Acesso condicional: Padrões de resiliência

Se houver uma interrupção do serviço de autenticação primária, o serviço de autenticação de Backup do Azure Active Directory (Azure AD) poderá emitir automaticamente tokens de acesso para os aplicativos para sessões existentes. Essa funcionalidade pode aumentar significativamente a resiliência do Azure AD, pois as reautenticações de sessões existentes são responsáveis por mais de 90% das autenticações no Azure AD. O serviço de autenticação de backup não dá suporte a novas sessões ou autenticações feitas por usuários convidados.

Para autenticações protegidas pelo acesso condicional, as políticas são reavaliadas antes que os tokens de acesso sejam emitidos para determinar:

  1. Quais políticas de acesso condicional aplicar?
  2. Para políticas que se aplicarem, os controles necessários foram satisfeitos?

Durante uma interrupção, nem todas as condições podem ser avaliadas em tempo real pelo serviço de autenticação de backup para determinar se uma política de acesso condicional deve ser aplicada. Os padrões de resiliência de Acesso Condicional são um novo controle de sessão, que permite que os administradores decidam entre:

  • Bloquear as autenticações durante uma interrupção, sempre que uma condição de política não puder ser avaliada em tempo real.
  • Permitir que as políticas sejam avaliadas usando os dados coletados no início da sessão do usuário.

Importante

Os padrões de resiliência são habilitados automaticamente para todas as políticas, tanto as novas quanto as já existentes, e a Microsoft recomenda deixá-los habilitados para atenuar o impacto de uma interrupção. Os administradores podem desabilitar os padrões de resiliência para políticas de acesso condicional individuais.

Como ele funciona?

Durante uma interrupção, o serviço de autenticação de backup reemitirá automaticamente tokens de acesso para determinadas sessões:

Descrição da sessão Acesso concedido
Nova sessão Não
Sessão existente – Nenhuma política de acesso condicional está configurada Sim
Sessão existente – as políticas de acesso condicional configuradas e os controles necessários, como a MFA, foram atendidas anteriormente Sim
Sessão existente – as políticas de acesso condicional configuradas e os controles necessários, como a MFA, não foram atendidas anteriormente Determinado por padrões de resiliência

Quando uma sessão existente expira durante uma interrupção do Azure AD, a solicitação de um novo token de acesso é roteada para o serviço de autenticação de backup e todas as políticas de acesso condicional são reavaliadas. Se não houver nenhuma política de acesso condicional ou todos os controles necessários, como a MFA, foram previamente atendidos no início da sessão, o serviço de autenticação de backup emitirá um novo token de acesso para estender a sessão.

Se os controles necessários de uma política não foram atendidos anteriormente, a política será reavaliada para determinar se o acesso deve ser concedido ou negado. No entanto, nem todas as condições podem ser reavaliadas em tempo real durante uma interrupção. Essas condições incluem:

  • Associação de grupo
  • Associação de Função
  • Risco de entrada
  • Risco do usuário
  • Localização do país (resolvendo novas coordenadas de IP ou GPS)

Padrões de resiliência habilitados

Quando os padrões de resiliência estão habilitados, o serviço de autenticação de backup pode usar os dados coletados no início da sessão para avaliar, na ausência de dados em tempo real, se a política deve ser aplicada. Por padrão, todas as políticas terão os padrões de resiliência habilitados. A configuração pode ser desabilitada para políticas individuais quando a avaliação da política em tempo real for necessária para o acesso a aplicativos confidenciais durante uma interrupção.

Exemplo: uma política com padrões de resiliência habilitados requer que todos os administradores globais acessem o portal do Azure para fazer a MFA. Antes de uma interrupção, se um usuário que não for um administrador global acessar o portal do Azure, a política não se aplicará e o usuário receberá o acesso sem ser solicitado a realizar a MFA. Durante uma interrupção, o serviço de autenticação de backup reavalia a política para determinar se o usuário deve ser solicitado a realizar a MFA. Como o serviço de autenticação de backup não pode avaliar a associação de função em tempo real, ele usa os dados coletados no início da sessão do usuário para determinar se a política ainda não deverá ser aplicada. Como resultado, o usuário receberia o acesso sem ser solicitado pela MFA.

Padrões de resiliência desabilitados

Quando os padrões de resiliência estiverem desabilitados, o serviço de autenticação de backup não usará os dados coletados no início da sessão para avaliar as condições. Durante uma interrupção, se uma condição de política não puder ser avaliada em tempo real, o acesso será negado.

Exemplo: uma política com padrões de resiliência desabilitados requer que todos os administradores globais acessem o portal do Azure para realizar a MFA. Antes de uma interrupção, se um usuário que não for um administrador global acessar o portal do Azure, a política não se aplicará e o usuário receberá o acesso sem ser solicitado a realizar a MFA. Durante uma interrupção, o serviço de autenticação de backup reavalia a política para determinar se o usuário deve ser solicitado a realizar a MFA. Como o serviço de autenticação de backup não pode avaliar a associação de função em tempo real, ele impede que o usuário acesse o portal do Azure.

Aviso

Desabilitar os padrões de resiliência de uma política que se aplica a um grupo ou função reduzirá a resiliência para todos os usuários em seu locatário. Como a associação de grupo e de função não podem ser avaliadas em tempo real durante uma interrupção, até mesmo os usuários que não pertencem ao grupo ou à função na atribuição de política terão o acesso negado ao aplicativo no escopo da política. Para evitar a redução da resiliência para todos os usuários que não estejam no escopo da política, considere aplicar a política a usuários individuais em vez de grupos ou funções.

Testando padrões de resiliência

No momento, não é possível conduzir uma simulação usando o serviço de autenticação de backup, nem simular o resultado de uma política com padrões de resiliência habilitados ou desabilitados. O Azure AD realizará exercícios mensais usando o Serviço de Autenticação de Backup. Os logs de entrada serão exibidos, se o Serviço de Autenticação de Backup foi usado para emitir o token de acesso.

Configurar padrões de resiliência

Você pode configurar padrões de resiliência de acesso condicional pelo portal do Azure, pelas APIs do Graph ou pelo PowerShell.

Portal do Azure

  1. Navegue até o portal do Azure>Segurança>Acesso condicional
  2. Crie uma nova política ou selecione uma já existente
  3. Abra as Configurações de controle de sessão
  4. Selecione Desabilitar padrões de resiliência para desabilitar a configuração dessa política. As entradas no escopo da política serão bloqueadas durante uma interrupção do Azure AD
  5. Salvas as alterações na política

APIs do Graph

Você também pode gerenciar padrões de resiliência para suas políticas de acesso condicional usando a API do Graph e o Microsoft Graph Explorer.

Exemplo de URL da solicitação:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Exemplo de corpo da solicitação:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Essa operação de patch pode ser implantada usando o Microsoft PowerShell após a instalação do módulo Microsoft.Graph.Authentication. Para instalar este módulo, abra um prompt do PowerShell com privilégios elevados e execute

Install-Module Microsoft.Graph.Authentication

Conecte-se ao Microsoft Graph, solicitando os escopos necessários –

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Faça a autenticação quando solicitado.

Crie o corpo JSON para a solicitação de PATCH –

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Execute a operação de patch –

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Recomendações

A Microsoft recomenda habilitar padrões de resiliência. Embora não haja nenhuma preocupação direta quanto à segurança, os clientes devem avaliar se desejam permitir que o serviço de autenticação de backup avalie as políticas de acesso condicional durante uma interrupção usando os dados coletados no início da sessão, em vez de em tempo real.

É possível que a função ou associação de grupo de um usuário possa ter sido alterada desde o início da sessão. Com a CAE (avaliação contínua de acesso), os tokens de acesso são válidos por 24 horas, mas ficam sujeitos a eventos de revogação instantânea. O serviço de autenticação de backup assina os mesmos eventos de revogação de CAE. Se o token de um usuário for revogado como parte da CAE, o usuário não poderá entrar durante uma interrupção. Quando os padrões de resiliência são habilitados, as sessões existentes que expirarem durante uma interrupção serão estendidas. As sessões serão estendidas mesmo que a política tenha sido configurada com um controle de sessão para impor uma frequência de entrada. Por exemplo, uma política com padrões de resiliência habilitados pode exigir que os usuários façam a autenticação novamente a cada hora para acessar um site do SharePoint. Durante uma interrupção, a sessão do usuário seria estendida, embora o Azure AD possa não estar disponível para autenticar o usuário novamente.

Próximas etapas