Avaliação de acesso contínuo para o Microsoft 365
Os serviços de nuvem modernos que usam o OAuth 2.0 para autenticação tradicionalmente dependem da expiração do token de acesso para revogar o acesso de uma conta de usuário. Na prática, isso significa que, mesmo que um administrador revogue o acesso de uma conta de usuário, o usuário ainda terá acesso até que o token de acesso expire, que para o Microsoft 365 por padrão, costumava ser até uma hora após o evento de revogação inicial.
A avaliação de acesso contínuo do Microsoft 365 e Microsoft Entra ID encerra proativamente as sessões de usuário ativas e impõe alterações na política de locatário quase em tempo real, em vez de depender da expiração do token de acesso. Microsoft Entra ID notifica os serviços microsoft 365 habilitados para avaliação contínua (como SharePoint, Teams e Exchange) quando a conta de usuário ou locatário foi alterada de uma maneira que requer reavaliação do estado de autenticação da conta de usuário.
Quando um cliente habilitado para avaliação de acesso contínuo, como o Outlook, tenta acessar o Exchange com um token de acesso existente, o token é rejeitado pelo serviço, solicitando uma nova autenticação Microsoft Entra. O resultado é quase uma aplicação em tempo real da conta do usuário e das alterações de política.
Aqui estão alguns benefícios adicionais:
Para um insider mal-intencionado que copia e exporta um token de acesso válido fora da sua organização, a avaliação de acesso contínuo impede o uso desse token por meio de Microsoft Entra política de localização de endereço IP. Com a avaliação de acesso contínuo, Microsoft Entra ID sincroniza políticas para baixo para serviços microsoft 365 com suporte para que quando um token de acesso tenta acessar o serviço de fora do intervalo de endereços IP na política, o serviço rejeita o token.
A avaliação de acesso contínuo melhora a resiliência, exigindo menos atualizações de token. Como os serviços de suporte recebem notificações proativas sobre a necessidade de reauthenticação, Microsoft Entra ID podem emitir tokens de vida mais longa, por exemplo, além de uma hora. Com tokens mais longos, os clientes não precisam solicitar uma atualização de token de Microsoft Entra ID com mais frequência, portanto, a experiência do usuário é mais resiliente.
Aqui estão alguns exemplos de situações em que a avaliação de acesso contínuo melhora a segurança do controle de acesso do usuário:
A senha de uma conta de usuário foi comprometida para que um administrador invalide todas as sessões existentes e redefina sua senha do Centro de administração do Microsoft 365. Quase em tempo real, todas as sessões de usuário existentes com serviços do Microsoft 365 são invalidadas.
Um usuário que trabalha em um documento em Word leva seu tablet para uma cafeteria pública que não está em um intervalo de endereços IP definido pelo administrador e aprovado. Na cafeteria, o acesso do usuário ao documento é bloqueado imediatamente.
Para o Microsoft 365, atualmente, há suporte para a avaliação de acesso contínuo:
- Serviços exchange, SharePoint e Teams.
- Outlook, Teams, Office e OneDrive em um navegador da Web e para os clientes Win32, iOS, Android e Mac.
A Microsoft está trabalhando em serviços e clientes adicionais do Microsoft 365 para dar suporte à avaliação de acesso contínuo.
A avaliação de acesso contínuo será incluída em todas as versões do Office 365 e do Microsoft 365. Configurar políticas de acesso condicional requer Microsoft Entra ID P1, que está incluído em todas as versões do Microsoft 365.
Observação
Consulte este artigo para obter as limitações da avaliação de acesso contínuo.
Cenários compatíveis com o Microsoft 365
A avaliação de acesso contínuo dá suporte a dois tipos de eventos:
- Eventos críticos são aqueles em que um usuário deve perder o acesso.
- A avaliação da política de acesso condicional ocorre quando um usuário deve perder o acesso a um recurso com base em uma política definida pelo administrador.
Eventos críticos incluem:
- A conta de usuário está desabilitada
- A senha é alterada
- As sessões de usuário são revogadas
- A autenticação multifator está habilitada para o usuário
- O risco de conta aumentou com base na avaliação do acesso de Microsoft Entra ID Protection
A avaliação da política de acesso condicional ocorre quando a conta de usuário não está mais se conectando de uma rede confiável.
Atualmente, os serviços do Microsoft 365 a seguir dão suporte à avaliação de acesso contínuo ouvindo eventos de Microsoft Entra ID.
| Tipo de imposição | Exchange | Microsoft Office SharePoint Online | Teams |
|---|---|---|---|
| Eventos críticos: | |||
| Revogação do usuário | Com suporte | Com suporte | Com suporte |
| Risco do usuário | Com suporte | Sem suporte | Com suporte |
| Avaliação da política de acesso condicional: | |||
| Política de localização do endereço IP | Com suporte | Suportado* | Suportado** |
* O acesso ao navegador da Web do SharePoint Office dá suporte à aplicação da política de IP instantânea, habilitando o modo estrito. Sem modo rígido, o tempo de vida do token de acesso é de uma hora.
** Chamadas, reuniões e chat no Teams não estão em conformidade com políticas de acesso condicional baseadas em IP.
Para obter mais informações sobre como configurar uma política de Acesso Condicional, confira este artigo.
Clientes do Microsoft 365 com suporte à avaliação de acesso contínuo
Clientes habilitados para avaliação de acesso contínuo para Microsoft 365 dão suporte a um desafio de declaração, que é um redirecionamento de uma sessão de usuário para Microsoft Entra ID para reauthenticação, quando um token de usuário armazenado em cache é rejeitado por um serviço microsoft 365 habilitado para avaliação de acesso contínuo.
Os seguintes clientes dão suporte à avaliação de acesso contínuo na Web, Win32, iOS, Android e Mac:
- Outlook
- Teams
- Escritório*
- SharePoint
- OneDrive
* Não há suporte para o desafio de declaração no Office para Web.
Para clientes que não dão suporte à avaliação de acesso contínuo, o tempo de vida do token de acesso ao Microsoft 365 permanece como uma hora por padrão.
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de