Avaliação de acesso contínua para Microsoft 365

Os serviços em nuvem modernos que utilizam o OAuth 2.0 para a autenticação dependem tradicionalmente da expiração do token de acesso para revogar o acesso de uma conta de utilizador. Na prática, isto significa que mesmo que um administrador revogar o acesso de uma conta de utilizador, o utilizador continuará a ter acesso até o token de acesso expirar Microsoft 365, o que, por predefinição, expira até uma hora após o evento de revogação inicial ter lugar.

A avaliação de acesso condicional para Microsoft 365 e Azure Active Directory (Azure AD) termina proativamente sessões de utilizadores ativos e impõe alterações à política de inquilino em breve em tempo real, em vez de depender da expiração do token de acesso. O Azure AD notifica os serviços de Microsoft 365 com acesso contínuo (como o SharePoint, Teams e Exchange) quando a conta de utilizador ou inquilino foi alterado de uma forma que exija uma reavaliação do estado de autenticação da conta de utilizador.

Quando um cliente com sistema de avaliação de acesso contínuo, como o Outlook, tenta aceder ao Exchange com um token de acesso existente, o token é rejeitado pelo serviço, solicitando uma nova autenticação do Azure AD. O resultado é quase uma imposição em tempo real das alterações da conta de utilizador e da política.

Eis alguns benefícios adicionais:

  • Para um insider malicioso que copia e exporta um token de acesso válido fora da sua organização, a avaliação de acesso contínua impede a utilização deste token através da política de localização de endereços IP do Azure AD. Com a avaliação de acesso contínua, o Azure AD sincroniza as políticas com serviços Microsoft 365 suportados, para que quando um token de acesso tentar aceder ao serviço a partir de fora do intervalo de endereços IP na política, o serviço rejeita o token.

  • A avaliação de acesso contínua melhora a resiliência ao requerer menos atualizações de tokens. Uma vez que os serviços de suporte recebem notificações proativas sobre como requerer a reauthentication, o Azure AD pode emitir tokens que se prolongam mais tempo, por exemplo, para além de uma hora. Com tokens mais prolongados, os clientes não têm de pedir uma atualização de tokens do Azure AD com frequência, pelo que a experiência de utilizador é mais resistente.

Eis alguns exemplos de situações em que a avaliação de acesso contínua melhora a segurança do controlo do acesso dos utilizadores:

  • A palavra-passe de uma conta de utilizador foi comprometida, pelo que um administrador invalida todas as sessões existentes e reseta a respetiva palavra-passe do centro de administração do Microsoft 365. Em próximo tempo real, todas as sessões de utilizador existentes com Microsoft 365 serviços de utilizador são invalidadas.

  • Um utilizador a trabalhar num documento no Word leva o seu tablet para um café público que não está num intervalo de endereços IP definido pelo administrador e aprovado. No café, o acesso do utilizador ao documento é bloqueado imediatamente.

Para Microsoft 365, a avaliação de acesso contínua é atualmente suportada pelo:

  • Exchange serviços de Teams SharePoint e SharePoint.
  • Outlook, Teams, Office e OneDrive num browser e para os clientes Win32, iOS, Android e Mac.

A Microsoft está a trabalhar em serviços Microsoft 365 e clientes adicionais para suportar a avaliação de acesso contínua.

A avaliação de acesso contínuo será incluída em todas as versões do Office 365 e Microsoft 365. A configuração de políticas de Acesso Condicional requer Azure AD Premium P1 restrições, que estão incluídas em todas Microsoft 365 versão.

Nota

Consulte este artigo para ver as limitações da avaliação de acesso contínua.

Cenários suportados pelo Microsoft 365

A avaliação de acesso contínuo suporta dois tipos de eventos:

  • Os eventos críticos são aqueles em que um utilizador deve perder o acesso.
  • A avaliação da política de Acesso Condicional ocorre quando um utilizador deve perder o acesso a um recurso com base numa política definida pelo administrador.

Os eventos críticos incluem:

  • A conta de utilizador está desativada
  • A palavra-passe é alterada
  • As sessões de utilizador são revogadas
  • A autenticação multifator está ativada para o utilizador
  • Risco de conta aumentado com base na avaliação do acesso a partir da Proteção de Identidade do Azure AD

A avaliação da política de Acesso Condicional ocorre quando a conta de utilizador já não se liga a partir de uma rede de confiança.

Os seguintes Microsoft 365 suportam atualmente a avaliação de acesso contínua ao ouvir os eventos do Azure AD.



Tipo de imposição Exchange SharePoint Teams
Eventos críticos:
Revogação de utilizadores Suportada Suportada Suportada
Risco do utilizador Suportada Not supported Not supported
Avaliação da política de Acesso Condicional:
Política de localização de endereços IP Suportada Suportada* Suportada

*O Office do browser do SharePoint suporta políticas de IP instantâneas ao ativar um modo rigoroso. Sem um modo restrito, a duração do token de acesso é de uma hora.

Para obter mais informações sobre como configurar uma política de Acesso Condicional, consulte este artigo.

Microsoft 365 clientes que suportem a avaliação de acesso contínua

Os clientes com suporte de avaliação de acesso contínuo para Microsoft 365 suportam um desafio de reclamação, que é um redirecionamento de uma sessão de utilizador para o Azure AD para reauthentication, quando um token de utilizador em cache é rejeitado por um serviço de Microsoft 365 de acesso contínuo com avaliação de acesso.

Os seguintes clientes suportam a avaliação de acesso contínua na Web, Win32, iOS, Android e Mac:

  • Outlook
  • Teams
  • Office*
  • SharePoint
  • OneDrive

*O desafio de reclamação não é suportado Office na Web.

Para clientes que não suportam a avaliação de acesso contínua, a duração do token de acesso ao Microsoft 365 permanece como uma hora por predefinição.

Consulte também