Condividi tramite

Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Microsoft Entra

  • Articolo

Microsoft Entra ID include più impostazioni che determinano la frequenza con cui gli utenti devono ripetere l'autenticazione. Questa riautenticazione può essere con un primo fattore, ad esempio password, FIDO o Microsoft Authenticator senza password o per eseguire l'autenticazione a più fattori. È possibile configurare queste impostazioni di riautenticazione in base alle esigenze per il proprio ambiente e l'esperienza utente desiderata.

La configurazione predefinita di Microsoft Entra ID per la frequenza di accesso utente è una finestra mobile di 90 giorni. Chiedere agli utenti le credenziali spesso sembra una cosa sensata da fare, ma può essere controproducente. Se gli utenti vengono formati a immettere le proprie credenziali senza pensare, possono fornirle involontariamente a un prompt dannoso.

Potrebbe sembrare rischioso non chiedere a un utente di eseguire nuovamente l'accesso, anche se qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi includono una modifica della password, un dispositivo non conforme o un'operazione di disabilitazione dell'account. È anche possibile revocare in modo esplicito le sessioni degli utenti usando PowerShell Microsoft Graph.

Questo articolo illustra in dettaglio le configurazioni consigliate, il funzionamento delle diverse impostazioni e l'interazione tra loro.

Per offrire agli utenti il giusto equilibrio tra sicurezza e facilità d'uso chiedendo loro di accedere con la frequenza corretta, è consigliabile usare le configurazioni seguenti:

  • Se si dispone di Microsoft Entra ID P1 o P2:
    • Abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usando dispositivi gestiti o Seamless SSO.
    • Se è necessaria la riautenticazione, usare un criterio di frequenza di accesso condizionale.
    • Per gli utenti che accedono da dispositivi non gestiti o da scenari di dispositivi mobili, le sessioni del browser persistente potrebbero non essere preferibili oppure è possibile usare l'accesso condizionale per abilitare sessioni del browser permanenti con criteri di frequenza di accesso. Limitare la durata a un tempo appropriato in base al rischio di accesso, dove un utente con meno rischi può avere sessioni più lunghe.
  • Se si hanno licenze di Microsoft 365 Apps o il livello gratuito di Microsoft Entra:
    • Abilitare l'accesso Single Sign-On (SSO) tra le applicazioni usando dispositivi gestiti o Seamless SSO.
    • Mantenere abilitata l'opzione Mantieni l'accesso e indicare agli utenti di accettarla.
  • Per gli scenari su dispositivi mobili, assicurarsi che gli utenti usino l'app Microsoft Authenticator. Questa app viene usata come broker per altre app federate di Microsoft Entra ID e riduce le richieste di autenticazione nel dispositivo.

La ricerca mostra che queste impostazioni sono appropriate per la maggior parte dei tenant. Alcune combinazioni di queste impostazioni, ad esempio Ricorda l’autenticazione a più fattori e Resta connesso, possono comportare richieste troppo frequenti di autenticazione agli utenti. Le normali richieste di riautenticazione sono negative per la produttività degli utenti e possono renderli più vulnerabili agli attacchi.

Impostazioni di configurazione della durata della sessione di Microsoft Entra

Per ottimizzare la frequenza delle richieste di autenticazione agli utenti è possibile configurare le opzioni di durata della sessione di Microsoft Entra. Comprendere le esigenze dell'azienda e degli utenti e configurare le impostazioni che offrono il miglior equilibrio per l'ambiente.

Valutare i criteri di durata della sessione

Senza alcuna impostazione di durata della sessione, nella sessione del browser non sono presenti cookie persistenti. Ogni volta che un utente chiude e apre il browser, riceve una richiesta di riautenticazione. Nei client di Office, il periodo di tempo predefinito è una finestra mobile di 90 giorni. Con questa configurazione predefinita di Office, se l'utente ha reimpostato la password o si è verificata un'inattività di oltre 90 giorni, l'utente deve ripetere l'autenticazione con tutti i fattori necessari (primo e secondo).

Un utente potrebbe visualizzare più richieste di autenticazione a più fattori in un dispositivo che non ha un'identità in Microsoft Entra ID. Quando ogni applicazione ha un proprio token di aggiornamento OAuth non condiviso con altre app client, vengono restituite più richieste. In questo scenario, l'autenticazione a più fattori invia più richieste per ogni applicazione che richiede la convalida di un token di aggiornamento OAuth con MFA.

In Microsoft Entra ID, i criteri più restrittivi per la durata della sessione determinano quando l'utente deve ripetere l'autenticazione. Prendi in considerazione lo scenario seguente:

  • Abilitare Resta connesso, che usa un cookie del browser persistente e
  • È anche possibile abilitare Ricorda l'autenticazione a più fattori per 14 giorni

In questo scenario di esempio, l'utente deve ripetere l'autenticazione ogni 14 giorni. Questo comportamento segue i criteri più restrittivi, anche se l'opzione Mantieni l'accesso non richiederebbe l'autenticazione dell'utente nel browser.

Dispositivi gestiti

I dispositivi aggiunti a Microsoft Entra ID usando l'aggiunta o l'aggiunta ibrida di Microsoft Entra ricevono un token di aggiornamento primario (PRT) per usare l'accesso Single Sign-On (SSO) tra le applicazioni. Questa richiesta di pull consente a un utente di accedere una sola volta con il dispositivo e consente al personale IT di assicurarsi che vengano soddisfatti gli standard per la sicurezza e la conformità. Se a un utente deve essere richiesto di accedere più frequentemente con un dispositivo aggiunto per alcune app o scenari, è possibile farlo usando la frequenza di accesso condizionale.

Mostra l'opzione per mantenere l'accesso

Quando un utente seleziona per l'opzione Mantieni accesso? durante l'accesso, nel browser viene impostato un cookie permanente. Questo cookie permanente memorizza sia il primo che il secondo fattore e si applica solo per le richieste di autenticazione nel browser.

Screenshot della richiesta di esempio di rimanere connesso

Se si dispone di una licenza Microsoft Entra ID P1 o P2, è consigliabile usare i criteri di accesso condizionale per la sessione del browser persistente. Questo criterio sovrascrive l'impostazione Mantieni l'accesso? e offre un'esperienza utente migliorata. Se non si dispone di una licenza Microsoft Entra ID P1 o P2, è consigliabile abilitare l'impostazione per rimanere connessi per gli utenti.

Per altre informazioni sulla configurazione dell'opzione per consentire agli utenti di rimanere connessi, vedere Come gestire il prompt "Mantieni l’accesso?",.

Ricordare l’autenticazione a più fattori

Questa impostazione consente di configurare valori compresi tra 1 e 365 giorni e impostare un cookie permanente nel browser quando un utente seleziona l'opzione Non chiedere di nuovo per X giorni all'accesso.

Screenshot della richiesta di esempio di approvazione di una richiesta di accesso

Anche se questa impostazione riduce il numero di autenticazioni nelle app Web, aumenta il numero di autenticazioni per i client di autenticazione moderni, ad esempio i client di Office. Questi client normalmente effettuano richieste solo dopo la reimpostazione della password o un'inattività di 90 giorni. Tuttavia, l'impostazione di questo valore su meno di 90 giorni riduce le richieste di autenticazione a più fattori predefinite per i client Office e aumenta la frequenza di autenticazione. Se usato in combinazione con Resta connesso o con i criteri di accesso condizionale, può aumentare il numero di richieste di autenticazione.

Se si usa Ricorda MFA e si hanno licenze P1 o P2 di Microsoft Entra ID, valutare la possibilità di eseguire la migrazione di queste impostazioni alla frequenza di accesso condizionale. In caso contrario, è consigliabile usare Mantieni l'accesso?

Per altre informazioni, vedere Ricordare l'autenticazione a più fattori.

Gestione della sessione di autenticazione con l'accesso condizionale

Frequenza di accesso consente all'amministratore di scegliere la frequenza di accesso applicabile sia per il primo che per il secondo fattore sia nel client che nel browser. È consigliabile usare queste impostazioni, insieme all'uso di dispositivi gestiti, in scenari in cui è necessario limitare la sessione di autenticazione, ad esempio per le applicazioni aziendali critiche.

La sessione persistente nel browser consente agli utenti di rimanere connessi dopo la chiusura e la riapertura della finestra del browser. Analogamente all'impostazione Resta connesso, configura un cookie permanente nel browser. Tuttavia, poiché è configurato dall'amministratore, non richiede che l'utente selezioni nell'opzione Resta connesso? in modo da offrire un'esperienza utente migliore. Se si usa l'opzione Mantieni l'accesso ? è consigliabile abilitare invece i criteri sessione persistenti nel browser.

Per altre informazioni, vedere configurare la gestione della sessione di autenticazione con l'Accesso condizionale.

Durata dei token configurabile

Questa impostazione consente la configurazione della durata per il token rilasciato da Microsoft Entra ID. Questo criterio viene sostituito dalla gestione della sessione di autenticazione con l'accesso condizionale. Se attualmente si usa Durata dei token configurabili, è consigliabile avviare la migrazione ai criteri di accesso condizionali.

Esaminare la configurazione del tenant

Dopo aver compreso il funzionamento delle diverse impostazioni e la configurazione consigliata, è possibile controllare i tenant. È possibile iniziare esaminando i log di accesso per comprendere quali criteri di durata della sessione sono stati applicati durante l'accesso.

In ogni log di accesso passare alla scheda Dettagli autenticazione ed esplorare Criteri di durata sessione applicati. Per altre informazioni, vedere l'articolo Informazioni sui dettagli dell'attività del log di accesso.

Screenshot dei dettagli dell'autenticazione.

Per configurare o esaminare l'opzione Mantieni l'accesso, completare la procedura seguente:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
  2. Passare a Identità>Personalizzazione aziendale, quindi per ogni impostazione locale scegliere Mostra opzione per rimanere connessi.
  3. Scegliere e quindi Salva.

Per ricordare le impostazioni di autenticazione a più fattori nei dispositivi attendibili, completare la procedura seguente:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
  2. Passare a Protezione>Autenticazione a più fattori.
  3. In Configura, selezionare Impostazioni MFA aggiuntive basate sul cloud.
  4. Nella pagina delle impostazioni del servizio di autenticazione a più fattori, scorrere per ricordare le impostazioni di autenticazione a più fattori. Disabilitare l'impostazione deselezionando la casella di controllo.

Per configurare i criteri di accesso condizionale per la frequenza di accesso e la sessione del browser persistente, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale.
  3. Configurare un criterio usando le opzioni di gestione delle sessioni consigliate descritte in questo articolo.

Per esaminare la durata dei token, usare Azure AD PowerShell per eseguire query sui criteri di Microsoft Entra. Disabilitare tutti i criteri applicati.

Se nel tenant sono abilitate più impostazioni, è consigliabile aggiornare le impostazioni in base alle licenze disponibili. Ad esempio, se si dispone di licenze Microsoft Entra ID P1 o P2, è consigliabile usare solo i criteri di accesso condizionale della frequenza di accesso e della sessione del browser persistente. Se si dispone di licenze Microsoft 365 apps o Microsoft Entra ID Free, è consigliabile usare la configurazione Resta connesso?.

Se sono state abilitate le durate dei token configurabili, questa funzionalità verrà rimossa a breve. Pianificare una migrazione a un criterio di accesso condizionale.

La tabella seguente riepiloga le raccomandazioni in base alle licenze:

App Microsoft Entra ID gratuito e Microsoft 365 Microsoft Entra ID P1 o P2
SSO Microsoft Entra join o Microsoft Entra hybrid join o Seamless SSO per dispositivi non gestiti. Microsoft Entra unisce
Aggiunta a Microsoft Entra ibrido
Impostazioni di riautenticazione Rimanere connessi Usare i criteri di accesso condizionale per la frequenza di accesso e la sessione del browser persistente

Passaggi successivi

Per iniziare, completare l'esercitazione Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Microsoft Entra o Usare i rilevamenti dei rischi per gli accessi utente per attivare l'autenticazione a più fattori Microsoft Entra.