Avaliação de acesso contínuo para o Microsoft 365
Os serviços cloud modernos que utilizam o OAuth 2.0 para autenticação dependem tradicionalmente da expiração do token de acesso para revogar o acesso de uma conta de utilizador. Na prática, isto significa que, mesmo que um administrador revogue o acesso de uma conta de utilizador, o utilizador continuará a ter acesso até o token de acesso expirar, que para o Microsoft 365, por predefinição, costumava demorar até uma hora após o evento de revogação inicial ter ocorrido.
A avaliação de acesso contínuo para o Microsoft 365 e Microsoft Entra ID termina proativamente sessões de utilizador ativas e impõe alterações à política de inquilinos quase em tempo real, em vez de depender da expiração do token de acesso. Microsoft Entra ID notifica os serviços do Microsoft 365 com avaliação de acesso contínuo ativado (como o SharePoint, o Teams e o Exchange) quando a conta de utilizador ou inquilino foi alterado de forma a exigir uma reavaliação do estado de autenticação da conta de utilizador.
Quando um cliente com avaliação de acesso contínuo ativado, como o Outlook, tenta aceder ao Exchange com um token de acesso existente, o token é rejeitado pelo serviço, o que solicita uma nova autenticação Microsoft Entra. O resultado é a imposição quase em tempo real das alterações da conta de utilizador e da política.
Eis alguns benefícios adicionais:
Para um insider malicioso que copia e exporta um token de acesso válido fora da sua organização, a avaliação de acesso contínuo impede a utilização deste token através de Microsoft Entra política de localização de endereços IP. Com a avaliação de acesso contínuo, Microsoft Entra ID sincroniza as políticas com os serviços suportados do Microsoft 365, pelo que quando um token de acesso tenta aceder ao serviço fora do intervalo de endereços IP na política, o serviço rejeita o token.
A avaliação de acesso contínuo melhora a resiliência ao exigir menos atualizações de tokens. Uma vez que os serviços de suporte recebem notificações proativas sobre a necessidade de reautenticação, Microsoft Entra ID podem emitir tokens de maior duração, por exemplo, para além de uma hora. Com tokens de duração mais longa, os clientes não têm de pedir uma atualização de token ao Microsoft Entra ID com mais frequência, pelo que a experiência do utilizador é mais resiliente.
Eis alguns exemplos de situações em que a avaliação de acesso contínuo melhora a segurança do controlo de acesso dos utilizadores:
A palavra-passe de uma conta de utilizador foi comprometida, pelo que um administrador invalida todas as sessões existentes e repõe a palavra-passe do centro de administração do Microsoft 365. Em tempo quase real, todas as sessões de utilizador existentes com serviços do Microsoft 365 são invalidadas.
Um utilizador que trabalha num documento no Word leva o tablet para um café público que não está num intervalo de endereços IP definido pelo administrador e aprovado. No café, o acesso do utilizador ao documento é bloqueado imediatamente.
Para o Microsoft 365, a avaliação de acesso contínuo é atualmente suportada pelo:
- Serviços do Exchange, SharePoint e Teams.
- Outlook, Teams, Office e OneDrive num browser e para clientes Win32, iOS, Android e Mac.
A Microsoft está a trabalhar em serviços e clientes adicionais do Microsoft 365 para suportar a avaliação de acesso contínua.
A avaliação de acesso contínuo será incluída em todas as versões do Office 365 e do Microsoft 365. A configuração de políticas de Acesso Condicional requer Microsoft Entra ID P1, que está incluído em todas as versões do Microsoft 365.
Nota
Veja este artigo para obter as limitações da avaliação de acesso contínuo.
Cenários suportados pelo Microsoft 365
A avaliação de acesso contínuo suporta dois tipos de eventos:
- Os eventos críticos são aqueles em que um utilizador deve perder o acesso.
- A avaliação da política de Acesso Condicional ocorre quando um utilizador deve perder o acesso a um recurso com base numa política definida pelo administrador.
Os eventos críticos incluem:
- A conta de utilizador está desativada
- A palavra-passe foi alterada
- As sessões de utilizador são revogadas
- A autenticação multifator está ativada para o utilizador
- O risco da conta aumentou com base na avaliação do acesso do Microsoft Entra ID Protection
A avaliação da política de Acesso Condicional ocorre quando a conta de utilizador já não se liga a partir de uma rede fidedigna.
Os seguintes serviços do Microsoft 365 suportam atualmente a avaliação de acesso contínuo ao ouvir eventos de Microsoft Entra ID.
| Tipo de imposição | Exchange | SharePoint | Teams |
|---|---|---|---|
| Eventos críticos: | |||
| Revogação do utilizador | Suportado | Suportado | Suportado |
| Risco do utilizador | Suportado | Not supported | Suportado |
| Avaliação da política de Acesso Condicional: | |||
| Política de localização de endereços IP | Suportado | Suportado* | Suportado** |
* O acesso ao browser SharePoint Office suporta a imposição de políticas de IP instantâneas ao ativar o modo restrito. Sem o modo restrito, a duração do token de acesso é de uma hora.
** As chamadas, reuniões e conversas no Teams não estão em conformidade com as políticas de Acesso Condicional baseadas em IP.
Para obter mais informações sobre como configurar uma política de Acesso Condicional, veja este artigo.
Clientes do Microsoft 365 que suportam a avaliação de acesso contínuo
Os clientes com avaliação contínua ativada para avaliação do Microsoft 365 suportam um desafio de afirmação, que é um redirecionamento de uma sessão de utilizador para Microsoft Entra ID para autenticação, quando um token de utilizador em cache é rejeitado por um serviço microsoft 365 com avaliação de acesso contínuo ativado.
Os seguintes clientes suportam a avaliação de acesso contínuo na Web, Win32, iOS, Android e Mac:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* O desafio de afirmação não é suportado no Office para a Web.
Para clientes que não suportam a avaliação de acesso contínuo, a duração do token de acesso ao Microsoft 365 permanece como uma hora por predefinição.
Consulte também
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários