Condividi tramite

Configurazione dei criteri di durata della sessione adattiva

Avviso

Se si usa la funzionalità di durata del token configurabile attualmente in anteprima pubblica, non è supportata la creazione di due criteri diversi per la stessa combinazione di utenti o app: una con questa funzionalità e un'altra con la funzionalità di durata del token configurabile. Microsoft ha ritirato la funzionalità di durata del token configurabile per la durata dei token di aggiornamento e sessione il 30 gennaio 2021 e l'ha sostituita con la funzionalità di gestione della sessione di autenticazione dell'accesso condizionale.

Prima di abilitare la frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se l'opzione "Ricorda MFA sui dispositivi attendibili" è abilitata, disabilitarla prima di usare la frequenza di accesso (Sign-in Frequency), poiché l'uso di queste due impostazioni insieme può indurre richieste impreviste agli utenti. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione per l'autenticazione multifattore di Microsoft Entra.

Implementazione delle politiche

Per assicurarsi che la politica funzioni come previsto, testarli prima di distribuirla nell'ambiente di produzione. Usare un tenant di test per verificare che il nuovo criterio funzioni come previsto. Per altre informazioni, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.

Politica 1: Controllo della frequenza di accesso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.

  2. Passare a Entra ID>Accesso Condizionale>Politiche.

  3. Selezionare Nuovi criteri.

  4. Dai un nome alla tua politica. Creare uno standard significativo per i criteri di denominazione.

  5. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app cloud di destinazione.

    Nota

    È consigliabile impostare la frequenza di richiesta di autenticazione uguale per le app di Microsoft 365 chiave, ad esempio Exchange Online e SharePoint Online per un'esperienza utente ottimale.

  6. Sotto Controlli di accesso>Sessione.

    1. Selezionare Frequenza di accesso.
      1. Scegliere Riautenticazione periodica e immettere un valore di ore o giorni oppure selezionare Ogni volta.

    Screenshot che mostra una politica di accesso condizionale configurata per la frequenza di accesso.

  7. Salva la tua polizza.

Politica 2: sessione del browser persistente

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.

  2. Passare a Entra ID>Accesso Condizionale>Politiche.

  3. Selezionare Nuovi criteri.

  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie.

    Nota

    Questo controllo richiede la selezione di "Tutte le app cloud" come condizione. La persistenza della sessione del browser è controllata dal token della sessione di autenticazione. Tutte le schede di una sessione del browser condividono un singolo token di sessione, pertanto devono tutte condividere lo stato di persistenza.

  6. Sotto Controlli di accesso>Sessione.

    1. Selezionare Sessione del browser persistente.

      Nota

      La configurazione della sessione del browser persistente in Accesso Condizionale di Microsoft Entra sostituisce l'impostazione "Resta connesso?" nel riquadro di branding aziendale per lo stesso utente se sono configurati entrambi i criteri.

    2. Selezionare un valore dall'elenco a discesa.

  7. Salva la tua polizza.

Nota

Le impostazioni della durata della sessione, inclusa la frequenza di accesso e le sessioni del browser permanenti, determinano la frequenza con cui gli utenti devono ripetere l'autenticazione e se le sessioni vengono mantenute tra i riavvii del browser. Le durate più brevi migliorano la sicurezza per le app ad alto rischio, mentre quelle più lunghe migliorano la praticità per i dispositivi attendibili o gestiti.

Politica 3: Controllo della frequenza di accesso per ogni utente rischioso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.
  2. Navigare su Entra ID>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi, seleziona Utenti e gruppi e scegli gli account di accesso di emergenza o "break-glass" della tua organizzazione.
    3. Selezionare Fine.
  6. In Risorse di destinazione>includi, selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio utente impostare Configurare su .
    1. In Configurare i livelli di rischio utente necessari per l'applicazione dei criteri selezionare Alto. Queste linee guida si basano sulle raccomandazioni Microsoft e potrebbero essere diverse per ogni organizzazione
    2. Selezionare Fine.
  8. In Controlli di accesso>, sotto Concedi, selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Seleziona Richiedi modifica password.
    3. Seleziona Seleziona.
  9. Sotto Sessione.
    1. Selezionare Frequenza di accesso.
    2. Assicurati che Ogni volta sia selezionato.
    3. Seleziona Seleziona.
  10. Confermate le impostazioni e impostate Abilita politica su Solo segnalazione.
  11. Selezionare Crea per abilitare il tuo criterio.

Dopo aver verificato le impostazioni usando la modalità solo report, spostare l'interruttore del criterio Abilita da Solo report a Attiva.

Validazione

Usare lo strumento What If per simulare un accesso all'applicazione di destinazione e ad altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Tolleranza tempestiva

Si tiene conto di cinque minuti di disallineamento dell'orologio quando ogni volta è selezionato nella policy, in modo da non richiedere agli utenti operazioni più di una volta ogni cinque minuti. Se l'utente completa l'autenticazione a più fattori negli ultimi 5 minuti e rileva un altro criterio di accesso condizionale che richiede la riautenticazione, non viene richiesto all'utente. Richiedere troppo spesso agli utenti la riautenticazione può influire sulla produttività e aumentare il rischio che gli utenti finiscano per approvare richieste di MFA che non hanno avviato. Usare "Frequenza di accesso - ogni volta" solo quando sono presenti esigenze aziendali specifiche.

Problemi noti

  • Se si configura la frequenza di accesso per i dispositivi mobili: l'autenticazione dopo ogni intervallo di frequenza di accesso potrebbe essere lenta e può richiedere in media 30 secondi. Questo problema può verificarsi anche tra varie app contemporaneamente.
  • Nei dispositivi iOS: se un'app configura i certificati come primo fattore di autenticazione e ha sia la frequenza di accesso che i criteri di gestione delle applicazioni mobili di Intune applicati, gli utenti non possono accedere all'app quando i criteri vengono attivati.
  • Microsoft Entra Private Access non supporta l'impostazione della frequenza di accesso a ogni volta.

Passaggi successivi

  • Last updated on