere abilitata l'opzione Mantieni l'accesso e guidare gli utenti ad accettarla.
  • Per gli scenari dei dispositivi mobili, assicurarsi che gli utenti usino l'app Microsoft Authenticator. Questa app viene usata come broker per altre app federate di Microsoft Entra ID e riduce le richieste di autenticazione nel dispositivo.

La ricerca mostra che queste impostazioni sono appropriate per la maggior parte dei tenant. Alcune combinazioni di queste impostazioni, ad esempio Remember MFA e Remain signed-in, possono comportare richieste troppo frequenti per gli utenti di eseguire l'autenticazione. Le normali richieste di riautenticazione sono negative per la produttività degli utenti e possono renderle più vulnerabili agli attacchi.

Impostazioni di configurazione della durata della sessione di Microsoft Entra

Per ottimizzare la frequenza delle richieste di autenticazione per gli utenti, è possibile configurare le opzioni di durata della sessione di Microsoft Entra. Comprendere le esigenze dell'azienda e degli utenti e configurare le impostazioni che offrono il miglior equilibrio per l'ambiente.

Valutare i criteri di durata della sessione

Senza alcuna impostazione di durata della sessione, nella sessione del browser non sono presenti cookie persistenti. Ogni volta che un utente chiude e apre il browser, riceve una richiesta di riautenticazione. Nei client di Office, il periodo di tempo predefinito è una finestra mobile di 90 giorni. Con questa configurazione predefinita di Office, se l'utente ha reimpostato la password o si è verificata un'inattività di oltre 90 giorni, l'utente deve ripetere l'autenticazione con tutti i fattori necessari (primo e secondo fattore).

Un utente potrebbe visualizzare più richieste di autenticazione a più fattori in un dispositivo che non ha un'identità in Microsoft Entra ID. Quando ogni applicazione ha un proprio token di aggiornamento OAuth non condiviso con altre app client, vengono restituite più richieste. In questo scenario, L'autenticazione a più fattori richiede più volte che ogni applicazione richieda la convalida di un token di aggiornamento OAuth con MFA.

In Microsoft Entra ID, i criteri più restrittivi per la durata della sessione determinano quando l'utente deve ripetere l'autenticazione. Prendi in considerazione lo scenario seguente:

  • Si abilita l'accesso a Remain, che usa un cookie del browser persistente e
  • È anche possibile abilitare l'autenticazione a più fattori per 14 giorni

In questo scenario di esempio, l'utente deve ripetere l'autenticazione ogni 14 giorni. Questo comportamento segue i criteri più restrittivi, anche se l'opzione Mantieni l'accesso non richiederebbe l'autenticazione dell'utente nel browser.

Dispositivi gestiti

I dispositivi aggiunti a Microsoft Entra ID usando l'aggiunta a Microsoft Entra o l'aggiunta ibrida di Microsoft Entra ricevono un token di aggiornamento primario (PRT) per l'uso dell'accesso Single Sign-On (SSO) tra le applicazioni. Questa richiesta pull consente a un utente di accedere una sola volta nel dispositivo e consente al personale IT di assicurarsi che vengano soddisfatti gli standard per la sicurezza e la conformità. Se un utente deve essere richiesto di accedere più frequentemente in un dispositivo aggiunto per alcune app o scenari, è possibile farlo usando frequenza di accesso condizionale.

Mostra opzione per rimanere connesso

Quando un utente seleziona Sì nell'opzione Mantieni accesso? durante l'accesso, nel browser viene impostato un cookie permanente. Questo cookie persistente memorizza sia il primo che il secondo fattore e si applica solo per le richieste di autenticazione nel browser.

Screenshot della richiesta di esempio di rimanere connesso

Se si dispone di una licenza Microsoft Entra ID P1 o P2, è consigliabile usare i criteri di accesso condizionale per la sessione del browser persistente. Questo criterio sovrascrive l'impostazione Mantieni l'accesso ? e offre un'esperienza utente migliorata. Se non si dispone di una licenza microsoft Entra ID P1 o P2, è consigliabile abilitare l'impostazione per rimanere connessi per gli utenti.

Per altre informazioni sulla configurazione dell'opzione per consentire agli utenti di rimanere connessi, vedere How to manage the 'Stay signed in?' prompt.For more information on configuring the option to let users remain-in sign-in, see How to manage the 'Stay signed in?' prompt.

Ricordare l'autenticazione a più fattori

Questa impostazione consente di configurare i valori compresi tra 1 e 365 giorni e di impostare un cookie permanente nel browser quando un utente seleziona l'opzione Non chiedere di nuovo X giorni all'accesso.

Screenshot della richiesta di esempio di approvazione di una richiesta di accesso

Anche se questa impostazione riduce il numero di autenticazioni nelle app Web, aumenta il numero di autenticazioni per i client di autenticazione moderni, ad esempio i client di Office. Questi client richiedono normalmente solo dopo la reimpostazione della password o l'inattività di 90 giorni. Tuttavia, l'impostazione di questo valore su meno di 90 giorni riduce le richieste di autenticazione a più fattori predefinite per i client Office e aumenta la frequenza di autenticazione. Se usato in combinazione con i criteri Di accesso condizionale o Di accesso condizionale, può aumentare il numero di richieste di autenticazione.

Se si usa Remember MFA e si hanno licenze P1 o P2 di Microsoft Entra ID, valutare la possibilità di eseguire la migrazione di queste impostazioni alla frequenza di accesso condizionale. In caso contrario, è consigliabile usare Mantieni l'accesso?

Per altre informazioni, vedere Ricordare l'autenticazione a più fattori.

Gestione delle sessioni di autenticazione con accesso condizionale

La frequenza di accesso consente all'amministratore di scegliere la frequenza di accesso applicabile sia per il primo che per il secondo fattore sia nel client che nel browser. È consigliabile usare queste impostazioni, insieme all'uso di dispositivi gestiti, in scenari in cui è necessario limitare la sessione di autenticazione, ad esempio per le applicazioni aziendali critiche.

La sessione del browser persistente consente agli utenti di rimanere connessi dopo la chiusura e la riapertura della finestra del browser. Analogamente all'impostazione Rimangono connessi , imposta un cookie permanente nel browser. Tuttavia, poiché è configurato dall'amministratore, l'utente non richiede che l'utente selezioni nell'opzione Mantieni connesso? in modo da offrire un'esperienza utente migliore. Se si usa l'opzione Mantieni l'accesso ? è consigliabile abilitare invece i criteri sessione del browser persistente.

Per altre informazioni, vedere Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale.

Durata dei token configurabili

Questa impostazione consente la configurazione della durata per il token rilasciato da Microsoft Entra ID. Questo criterio viene sostituito dalla gestione della sessione di autenticazione con l'accesso condizionale. Se attualmente si usano durate di token configurabili , è consigliabile avviare la migrazione ai criteri di accesso condizionale.

Esaminare la configurazione del tenant

Dopo aver compreso il funzionamento delle diverse impostazioni e la configurazione consigliata, è possibile controllare i tenant. È possibile iniziare esaminando i log di accesso per comprendere quali criteri di durata della sessione sono stati applicati durante l'accesso.

In ogni log di accesso passare alla scheda Dettagli autenticazione ed esplorare Criteri di durata sessione applicati. Per altre informazioni, vedere l'articolo Informazioni sui dettagli dell'attività del log di accesso.

Screenshot dei dettagli dell'autenticazione.

Per configurare o esaminare l'opzione Mantieni l'accesso, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.
  2. Passare a Identity Company Branding (Personalizzazione aziendale delle identità>), quindi per ogni impostazione locale scegliere Mostra opzione per rimanere connessi.
  3. Scegliere e quindi Salva.

Per ricordare le impostazioni di autenticazione a più fattori nei dispositivi attendibili, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Protezione>autenticazione a più fattori.
  3. In Configura selezionare Impostazioni MFA aggiuntive basate sul cloud.
  4. Nella pagina delle impostazioni del servizio di autenticazione a più fattori scorrere per ricordare le impostazioni di autenticazione a più fattori. Disabilitare l'impostazione deselezionando la casella di controllo.

Per configurare i criteri di accesso condizionale per la frequenza di accesso e la sessione del browser persistente, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Configurare un criterio usando le opzioni di gestione delle sessioni consigliate descritte in questo articolo.

Per esaminare la durata dei token, usare Azure AD PowerShell per eseguire query sui criteri di Microsoft Entra. Disabilitare tutti i criteri applicati.

Se nel tenant sono abilitate più impostazioni, è consigliabile aggiornare le impostazioni in base alle licenze disponibili. Ad esempio, se si dispone di licenze microsoft Entra ID P1 o P2, è consigliabile usare solo i criteri di accesso condizionale della frequenza di accesso e della sessione del browser persistente. Se si dispone di licenze Microsoft 365 apps o Microsoft Entra ID Free, è consigliabile usare la configurazione Remain signed-in? .

Se sono state abilitate le durate dei token configurabili, questa funzionalità verrà rimossa a breve. Pianificare una migrazione a un criterio di accesso condizionale.

La tabella seguente riepiloga le raccomandazioni in base alle licenze:

App Microsoft Entra ID Gratuito e Microsoft 365 Microsoft Entra ID P1 o P2
SSO Microsoft Entra join o Microsoft Entra hybrid join o Seamless SSO per dispositivi non gestiti. Microsoft Entra unisce
Aggiunta a Microsoft Entra ibrido
Impostazioni di riautenticazione Rimanere connessi Usare i criteri di accesso condizionale per la frequenza di accesso e la sessione del browser persistente

Passaggi successivi

Per iniziare, completare l'esercitazione Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Microsoft Entra o Usare i rilevamenti dei rischi per gli accessi utente per attivare l'autenticazione a più fattori Microsoft Entra.