Avaliação de acesso contínuo para Microsoft 365

Aplica-se a

Os serviços de nuvem modernos que usam o OAuth 2.0 para autenticação tradicionalmente dependem da expiração do token de acesso para revogar o acesso de uma conta de usuário. Na prática, isso significa que, mesmo se um administrador revogar o acesso de uma conta de usuário, o usuário ainda terá acesso até que o token de acesso expire Microsoft 365, que, por padrão, era usado para ser até uma hora após o evento de revogação inicial ter ocorrido.

A avaliação de acesso condicional para o Microsoft 365 e o Azure Active Directory (Azure AD) encerra proativamente sessões de usuário ativas e impõe alterações de política de locatário em tempo quase real, em vez de depender da expiração do token de acesso. O Azure AD notifica os serviços de Microsoft 365 habilitados para avaliação de acesso contínuo (como SharePoint, Teams e Exchange) quando a conta de usuário ou locatário foi alterada de forma que exija reavaliação do estado de autenticação da conta de usuário.

Quando um cliente habilitado para avaliação de acesso contínuo, como Outlook, tenta acessar o Exchange com um token de acesso existente, o token é rejeitado pelo serviço, solicitando uma nova autenticação do Azure AD. O resultado é a imposição quase em tempo real das alterações da conta de usuário e da política.

Aqui estão alguns benefícios adicionais:

  • Para um insider mal-intencionado que copia e exporta um token de acesso válido fora da sua organização, a avaliação de acesso contínuo impede o uso desse token por meio da política de local de endereço IP do Azure AD. Com a avaliação de acesso contínuo, o Azure AD sincroniza as políticas para os serviços de Microsoft 365 suportados, portanto, quando um token de acesso tenta acessar o serviço de fora do intervalo de endereços IP na política, o serviço rejeita o token.

  • A avaliação de acesso contínuo melhora a resiliência, exigindo menos atestras de token. Como os serviços de suporte recebem notificações proativas sobre a necessidade de reauthentication, o Azure AD pode emitir tokens de vida mais longa, por exemplo, além de uma hora. Com tokens de vida mais longa, os clientes não têm que solicitar uma atualização de token do Azure AD com frequência, portanto, a experiência do usuário é mais resiliente.

Aqui estão alguns exemplos de situações em que a avaliação de acesso contínuo melhora a segurança do controle de acesso do usuário:

  • A senha de uma conta de usuário foi comprometida, portanto, um administrador invalida todas as sessões existentes e redefine sua senha do Centro de administração do Microsoft 365. Em tempo quase real, todas as sessões de usuário existentes com Microsoft 365 serviços são invalidadas.

  • Um usuário trabalhando em um documento no Word leva seu tablet para uma cafeteria pública que não está em um intervalo de endereços IP definido pelo administrador e aprovado. Na cafeteria, o acesso do usuário ao documento é bloqueado imediatamente.

Para Microsoft 365, a avaliação de acesso contínuo é suportada atualmente pelo:

  • Exchange, SharePoint e Teams serviços.
  • Outlook, Teams, Office e OneDrive em um navegador da Web e para os clientes Win32, iOS, Android e Mac.

A Microsoft está trabalhando em serviços Microsoft 365 e clientes adicionais para dar suporte à avaliação de acesso contínuo.

A avaliação de acesso contínuo será incluída em todas as versões Office 365 e Microsoft 365. Configurar políticas de Acesso Condicional requer Azure AD Premium P1, que está incluído em todas as Microsoft 365 versões.

Observação

Consulte este artigo para saber as limitações da avaliação de acesso contínuo.

Cenários suportados por Microsoft 365

A avaliação de acesso contínuo dá suporte a dois tipos de eventos:

  • Eventos críticos são aqueles em que um usuário deve perder acesso.
  • A avaliação da política de Acesso Condicional ocorre quando um usuário deve perder o acesso a um recurso com base em uma política definida pelo administrador.

Os eventos críticos incluem:

  • Conta de usuário desabilitada
  • A senha é alterada
  • As sessões de usuário são revogadas
  • A autenticação multifator está habilitada para o usuário
  • Risco de conta aumentado com base na avaliação do acesso da Proteção de Identidade do Azure AD

A avaliação da política de Acesso Condicional ocorre quando a conta de usuário não está mais se conectando de uma rede confiável.

Os seguintes Microsoft 365 atualmente suportam a avaliação de acesso contínuo escutando eventos do Azure AD.



Tipo de imposição Exchange Microsoft Office SharePoint Online Teams
Eventos críticos:
Revogação do usuário Com suporte Com suporte Com suporte
Risco do usuário Com suporte Sem suporte Incompatível
Avaliação da política de Acesso Condicional:
Política de local de endereço IP Compatível Com suporte* Compatível

*SharePoint Office de navegador da Web oferece suporte à imposição de política IP instantânea habilitando o modo estrito. Sem o modo estrito, o tempo de vida do token de acesso é de uma hora.

Para obter mais informações sobre como configurar uma política de Acesso Condicional, consulte este artigo.

Microsoft 365 clientes que suportam a avaliação de acesso contínuo

Clientes habilitados para avaliação de acesso contínuo para Microsoft 365 suportam um desafio de declaração, que é um redirecionamento de uma sessão de usuário para o Azure AD para reauthentication, quando um token de usuário em cache é rejeitado por um serviço de Microsoft 365 habilitado para avaliação de acesso contínuo.

Os clientes a seguir suportam a avaliação de acesso contínuo na Web, Win32, iOS, Android e Mac:

  • Outlook
  • Teams
  • Office*
  • SharePoint
  • OneDrive

*O desafio de declaração não é suportado no Office para Web.

Para clientes que não suportam a avaliação de acesso contínuo, o tempo de vida do token de acesso a ser Microsoft 365 permanece como uma hora por padrão.

Confira também