Tive uma olhada rápida nesta comunidade do Reddit e vejo que essa é uma dúvida conhecida.
Porém, tenho tido sucesso esporádico e inconsistente com nossa política de forçar a exigência de MFA para o VPN Global Protect da Palo Alto.
Descobri que ela funciona aleatoriamente para nosso grupo de teste de usuários, onde ela me pediu a autenticação várias vezes quando trabalhei de casa, dois dias seguidos, depois parou. E meu gerente foi ao escritório de Londres, foi solicitado a autenticação, depois voltou para casa e não foi solicitado novamente.
Temos configurado o Sign-In Frequency para 1 dia, e também testei exigir MFA a cada 4 horas, mas sem sucesso.
Li que existem várias variáveis a serem consideradas, como:
PRTs (Primary Refresh Tokens)
Cache de entrada de autenticação SAML SSO
Cookies de autenticação no gateway PA
Alguém teve sucesso consistente ao configurar isso? Se sim, qual é a sua configuração?
Temos nossa política de CA configurada para um tempo máximo de sessão de 1 hora. Funciona exatamente como esperado.. no entanto, você precisa garantir que não há políticas de CA sobrepostas. ex: se você tem uma política de CA que diz sem limite de sessão e outra que é configurada para uma hora, certifique-se de excluir o aplicativo GlobalProtect da política mais permissiva para garantir que ela seja aplicada corretamente. Sei que deve sempre aplicar a mais restritiva, mas na prática, já vi fazerem coisas estranhas.
Windows Hello for Business pode ser uma razão para o MFA não ser explicitamente solicitado
Na verdade, comecei a explorar a implementação do WHFB especificamente por esse motivo.
Para dispositivos entrados ou híbridos, entrar no Windows usando WHFB (pino/rosto/biometria/fido2) já conta como uma entrada de MFA bem-sucedida da Entra e, portanto, não é necessário solicitar novamente a entrada no GlobalProtect.
Isso resolve problemas com múltiplos prompts de Entra na autenticação (por exemplo, Teams e GP iniciam automaticamente na entrada, qual deles ganha a corrida do prompt de MFA?).
Então, pude ver que os logs de login do meu gerente indicaram que a notificação do aplicativo móvel foi bem-sucedida. E que os resultados da política de CA para Global Protect são de sucesso.
Outros pontos importantes nas informações básicas são:
Tipo de emissor do token: Microsoft Entra ID
Tipo de token de entrada: primary refresh token
Aplicação: Palo Alto Networks - GlobalProtect
O que me deixa confuso é que pessoas discutiram online que PRTs, dispositivos AAD joined, Windows Hello, etc., podem influenciar nas reivindicações de MFA existentes e afetar os logins do Acesso Condicional.
No entanto, meu gerente garantiu esta manhã, para não fazer login em nada (se solicitado) e apenas fazer login no Global Protect.
Parece que, antes de eu entrar recentemente nesta organização, os Cookies de autenticação estavam configurados para 8 horas pelos consultores que usamos.
A citação deles é:
O cookie de autenticação está configurado para TTL de 8h em portal e gateway.
Isso é bastante padrão para evitar solicitações repetitivas (chatas) de credenciais em caso de conexão instável ou instável (mais frequente com WiFi)
Na minha opinião, queremos que nossos usuários de nível zero sejam solicitados para MFA com mais frequência e evitar uma sessão de cookie em cache por 8 horas após a autenticação.
Uma coisa que me intriga, é que se essa sessão de cookie de 8 horas estiver correta, ela deve solicitar a cada manhã após o reautenticação, certo? Mas não parece acontecer e os usuários entram automaticamente na maioria das vezes.
Além disso, você configurou isso com SAML SSO? Se sim, certamente isso não deveria funcionar em dispositivos AAD joined/híbridos, devido aos PRTs e aos tokens de reivindicação MFA.
Somos híbridos. Demorei muito para fazê-lo funcionar, mas uma vez que projetamos a política de CAP apenas para o aplicativo GP com timeout de 1 hora, funciona perfeitamente.
O nosso também é apenas para o aplicativo GP na CAP, se você estiver se referindo ao recurso de destino. Ou você está se referindo ao GP App Only e sem cookie de autenticação no Palo Alto?