Okres istnienia sesji adaptacyjnej dostępu warunkowego
W przypadku złożonych wdrożeń organizacje mogą wymagać ograniczenia sesji uwierzytelniania. Niektóre scenariusze mogą obejmować:
- Dostęp do zasobów z urządzenia niezarządzanego lub udostępnionego
- Dostęp do poufnych informacji z sieci zewnętrznej
- Użytkownicy o dużym wpływie
- Krytyczne aplikacje biznesowe
Dostęp warunkowy zapewnia adaptacyjne mechanizmy kontroli zasad okresu istnienia sesji umożliwiające tworzenie zasad przeznaczonych dla określonych przypadków użycia w organizacji bez wpływu na wszystkich użytkowników.
Przed zapoznaniem się ze szczegółowymi informacjami na temat konfigurowania zasad sprawdźmy konfigurację domyślną.
Częstotliwość logowania użytkownika
Częstotliwość logowania określa okres czasu, po upłynięciu którego użytkownik będzie musiał ponownie się zalogować podczas próby uzyskania dostępu do zasobu.
Domyślną konfiguracją Microsoft Entra ID dla częstotliwości logowania użytkowników jest 90-dniowe okno kroczące. Prośba użytkowników o poświadczenia często wydaje się rozsądną rzeczą do zrobienia, ale może backfire: użytkownicy, którzy są przeszkoleni, aby wprowadzić swoje poświadczenia bez myślenia, mogą przypadkowo dostarczyć je do złośliwego monitu o poświadczenia.
Może to wydawać się niepokojące, aby nie prosić użytkownika o ponowne zalogowanie się, w rzeczywistości każde naruszenie zasad IT spowoduje odwołanie sesji. Niektóre przykłady obejmują (ale nie tylko) zmianę hasła, niezgodne urządzenie lub wyłączenie konta. Możesz również jawnie odwołać sesje użytkowników przy użyciu programu Microsoft Graph PowerShell. Domyślna konfiguracja identyfikatora Entra firmy Microsoft sprowadza się do "nie pytaj użytkowników o podanie poświadczeń, jeśli stan zabezpieczeń sesji nie uległ zmianie".
Ustawienie częstotliwości logowania działa z aplikacjami, które implementują protokoły OAuth2 lub OIDC zgodnie ze standardami. Większość aplikacji natywnych firmy Microsoft dla systemów Windows, Mac i Mobile, w tym następujące aplikacje internetowe są zgodne z ustawieniem.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- portal Administracja Microsoft 365
- Exchange Online
- SharePoint i OneDrive
- Klient internetowy usługi Teams
- Dynamics CRM Online
- Azure Portal
Częstotliwość logowania (SIF) współpracuje z aplikacjami i aplikacjami SAML innych firm, które implementują protokoły OAuth2 lub OIDC, o ile nie usuwają własnych plików cookie i są przekierowywane z powrotem do identyfikatora Entra firmy Microsoft w celu uwierzytelniania w regularnych odstępach czasu.
Częstotliwość logowania użytkownika i uwierzytelnianie wieloskładnikowe
Częstotliwość logowania była wcześniej stosowana tylko do pierwszego uwierzytelniania czynnikowego na urządzeniach, które zostały dołączone do firmy Microsoft Entra, dołączone hybrydowo do firmy Microsoft Entra i zarejestrowane przez firmę Microsoft Entra. Nie było łatwego sposobu, aby nasi klienci ponownie wymuszali uwierzytelnianie wieloskładnikowe na tych urządzeniach. Na podstawie opinii klientów częstotliwość logowania dotyczy również uwierzytelniania wieloskładnikowego.
Częstotliwość logowania użytkownika i tożsamości urządzeń
Na urządzeniach dołączonych do usługi Microsoft Entra i przyłączonych hybrydowo do usługi Microsoft Entra: odblokowanie urządzenia lub interaktywne logowanie się odświeża podstawowy token odświeżania (PRT) co 4 godziny. Znacznik czasu ostatniego odświeżania zarejestrowany dla żądania PRT w porównaniu z bieżącym znacznikiem czasu musi należeć do czasu przydzielonego w zasadach SIF dla PRT w celu spełnienia wymagań SIF i udzielenia dostępu do PRT z istniejącym roszczeniem MFA. Na zarejestrowanych urządzeniach firmy Microsoft odblokowanie/logowanie nie spełnia zasad SIF, ponieważ użytkownik nie uzyskuje dostępu do zarejestrowanego urządzenia firmy Microsoft za pośrednictwem konta Microsoft Entra. Jednak wtyczka Microsoft Entra WAM może odświeżyć prT podczas uwierzytelniania aplikacji natywnej przy użyciu WAM.
Uwaga
Sygnatura czasowa przechwycona z logowania użytkownika nie musi być taka sama jak ostatnia zarejestrowana sygnatura czasowa odświeżania PRT z powodu 4-godzinnego cyklu odświeżania. Przypadek, gdy jest taki sam, jest wtedy, gdy żądanie ściągnięcia wygasło, a użytkownik loguje się do niego przez 4 godziny. W poniższych przykładach załóżmy, że zasady SIF są ustawione na 1 godzinę, a żądanie PRT jest odświeżane o 00:00.
Przykład 1: Kiedy będziesz nadal pracować nad tym samym dokumentem w spo przez godzinę
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
- Użytkownik kontynuuje pracę nad tym samym dokumentem na urządzeniu przez godzinę.
- O godzinie 01:00 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora.
Przykład 2: W przypadku wstrzymania pracy z zadaniem w tle uruchomionym w przeglądarce interakcja ponownie po upływie czasu zasad SIF
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna przekazywanie dokumentu do usługi SharePoint Online.
- O godzinie 00:10 użytkownik wstanie i przerwę blokuje swoje urządzenie. Przekazywanie w tle jest kontynuowane do usługi SharePoint Online.
- O godzinie 02:45 użytkownik powraca z przerwy i odblokuje urządzenie. Przekazywanie w tle pokazuje ukończenie.
- O godzinie 02:45 użytkownik zostanie poproszony o zalogowanie się po ponownym wchodzenie w interakcję. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora od czasu ostatniego logowania o godzinie 00:00.
Jeśli aplikacja kliencka (w obszarze szczegółów działania) jest przeglądarką, odroczamy wymuszanie częstotliwości logowania zdarzeń/zasad w usługach w tle do następnej interakcji użytkownika. Na poufnych klientach wymuszanie częstotliwości logowania podczas logowania nieinterakcyjnego jest odroczone do następnego interaktywnego logowania.
Przykład 3: Z czterogodzinnym cyklem odświeżania podstawowego tokenu odświeżania odblokowywania
Scenariusz 1 — zwroty użytkownika w ramach cyklu
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
- O godzinie 00:30 użytkownik wstanie i przerwie blokuje swoje urządzenie.
- O godzinie 00:45 użytkownik powraca z przerwy i odblokuje urządzenie.
- O godzinie 01:00 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora, 1 godzinę po początkowym logowaniu.
Scenariusz 2 — użytkownik zwraca poza cyklem
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
- O godzinie 00:30 użytkownik wstanie i przerwie blokuje swoje urządzenie.
- O godzinie 04:45 użytkownik powraca z przerwy i odblokuje urządzenie.
- O godzinie 05:45 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora. Jest to teraz 1 godzina po odświeżeniu żądania ściągnięcia o 04:45, a ponad 4 godziny od początkowego logowania o godzinie 00:00.
Wymagaj ponownego uwierzytelniania za każdym razem
Istnieją scenariusze, w których klienci mogą wymagać nowego uwierzytelniania, za każdym razem, gdy użytkownik wykonuje określone akcje, takie jak:
- Uzyskiwanie dostępu do poufnych aplikacji.
- Zabezpieczanie zasobów za dostawcami sieci VPN lub sieci jako usługi (NaaS).
- Zabezpieczanie podniesienia uprawnień ról uprzywilejowanych w usłudze PIM.
- Ochrona logowania użytkowników na maszynach usługi Azure Virtual Desktop.
- Ochrona ryzykownych użytkowników i ryzykownych logów zidentyfikowanych przez Ochrona tożsamości Microsoft Entra.
- Zabezpieczanie poufnych akcji użytkownika, takich jak rejestracja w usłudze Microsoft Intune.
Częstotliwość logowania ustawiona na wartość za każdym razem , gdy zasób ma logikę, kiedy klient powinien uzyskać nowy token. Te zasoby przekierowuje użytkownika z powrotem do firmy Microsoft tylko po wygaśnięciu sesji.
Administratorzy powinni ograniczyć liczbę aplikacji, które wymuszają zasady wymagające ponownego uwierzytelnienia użytkowników za każdym razem. Uwzględniamy pięć minut niesymetryczności zegara, gdy za każdym razem jest wybierana w zasadach, dzięki czemu nie monitujemy użytkowników częściej niż raz na pięć minut. Wyzwalanie ponownego uwierzytelniania zbyt często może zwiększyć problemy z zabezpieczeniami, co powoduje, że użytkownicy doświadczają zmęczenia uwierzytelniania wieloskładnikowego i otwierają drzwi na próby wyłudzania informacji. Aplikacje internetowe zwykle zapewniają mniej destrukcyjne środowisko niż ich odpowiedniki klasyczne, gdy wymagaj ponownego uwierzytelniania za każdym razem, gdy jest włączona.
- W przypadku aplikacji w stosie platformy Microsoft 365 zalecamy użycie częstotliwości logowania użytkowników opartych na czasie w celu uzyskania lepszego środowiska użytkownika.
- W witrynie Azure Portal i centrum administracyjnym firmy Microsoft Entra zalecamy użycie częstotliwości logowania użytkownika opartego na czasie lub wymaganie ponownego uwierzytelnienia w przypadku aktywacji pim przy użyciu kontekstu uwierzytelniania w celu uzyskania lepszego środowiska użytkownika.
Ogólnie dostępne obsługiwane scenariusze:
- Wymagaj ponownego uwierzytelnienia użytkownika podczas rejestracji urządzeń w usłudze Intune niezależnie od bieżącego stanu uwierzytelniania wieloskładnikowego.
- Wymagaj ponownego uwierzytelnienia użytkownika dla ryzykownych użytkowników z wymaganą kontrolą udzielania zmian haseł.
- Wymagaj ponownego uwierzytelnienia użytkownika w przypadku ryzykownych logów przy użyciu kontroli przyznawania uwierzytelniania wieloskładnikowego.
Funkcje publicznej wersji zapoznawczej z lutego 2024 r. umożliwiają administratorom wymaganie uwierzytelniania za pomocą następujących funkcji:
Gdy administratorzy wybierają pozycję Za każdym razem, wymaga pełnego ponownego uwierzytelnienie podczas oceniania sesji.
Trwałość sesji przeglądania
Dzięki trwałej sesji przeglądarki użytkownicy nie są wylogowywani po zamknięciu i ponownym otworzeniu okna przeglądarki.
Domyślna wartość identyfikatora entra firmy Microsoft dla trwałości sesji przeglądarki umożliwia użytkownikom na urządzeniach osobistych wybranie, czy chcesz utrwalać sesję, wyświetlając monit "Nie wyloguj się?" po pomyślnym uwierzytelnieniu. Jeśli trwałość przeglądarki jest skonfigurowana w usługach AD FS przy użyciu wskazówek w artykule AD FS ustawienia logowania jednokrotnego, przestrzegamy tych zasad i utrwalamy również sesję firmy Microsoft Entra. Możesz również skonfigurować, czy użytkownicy w dzierżawie widzą monit "Nie wyloguj się?", zmieniając odpowiednie ustawienie w okienku znakowania firmowego.
W przeglądarkach trwałych pliki cookie pozostają przechowywane na urządzeniu użytkownika nawet po zamknięciu przeglądarki. Te pliki cookie mogą mieć dostęp do artefaktów firmy Microsoft Entra, a te artefakty są używane do czasu wygaśnięcia tokenu niezależnie od zasad dostępu warunkowego umieszczonych w środowisku zasobów. Dlatego buforowanie tokenów może być bezpośrednim naruszeniem żądanych zasad zabezpieczeń na potrzeby uwierzytelniania. Chociaż może się wydawać wygodne przechowywanie tokenów poza bieżącą sesją, może to spowodować lukę w zabezpieczeniach, zezwalając na nieautoryzowany dostęp do artefaktów firmy Microsoft Entra.
Konfigurowanie kontrolek sesji uwierzytelniania
Dostęp warunkowy jest funkcją Microsoft Entra ID P1 lub P2 i wymaga licencji Premium. Jeśli chcesz dowiedzieć się więcej na temat dostępu warunkowego, zobacz Co to jest dostęp warunkowy w usłudze Microsoft Entra ID?
Ostrzeżenie
Jeśli używasz konfigurowalnej funkcji okresu istnienia tokenu obecnie w publicznej wersji zapoznawczej, pamiętaj, że nie obsługujemy tworzenia dwóch różnych zasad dla tego samego użytkownika lub kombinacji aplikacji: jednej z tą funkcją i drugą z konfigurowalną funkcją okresu istnienia tokenu. Firma Microsoft wycofała funkcję konfigurowalnego okresu istnienia tokenu na potrzeby okresów istnienia tokenu odświeżania i sesji 30 stycznia 2021 r. i zastąpiła ją Funkcją zarządzania sesją uwierzytelniania dostępu warunkowego.
Przed włączeniem częstotliwości logowania upewnij się, że inne ustawienia ponownego uwierzytelniania są wyłączone w dzierżawie. Jeśli opcja "Pamiętaj uwierzytelnianie wieloskładnikowe na zaufanych urządzeniach" jest włączona, pamiętaj, aby wyłączyć ją przed użyciem częstotliwości logowania, ponieważ użycie tych dwóch ustawień może prowadzić do nieoczekiwanego monitowania użytkowników. Aby dowiedzieć się więcej na temat monitów o ponowne uwierzytelnianie i okresu istnienia sesji, zobacz artykuł Optymalizowanie monitów o ponowne uwierzytelnianie i zrozumienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.
Następne kroki
- Konfigurowanie okresów istnienia sesji w zasadach dostępu warunkowego
- Jeśli wszystko jest gotowe do skonfigurowania zasad dostępu warunkowego dla środowiska, zobacz artykuł Planowanie wdrożenia dostępu warunkowego.