Acesso Condicional Entra - Global Protect Requer MFA

Olá a todos,

Darei uma olhada rápida nesta comunidade do Reddit e vejo que essa é uma questão conhecida.

No entanto, tive sucesso esporádico e inconsistente com nossa política de forçar MFA para VPN Global Protect da Palo Alto.

Descobri que funcionou aleatoriamente para nosso grupo de teste de usuários, onde foi solicitado quando trabalhei de casa, por 2 dias seguidos, depois parou. E meu gerente foi ao nosso escritório em Londres, foi solicitado, depois voltou para casa e não foi solicitado no dia seguinte.

Temos configurado para a Frequência de Login ser de 1 dia, também tentei exigir MFA a cada 4 horas. Mas sem sucesso.

Li que há várias variáveis a serem consideradas, como:

• PRTs (Tokens de Atualização Primária)
• Cache de entradas de login do SAML SSO
• Cookies de autenticação no Gateway PA

Alguém teve sucesso consistente ao configurar isso? Se sim, qual é a sua configuração?

Muito obrigado!

Temos nossa política de CA configurada para um tempo máximo de sessão de 1 hora. Funciona exatamente como esperado.. porém, você deve garantir que não há políticas de CA sobrepostas. Por exemplo: se você tiver uma política de CA que diga sem limite de sessão e outra configurada para uma hora, certifique-se de excluir o aplicativo GlobalProtect da política menos restritiva para garantir que ela funcione corretamente. Sei que ela sempre deve aplicar a política mais restritiva, mas na prática, já vi coisas estranhas acontecerem.