Implementar o gerenciamento de sessão

  • 3 minutos

Em implementações complexas, as organizações podem ter a necessidade de restringir as sessões de autenticação. Alguns cenários podem incluir:

  • Acesso a recursos a partir de um dispositivo não gerenciado ou compartilhado.
  • Acesso a informações confidenciais a partir de uma rede externa.
  • Usuários executivos ou de alta prioridade.
  • Aplicativos de negócios críticos.

Os controles de Acesso Condicional permitem que você crie políticas direcionadas a casos de uso específicos em sua organização sem afetar todos os usuários.

Antes de entrar em detalhes sobre como configurar a política, vamos examinar a configuração padrão.

Frequência de início de sessão do utilizador

A frequência de início de sessão define o período de tempo antes de ser pedido a um utilizador que inicie sessão novamente quando tentar aceder a um recurso.

A configuração padrão do Microsoft Entra ID para a frequência de entrada do usuário é uma janela contínua de 90 dias. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a fazer, mas pode sair pela culatra: os usuários que são treinados para inserir suas credenciais sem pensar podem fornecê-las involuntariamente a um prompt de credenciais mal-intencionado.

Pode soar alarmante não pedir para um usuário entrar novamente; na realidade, qualquer violação das políticas de TI revogará a sessão. Alguns exemplos incluem uma alteração de senha, um dispositivo incompatível ou uma conta desativada. Você também pode revogar explicitamente as sessões dos usuários usando o PowerShell. A configuração padrão do Microsoft Entra ID se resume a "não peça aos usuários que forneçam suas credenciais se a postura de segurança de suas sessões não tiver mudado".

A definição de frequência de início de sessão funciona com aplicações que implementaram protocolos OAUTH2 ou OIDC de acordo com as normas. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e dispositivos móveis, incluindo os seguintes aplicativos Web, está em conformidade com a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

A configuração de frequência de entrada também funciona com aplicativos SAML, desde que eles não soltem seus próprios cookies e sejam redirecionados de volta para o Microsoft Entra ID para autenticação regularmente.

Frequência de início de sessão do utilizador e autenticação multifator

A frequência de início de sessão aplicava-se anteriormente apenas à primeira autenticação de fator em dispositivos em que o Microsoft Entra aderiu, o Microsoft Entra híbrido aderiu e o Microsoft Entra registou. Não havia uma maneira fácil para nossos clientes reforçarem a autenticação multifator (MFA) nesses dispositivos. Com base nos comentários dos clientes, a frequência de início de sessão também se aplicará ao MFA.

Diagrama do processo de entrada de autenticação multifator com frequência de entrada.

Frequência de início de sessão do utilizador e identidades do dispositivo

Se você tiver o Microsoft Entra ingressado, o Microsoft Entra híbrido ou dispositivos registrados do Microsoft Entra, quando um usuário desbloquear seu dispositivo ou entrar interativamente, esse evento também satisfará a política de frequência de entrada. Nos dois exemplos a seguir, a frequência de entrada do usuário é definida como uma hora:

Exemplo 1:

  • Às 00:00, um usuário entra em seu dispositivo Windows 10 Microsoft Entra e começa a trabalhar em um documento armazenado no SharePoint Online.
  • O usuário continua trabalhando no mesmo documento em seu dispositivo por uma hora.
  • Às 01:00, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada na política de Acesso Condicional configurada pelo administrador.

Exemplo 2:

  • Às 00:00, um usuário entra em seu dispositivo Windows 10 Microsoft Entra e começa a trabalhar em um documento armazenado no SharePoint Online.
  • Às 00h30, o utilizador levanta-se e faz uma pausa, bloqueando o seu dispositivo.
  • Às 00:45, o usuário retorna de sua pausa e desbloqueia o dispositivo.
  • Às 01:45, o usuário é solicitado a entrar novamente com base no requisito de frequência de entrada na política de Acesso Condicional configurada pelo administrador desde que o último login aconteceu às 00:45.

Persistência das sessões de navegação

Uma sessão de browser persistente permite que os utilizadores mantenham a sessão iniciada depois de abrirem e fecharem a janela do browser. O padrão Microsoft Entra ID para persistência de sessão do navegador permite que os usuários em dispositivos pessoais escolham se desejam manter a sessão mostrando um "Permanecer conectado?" após a autenticação bem-sucedida.

Validação

Use a ferramenta Hipóteses para simular uma entrada do usuário no aplicativo de destino e outras condições com base em como você configurou sua política. Os controles de gerenciamento de sessão de autenticação aparecem no resultado da ferramenta.

Captura de ecrã dos resultados da ferramenta Acesso Condicional.

Implementação de políticas

Para garantir que sua política funcione conforme o esperado, a prática recomendada é testá-la antes de implementá-la em produção. Idealmente, use um locatário de teste para verificar se sua nova política funciona como pretendido.