Wymaganie ponownego uwierzytelniania i wyłączanie trwałości przeglądarki

Chroń dostęp użytkowników na urządzeniach niezarządzanych, uniemożliwiając użytkownikom pozostanie zalogowanym po zamknięciu przeglądarki i ustawieniu częstotliwości logowania na 1 godzinę.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Warunki>Filtr dla urządzeń ustaw wartość Konfiguruj na Tak.
   1. W obszarze Urządzenia zgodne z regułą: ustaw wartość Uwzględnij filtrowane urządzenia w zasadach.
   2. W obszarze Składnia reguły wybierz ołówek Edytuj i wklej następujące wyrażenie w polu, a następnie wybierz pozycję Zastosuj.
      1. device.trustType -ne "ServerAD" -or device.isCompliant -ne True
   3. Wybierz pozycję Gotowe.
8. W obszarze Sesja kontroli>dostępu
   1. Wybierz pozycję Częstotliwość logowania, określ okresowe ponowne uwierzytelnianie i ustaw czas trwania na 1 i okres na Godziny.
   2. Wybierz pozycję Trwała sesja przeglądarki i ustaw opcję Trwałe sesje przeglądarki na Nigdy trwałe.
   3. Wybierz, wybierz
9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Następne kroki

Szablony dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.