viernes, 17 de febrero de 2023

Control de la sesión de escritorio y aplicaciones Saas

 

Hola, 

Reconozco que este post iba a ser una simple entrada sobre una funcionalidad que hoy he explicado a un cliente pero finalmente, como me está pasando en todo últimamente, termina siendo una explicación de una evolución bastante sorprendente y a mi juicio, interesante. 

El tema que voy a tratar, ha surgido a raíz de una auditoría realizada sobre sistemas, donde por supuesto, hemos tratado los cierres de sesión y salvapantallas y aunque sobre este tema, poco os tengo que decir ya a estas alturas, hay ciertas novedades y evolución que me he decidido a exponer.

Evolución del bloqueo de escritorio

La evolución que ha surgido hoy en la conversación, ha sido a raíz del bloqueo de sesión por distancia del móvil enlazado por Bluethoot. Sí, efectivamente,  tu sistema operativo Windows soporta esto.




Y aunque es muy probable que solo encuentres las opciones habituales en la gpo, es probable que hayas deducido que actualizando los ADMX de tus controladores de dominio, si estos son antiguos, y añadiendo los archivos que te harán ver las GPOs para Windows 10, podrás activar y forzar esta opción, aunque es muy pobable, que si ya tienes tu móvil enlazado con tu equipo, estés actualmente bloqueando tu equipo al separarte de él, llevando el móvil en tu bolsillo.







Sesión en navegación de aplicaciones Asociadas a AD

Por otro lado, desde la aparición y proliferación de aplicaciones Saas que se presentan a través de navegador web y ya sabiendo a estas alturas de la nueva vida tecnológica, que lo suyo es centralizar el inicio de sesión de aplicaciones multi cloud en nuestro Azure AD, tenemos que tener en cuenta también el cierre de sesión en estas aplicaciones.

Para tener esto bien controlado, tenéis dos opciones dentro de Azure AD.

1. Por un lado y por defecto, estamos ofreciendo a los usuarios, mantener la sesión iniciada en el navegador y el equipo donde estamos realizando en ese momento el Login.

Esta opción la tenéis marcada en Yes, por defecto en la ruta : Azure AD \ Users Settings \ Show keep user Signed In



2. En cuanto a la sesión abierta, a mi me gusta añadir al dominio la validación kerberos en aplicaciones web ligadas a Azure AD, para equipos en escenario hybrid, que podéis ver aquí: https://learn.microsoft.com/en-us/windows-365/enterprise/identity-authentication#single-sign-on-sso

3. Por otro lado, también podéis tener single sign on con la identidad validada en web, en aplicaciones on premise publicadas con Azure AD Application Proxy: Inicio de sesión único (SSO) basado en Kerberos en Azure Active Directory con Application Proxy - Microsoft Entra | Microsoft Learn
      

4. Y en lo relativo al cierre de sesión y validación durante ella, os pongo a continuación un organigrama que explica el proceso de validación de usuarios. 



5. Cierre de sesión

    - El cierre de sesión, lo podemos controlar vía Acceso condicional, pudiendo condicionar el cierre en todas o aplicaciones seleccionadas,  tras un tiempo, según la ubicación, tipo de dispositivo y/o escenario de riesgo del usuario.



https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-session-lifetime#policy-1-sign-in-frequency-control




No hay comentarios: