Configurar o gerenciamento de sessão de autenticação com Acesso Condicional

Em implantações complexas, talvez as organizações precisem restringir as sessões de autenticação. Alguns cenários podem incluir:

  • Acesso a recursos de um dispositivo não gerenciado ou compartilhado
  • Acesso a informações confidenciais de uma rede externa
  • Usuários com alto impacto
  • Aplicativos de negócios críticos

Os controles de Acesso condicional permitem criar políticas direcionadas a casos de uso específicos na organização, sem afetar todos os usuários.

Antes de analisar detalhadamente como configurar a política, vamos examinar a configuração padrão.

Frequência de entrada do usuário

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso.

A configuração padrão do Azure Active Directory (Microsoft Azure AD) para a frequência de entrada do usuário é uma janela contínua de 90 dias. Solicitar credenciais aos usuários frequentemente parece uma coisa sensata a se fazer, mas o tiro pode sair pela culatra: os usuários treinados para inserir suas credenciais sem pensar podem fornecê-las involuntariamente a uma solicitação de credencial mal-intencionada.

Pode parecer alarmante não solicitar que um usuário entre novamente e, na verdade, qualquer violação das políticas de TI revogará a sessão. Alguns exemplos incluem, mas não se limitam a: uma alteração de senha, um dispositivo incompatível ou uma desabilitação de conta. Você também pode revogar as sessões de usuários explicitamente usando o PowerShell. A configuração padrão do Azure AD é “não solicitar que os usuários forneçam suas credenciais se a postura de segurança de suas sessões não tiver sido alterada”.

A configuração da frequência de entrada funciona com aplicativos que tenham implementado protocolos OAUTH2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e Celular, incluindo os aplicativos Web a seguir, está em conformidade com a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

A configuração da frequência de entrada também funciona com aplicativos SAML, desde que eles não removam seus próprios cookies e sejam redirecionados para o Azure AD para autenticação regularmente.

Frequência de entrada do usuário e autenticação multifator

Anteriormente, a frequência de entrada se aplicava somente à autenticação de primeiro fator em dispositivos ingressados no Azure AD, ingressados no Azure AD Híbrido e registrados no Microsoft Azure AD. Não havia uma maneira fácil de os clientes reimporem a autenticação multifator (MFA) nesses dispositivos. Com base nos comentários dos clientes, a frequência de entrada também se aplicará à MFA.

Sign in frequency and MFA

Frequência de entrada do usuário e identidades do dispositivo

Caso você tenha dispositivos ingressados no Azure AD, ingressados no Azure AD híbrido ou registrados no Azure AD, quando um usuário desbloquear o dispositivo ou entrar de modo interativo, esse evento também atenderá à política de frequência de entrada. Nos dois exemplos a seguir, a frequência de entrada do usuário é definida como 1 hora:

Exemplo 1:

  • À 00:00, um usuário entra em seu dispositivo ingressado no Azure AD do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
  • O usuário continua trabalhando no mesmo documento em seu próprio dispositivo por uma hora.
  • À 01:00, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada na política de Acesso condicional configurada pelo administrador.

Exemplo 2:

  • À 00:00, um usuário entra em seu dispositivo ingressado no Azure AD do Windows 10 e inicia o trabalho em um documento armazenado no SharePoint Online.
  • À 00:30, o usuário se levanta e faz um intervalo, bloqueando o dispositivo.
  • À 00:45, o usuário retorna do intervalo e desbloqueia o dispositivo.
  • À 01:45, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada da política de Acesso condicional configurada pelo administrador, uma vez que a última entrada ocorreu à 00:45.

Exigir reautenticação toda vez (versão prévia)

Há cenários em que os clientes podem querer exigir uma nova autenticação, sempre antes que um usuário executar ações específicas. A frequência de entrada tem uma nova opção para Sempre, além de horas ou dias.

A versão prévia pública dá suporte aos seguintes cenários:

Quando os administradores selecionarem Sempre, isso exigirá reautenticação total quando a sessão for avaliada.

Observação

Uma versão prévia antecipada incluiu a opção de solicitar métodos de autenticação secundários apenas na reautenticação. Essa opção não tem mais suporte e não deve ser usada.

Persistência de sessões de navegação

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

O padrão do Azure AD para persistência de sessão de navegador permite que os usuários em dispositivos pessoais escolham se desejam manter a sessão mostrando a solicitação “Permanecer conectado?” após a autenticação bem-sucedida. Se a persistência do navegador estiver configurada no AD FS usando as diretrizes no artigo Configurações de logon único do AD FS, também vamos obedecer a essa política e persistir a sessão do Azure AD. Você também pode definir se os usuários em seu locatário visualizam a solicitação “Permanecer conectado?” alterando a configuração apropriada no painel de identidade visual da empresa no portal do Azure usando as diretrizes no artigo Personalizar sua página de entrada do Microsoft Azure AD.

Configurar controles da sessão de autenticação

Acesso Condicional é um recurso Azure AD Premium e requer uma licença Premium. Se você quiser saber mais sobre Acesso Condicional, consulte O que é Acesso Condicional no Azure Active Directory?

Aviso

Se você estiver usando o recurso de tempo de vida de token configurável, atualmente em versão preliminar pública, observe que não há suporte para a criação de duas políticas diferentes para a mesma combinação de usuário ou aplicativo: uma com esse recurso e outra com o recurso de tempo de vida de token configurável. A Microsoft desativou o recurso de tempo de vida de token configurável para atualização e tempos de vida de token de sessão em 30 de janeiro de 2021, substituindo-o pelo recurso de gerenciamento de sessão de autenticação de Acesso Condicional.

Antes de habilitar a Frequência de Entrada, verifique se outras configurações de reautenticação estão desabilitadas em seu locatário. Se "Lembrar MFA em dispositivos confiáveis" estiver habilitado, certifique-se de desabilitá-lo antes de usar a Frequência de Entrada, pois usar essas duas configurações em conjunto pode levar à solicitação de usuários inesperadamente. Para saber mais sobre solicitações de reautenticação e tempo de vida da sessão, consulte o artigo Otimizar solicitações de reautenticação e entender o tempo de vida da sessão para a Autenticação Multifator do Microsoft Azure AD.

Implantação de política

Para garantir que sua política funcione conforme o esperado, a melhor prática é testá-la antes de distribuí-la em produção. O ideal é usar um locatário de teste para verificar se a nova política funciona conforme o esperado. Para obter mais informações, consulte o artigo Planejar uma implantação de Acesso Condicional.

Política 1: Controle de frequência de entrada

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de acesso condicional.

  2. Procure Azure Active Directory>Segurança>Acesso Condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

    Observação

    É recomendável definir a frequência de solicitação de autenticação igual para os principais aplicativos do Microsoft Office, como o Exchange Online e o SharePoint Online para uma melhor experiência do usuário.

  6. Em Controles de acesso>Sessão.

    1. Selecione Frequência de entrada.
    2. Insira o valor necessário de dias ou horas na primeira caixa de texto.
    3. Selecione um valor de Horas ou Dias no menu suspenso.
  7. Salve sua política.

Conditional Access policy configured for sign-in frequency

Em dispositivos Windows registrados no Azure AD, a entrada de dispositivos é considerada uma solicitação. Por exemplo, se você tiver configurado a frequência de entrada como 24 horas para aplicativos do Office, os usuários em dispositivos Windows registrados no Azure AD atenderão à política de frequência de entrada entrando no dispositivo e não serão solicitados novamente ao abrir os aplicativos do Office.

Política 2: Sessão persistente do navegador

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de acesso condicional.

  2. Procure Azure Active Directory>Segurança>Acesso Condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias.

    Observação

    Observe que esse controle exige que você escolha "Todos os Aplicativos de Nuvem" como uma condição. A persistência da sessão do navegador é controlada pelo token de sessão de autenticação. Todas as guias em uma sessão de navegador compartilham um único token de sessão e, portanto, todas precisam compartilhar o estado de persistência.

  6. Em Controles de acesso>Sessão.

    1. Selecione Sessão de navegador persistente.
    2. Selecione um valor no menu suspenso.
  7. Salve sua política.

Conditional Access policy configured for persistent browser

Observação

A configuração de Sessão Persistente de Navegador no Acesso Condicional do Microsoft Azure AD substituirá a configuração “Continuar conectado?” no painel de identidade visual da empresa no portal do Azure para o mesmo usuário se você tiver configurado ambas as políticas.

Política 3: Usar o controle de frequência de entrada sempre com um usuário suspeito

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de acesso condicional.
  2. Procure Azure Active Directory>Segurança>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários e Grupos.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em Condições>Risco do usuário, defina Configurar como Sim. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto e, em seguida, selecione Concluído.
  8. Em Controles de acesso>Conceder, selecione Conceder acesso, Solicitar alteração de senha e escolha Selecionar.
  9. Em Controles de sessão>Frequência de entrada, selecione Sempre (versão prévia).
  10. Confirme suas configurações e defina Habilitar política com Somente relatório.
  11. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem suas configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Validação

Use a ferramenta What If para simular um logon do usuário para o aplicativo de destino e outras condições com base na forma como você configurou sua política. Os controles de gerenciamento de sessão de autenticação aparecem nos resultados da ferramenta.

Conditional Access What If tool results

Tolerância de prompt

Fatoramos para cinco minutos de distorção do relógio, de modo que não solicitamos aos usuários com mais frequência do que uma vez a cada cinco minutos. Se o usuário tiver feito a MFA nos últimos 5 minutos e atingir outra política de acesso condicional que exija reautenticação, não solicitaremos ao usuário. A promoção excessiva de usuários para reautenticação pode afetar a produtividade deles e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. É altamente recomendável usar "Frequência de entrada – Sempre" apenas para necessidades comerciais específicas.

Problemas conhecidos

  • Se você configurar a frequência de entrada para dispositivos móveis, a autenticação após cada intervalo de frequência de entrada pode ser lenta (pode levar 30 segundos em média). Isso também pode acontecer em vários aplicativos ao mesmo tempo.
  • Em dispositivos iOS, se um aplicativo configurar certificados como o primeiro fator de autenticação e tiver a frequência de entrada e as políticas de gerenciamento de aplicativo móvel do Intune aplicadas, os usuários finais serão impedidos de entrar no aplicativo quando a política for disparada.

Próximas etapas