Konfigurowanie zasad okresu istnienia sesji adaptacyjnej
Ostrzeżenie
Jeśli używasz konfigurowalnej funkcji okresu istnienia tokenu obecnie w publicznej wersji zapoznawczej, pamiętaj, że nie obsługujemy tworzenia dwóch różnych zasad dla tego samego użytkownika lub kombinacji aplikacji: jednej z tą funkcją i drugą z konfigurowalną funkcją okresu istnienia tokenu. Firma Microsoft wycofała funkcję konfigurowalnego okresu istnienia tokenu na potrzeby okresów istnienia tokenu odświeżania i sesji 30 stycznia 2021 r. i zastąpiła ją Funkcją zarządzania sesją uwierzytelniania dostępu warunkowego.
Przed włączeniem częstotliwości logowania upewnij się, że inne ustawienia ponownego uwierzytelniania są wyłączone w dzierżawie. Jeśli opcja "Pamiętaj uwierzytelnianie wieloskładnikowe na zaufanych urządzeniach" jest włączona, pamiętaj, aby wyłączyć ją przed użyciem częstotliwości logowania, ponieważ użycie tych dwóch ustawień może prowadzić do nieoczekiwanego monitowania użytkowników. Aby dowiedzieć się więcej na temat monitów o ponowne uwierzytelnianie i okresu istnienia sesji, zobacz artykuł Optymalizowanie monitów o ponowne uwierzytelnianie i zrozumienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.
Wdrażanie zasad
Aby upewnić się, że zasady działają zgodnie z oczekiwaniami, zalecanym najlepszym rozwiązaniem jest przetestowanie jej przed wdrożeniem ich w środowisku produkcyjnym. Najlepiej użyć dzierżawy testowej, aby sprawdzić, czy nowe zasady działają zgodnie z oczekiwaniami. Aby uzyskać więcej informacji, zobacz artykuł Planowanie wdrożenia dostępu warunkowego.
Zasady 1. Kontrolka częstotliwości logowania
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do strony Ochrona>zasad dostępu>warunkowego.
Wybierz pozycję Nowe zasady.
Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
Wybierz wszystkie wymagane warunki dla środowiska klienta, w tym docelowe aplikacje w chmurze.
Uwaga
Zaleca się ustawienie częstotliwości monitowania o równe uwierzytelnianie dla kluczowych aplikacja pakietu Office firmy Microsoft, takich jak Exchange Online i SharePoint Online, w celu uzyskania najlepszego środowiska użytkownika.
W obszarze Kontrola>dostępu Sesja.
- Wybierz pozycję Częstotliwość logowania.
- Wybierz pozycję Okresowe ponowne uwierzytelnianie i wprowadź wartość godzin lub dni lub wybierz pozycję Za każdym razem.
- Wybierz pozycję Częstotliwość logowania.
Zapisz zasady.
Zasady 2. Trwała sesja przeglądarki
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do strony Ochrona>zasad dostępu>warunkowego.
Wybierz pozycję Nowe zasady.
Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
Wybierz wszystkie wymagane warunki.
Uwaga
Ten mechanizm kontroli wymaga wybrania opcji „Wszystkie aplikacje w chmurze” jako warunku. Trwałość sesji przeglądarki jest kontrolowana przez token sesji uwierzytelniania. Wszystkie karty w sesji przeglądarki współdzielą jeden token sesji i dlatego wszystkie muszą mieć wspólny stan trwałości.
W obszarze Kontrola>dostępu Sesja.
Wybierz pozycję Trwała sesja przeglądarki.
Uwaga
Konfiguracja trwałej sesji przeglądarki w usłudze Microsoft Entra Conditional Access zastępuje ustawienie "Stay signed in?" w okienku znakowania firmy dla tego samego użytkownika, jeśli skonfigurowano obie zasady.
Wybierz wartość z listy rozwijanej.
Zapisz zasady.
Zasady 3. Kontrola częstotliwości logowania za każdym razem, gdy ryzykowny użytkownik
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
- Wybierz pozycję Gotowe.
- W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
- W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
- W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
- Wybierz pozycję Gotowe.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
- Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
- Wybierz pozycję Wymagaj zmiany hasła.
- Wybierz pozycję Wybierz.
- W obszarze Sesja.
- Wybierz pozycję Częstotliwość logowania.
- Upewnij się, że za każdym razem jest zaznaczone.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu ustawień przez administratorów przy użyciu trybu tylko raport mogą przenieść przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.
Walidacja
Użyj narzędzia What If, aby zasymulować logowanie użytkownika do aplikacji docelowej i innych warunków w oparciu o sposób konfigurowania zasad. Kontrolki zarządzania sesjami uwierzytelniania są wyświetlane w wyniku narzędzia.
Tolerancja monitu
Uwzględniamy pięć minut niesymetryczności zegara, gdy za każdym razem jest wybierana w zasadach, dzięki czemu nie monitujemy użytkowników częściej niż raz na pięć minut. Jeśli użytkownik ukończył uwierzytelnianie wieloskładnikowe w ciągu ostatnich 5 minut i napotkał inne zasady dostępu warunkowego, które wymagają ponownego uwierzytelnienia, nie monitujemy użytkownika. Nadmierne monitowanie użytkowników o ponowne uwierzytelnienie może mieć wpływ na ich produktywność i zwiększyć ryzyko zatwierdzenia żądań uwierzytelniania wieloskładnikowego, których nie zainicjowali. Użyj opcji "Częstotliwość logowania — za każdym razem" tylko dla określonych potrzeb biznesowych.
Znane problemy
- Jeśli skonfigurujesz częstotliwość logowania dla urządzeń przenośnych: Uwierzytelnianie po każdym interwale częstotliwości logowania może potrwać średnio 30 sekund. Ponadto może się to zdarzyć w różnych aplikacjach w tym samym czasie.
- Na urządzeniach z systemem iOS: jeśli aplikacja konfiguruje certyfikaty jako pierwszy czynnik uwierzytelniania, a aplikacja ma zastosowaną zarówno częstotliwość logowania, jak i zasady zarządzania aplikacjami mobilnymi usługi Intune, użytkownicy końcowi nie będą logować się do aplikacji po wyzwoleniu zasad.
Następne kroki
- Jeśli wszystko jest gotowe do skonfigurowania zasad dostępu warunkowego dla środowiska, zobacz artykuł Planowanie wdrożenia dostępu warunkowego.