Como gerenciar a vida útil das sessões do Microsoft 365 – Parte 1

Publicado em por chesleysilva

Qual equilíbrio pode ser encontrado entre a experiência do usuário e a duração da sessão ?

A resposta de segurança é que a duração da sessão deve ser definida para o menor valor possível, comummente ajustada para um dia ou mesmo algumas horas. No entanto, a experiência do usuário pode ser comprometida, resultando em uma diminuição da segurança. Isso pode ocorrer devido ao comportamento automático de autenticação dos usuários (aumentando o risco de phishing) ou ao uso de senhas fracas.

O Famoso Token de Sessão

Para mitigar esses riscos e controlar a duração das sessões dos usuários, a Microsoft oferece várias opções:

  1. Desativação da opção “Mantenha-me conectado”.
  2. Implementação de políticas de Acesso Condicional com ajustes de “frequência de login” e “persistência”.
  3. Utilização da Avaliação de Acesso Contínuo .
  4. Configuração do tempo de vida do token de acesso .

Além disso, explorar os Padrões de resiliência pode oferecer insights adicionais. Compreender e selecionar entre essas opções da Microsoft é essencial para encontrar o equilíbrio ideal de segurança e usabilidade para a sua organização.

Apenas nesta introdução já temos assunto para muito tempo de estudo, vamos focar em alguns itens muito importantes no dia a dia da administração.

Ao acessar os recursos internos do Azure AD, o que se revela?

Quando um usuário se autentica em um aplicativo Azure AD (por exemplo, Exchange Online), ele receberá um par de tokens que lhe permitirá consumir os serviços:

Tokens de acesso:

  • Um token de acesso é usado para autenticar um recurso protegido . Contém diversas informações como sua data de validade e suas permissões (ex: Mail.ReadWrite). Um token de acesso pode ser usado apenas para uma combinação específica de usuário (ex: chesley.silva@chesley.com.br), cliente (ex: Outlook) e recurso (ex: Exchange Online).
  • Um token de acesso é sempre assinado, o que evita a falsificação de um token falso.
  • Como o token de acesso é um token de acesso , qualquer pessoa que possua um token de acesso pode autenticar-se com as permissões definidas.
  • Os tokens de acesso têm vida útil de cerca de 1 hora no caso de um cliente não compatível com CAE ou de 20 a 28 horas no caso de um cliente compatível com CAE. Veremos no artigo a seguir como modificar este valor.

Atualizar tokens:

  • Por padrão, os tokens de acesso são válidos por uma hora, quando expiram o cliente é redirecionado para o Azure AD para atualizá-los. Esse período de atualização oferece uma oportunidade para reavaliar as políticas de acesso do usuário.
  • Se a solicitação de acesso não violar as políticas, o token de atualização será usado para regenerar um novo par de token de acesso/token de atualização sem precisar solicitar ao usuário uma nova autenticação.
  • Os tokens de atualização têm janelas contínuas de 90 dias. Isso significa que em caso de uso contínuo, nunca expira .
  • Desde 30 de janeiro de 2021, esta vida não é mais modificável.

É importante compreender que o token Refresh é exclusivo para um cliente específico, mas é capaz de ser empregado em uma variedade de recursos. Em termos técnicos, o token de atualização possibilita a autenticação de diferentes aplicativos hospedados no Azure AD (por exemplo, Exchange Online ou Teams) sem a necessidade de autenticação explícita repetida a cada acesso.

Essa funcionalidade é suportada em diferentes ambientes, tais como:

  1. Navegadores Web: O token de atualização pode ser utilizado dentro de navegadores da web para autenticar o usuário em vários aplicativos ou serviços.
  2. Aplicativos Móveis: Em dispositivos móveis que possuem o Microsoft Authenticator instalado, o token de atualização permite a autenticação em aplicativos móveis sem a necessidade de autenticação repetida.
  3. Estações de Trabalho Registradas: Em estações de trabalho registradas no Azure AD híbrido ou ingressadas diretamente no Azure AD, o token de atualização é gerado e pode ser reutilizado para autenticar o usuário em diferentes aplicativos sem exigir autenticação repetida, independentemente do uso de autenticação multifator.

Para os dois últimos casos acima, onde a estação de trabalho é conhecida pelo Azure AD, é gerado um Token de Atualização Primário em cada sessão de login do usuário. Esse token é então reutilizado em várias aplicações para autenticação, oferecendo uma experiência de usuário mais fluida e simplificada.

E quando falamos sobre navegadores? como funciona a persistencia??

Após o usuário realizar o login em um navegador web, geralmente é exibida a opção “Permanecer conectado”. Ao selecionar essa opção e clicar em “Sim”, é estabelecida uma sessão persistente do navegador. Isso é alcançado por meio da criação de um cookie no navegador do usuário.

O cookie contém informações de autenticação, como um token de acesso ou um identificador de sessão, que permite ao servidor de autenticação reconhecer o usuário mesmo após fechar e reabrir a janela do navegador. Isso significa que, ao retornar ao mesmo site ou serviço, o usuário não precisará realizar novamente o processo completo de autenticação, proporcionando uma experiência de usuário mais conveniente.

As configurações padrão apresentam um desafio significativo em termos de segurança: um usuário pode permanecer conectado indefinidamente em qualquer terminal, especialmente em casos de uso contínuo.

Os tokens podem ser revogados?

Em muitos cenários, os tokens de atualização são invalidados pelo servidor devido a diversas circunstâncias, incluindo alterações nas credenciais, ações realizadas pelo usuário ou intervenções administrativas.

A documentação oficial da Microsoft oferece detalhes sobre as diferentes condições que levam à invalidação de um token de atualização:

  1. Expiração da senha.
  2. Alteração de senha pelo usuário.
  3. Início de um processo de recuperação de senha pelo usuário (SSPR – Self-Service Password Reset).
  4. Reset de senha realizado pelo administrador.
  5. Revogação manual dos tokens de atualização pelo usuário, utilizando comandos do PowerShell.
  6. Revogação de todos os tokens de atualização de um usuário por parte do administrador, também via PowerShell.
  7. Saída única (Single Sign-On) na web.

É importante ressaltar que somente a revogação explícita dos tokens de atualização através de comandos PowerShell pode garantir a invalidação de TODOS os tokens de atualização, independentemente do método de autenticação (senha ou cookies) ou do tipo de cliente (público ou confidencial).

Como posso Controlar o Tempo de Vida das Sessões?

As possibilidades de gerir a duração das sessões dependerão principalmente da presença de licenças Azure AD P1 para os utilizadores da organização. Sem uma licença Premium, as funcionalidades são extremamente limitadas.

Desative o “Mantenha-me conectado”

Política de acesso condicional com “frequência de login” e “persistência”

As políticas de acesso condicional permitem impor um comportamento de “frequência de login” e de “persistência” para sessões da web . Este é O método para controlar quando os usuários devem se autenticar novamente na plataforma .

Observe que se um provedor de identidade (ou IdP) terceirizado for responsável pela autenticação do usuário, ele só poderá permitir o acesso à plataforma. Por outro lado, uma vez dentro, as durações padrão das sessões se aplicam e não podem ser gerenciadas sem uma das opções abaixo.

Este recurso substitui a capacidade de modificar a vida útil do token de atualização, que foi removida em 31 de janeiro de 2021.

Por hoje é isso, em nossa nova postagem vamos tratar sobre o gerenciamento da vida útil das sessões do Microsoft 365 com avaliação de Acesso Contínuo, Configurar o tempo de vida do Token de Acesso e vamos explorar os Padrões de Resileência!

aguardo vocês na proxima, como se vê, no Microsoft 365 / Azure ninguem morre de tédio!

Deixe um comentário