Wylogowanie nieaktywnego użytkownika w przeglądarce jest standardem dla bankowości internetowej. Jak to działa dla aplikacji Microsoft 365?
Logując się przez przeglądarkę do Microsoft 365 (np. przez stronę Office.com) użytkownik staje przed dylematem: czy pozostać zalogowanym? Domyślnie zaznaczony przycisk sugeruje, że tak.
Na jaką decyzję można liczyć? Oczywiście, że na najwygodniejsza dla użytkownika. Jednym kliknięciem można zaoszczędzić sobie wprowadzania hasła aż do 30 dni. Kto by nie skorzystał?
Użytkownik nie zostanie wylogowany z przeglądarkowych aplikacji nawet przez 30 następnych dni. Zamknięcie przeglądarki nic nie zmieni. Sesja dostępu trwa nadal. Token umożliwiający dostęp spokojnie kontynuuje swój „cykl życia”.
Tak wyglądają standardowe ustawienia we wszystkich subskrypcjach Microsoft 365. Można było je zmienić konfigurując Company Branding, choć w lutym 2022 monit przy logowaniu pojawiał się nadal, pomimo wyłączenia go w ustawieniach Company Branding dla Azure AD.
Do tej pory należało również skonfigurować wylogowanie z bezczynnej sesji przeglądarki dla SharePoint Online. Dość niebagatelne, gdy zdamy sobie sprawę, że SharePoint przechowuje zazwyczaj najważniejsze firmowe dane. Również Exchange Online OWA posiadał własne, trudno dostępne, ustawienia bezczynnej sesji użytkownika.
I na tym kończyły się możliwości konfiguracji nieaktywnej sesji przeglądarki dla podstawowych subskrypcji. Reszta opcji wymagała bardziej wyrafinowanych licencji, przede wszystkim Azure AD Premium P1. To wymaganie dotyczyło również konfiguracji dostępu do portal.azure.com.
Trzeba przyznać, że to dość śmiałe standardy. Bankowość internetowa wyloguje konsumenta zazwyczaj po 2 minutach braku aktywności na stronie. A Microsoft pozwala na 30 dni.
Jednak właśnie się to zmienia. 16 marca 2022 ogłoszono nową funkcję – automatyczne wylogowanie z bezczynnej sesji przeglądarki dla aplikacji Microsoft 365. Ustawienie dotyczy całej dzierżawy, czyli wszystkich użytkowników. W przyszłości zastąpi prawdopodobnie inne ustawienia specyficzne dla konkretnej aplikacji np. dla SharePoint czy Exchange Online.
Do końca sierpnia 2022 funkcja ma być wdrożona na całym świecie, co nie znaczy, że zmieniają się ustawienia standardowe w istniejących dzierżawach. Te pozostają bez zmian – czyli 30 dni dostępu bez konieczności logowania na tym samym urządzeniu.
Po administracyjnym skonfigurowaniu czasu nieaktywności, użytkownicy logujący się do Microsoft 365 nie zobaczą już monitu i pytania: czy chcesz pozostać zalogowanym.
Admin ma pełną dowolność zakresu czasu: 1/3/6/12/24 godziny - to opcje z listy rozwijanej. Może równie zdefiniować własny „timeout” podając go w minutach.
Jaką wartość powinien wybrać? Musi znaleźć złoty środek dla własnej organizacji. Rekomendacje organizacji CIS (Center for Internet Security) uważa, że dla komputerów to 15 minut, dla urządzeń mobilnych 2 minuty.
Jak widać, w cyberbezpieczeństwie wszystko się zmienia. Nawet w cyklach tygodniowych. Dlatego RedFlag oferuje Bezpieczeństwo-jako-Usługę, aby Twoja firma korzystała zawsze z najlepszych i zawsze aktualnych praktyk ochrony użytkowników, urządzań i informacji.