Dostęp warunkowy: ustawienia domyślne odporności
Jeśli wystąpiła awaria podstawowej usługi uwierzytelniania, usługa uwierzytelniania Entra Backup firmy Microsoft może automatycznie wystawiać tokeny dostępu do aplikacji dla istniejących sesji. Ta funkcja znacznie zwiększa odporność firmy Microsoft, ponieważ ponowne uwierzytelnianie dla istniejących sesji stanowi ponad 90% uwierzytelnień do identyfikatora Entra firmy Microsoft. Usługa uwierzytelniania kopii zapasowej nie obsługuje nowych sesji ani uwierzytelniania użytkowników-gości.
W przypadku uwierzytelniania chronionego przez dostęp warunkowy zasady są ponownie oceniane przed wystawieniem tokenów dostępu w celu określenia:
- Które zasady dostępu warunkowego mają zastosowanie?
- Czy w przypadku zasad, które mają zastosowanie, wymagane mechanizmy kontroli są spełnione?
Podczas awarii nie wszystkie warunki można ocenić w czasie rzeczywistym przez usługę uwierzytelniania kopii zapasowej, aby określić, czy mają być stosowane zasady dostępu warunkowego. Domyślne ustawienia odporności dla dostępu warunkowego to nowa kontrola sesji, która umożliwia administratorom wybór między:
- Czy zablokować uwierzytelnianie podczas przestoju, gdy warunek polityki nie jest oceniany w czasie rzeczywistym.
- Zezwalaj na ocenę zasad przy użyciu danych zebranych na początku sesji użytkownika.
Ważne
Wartości domyślne odporności są automatycznie włączone dla wszystkich nowych i istniejących zasad, a firma Microsoft zdecydowanie zaleca pozostawienie domyślnych ustawień odporności w celu ograniczenia wpływu awarii. Administratorzy mogą wyłączyć domyślne ustawienia odporności dla poszczególnych zasad dostępu warunkowego.
Jak to działa?
Podczas awarii usługa uwierzytelniania kopii zapasowej automatycznie ponownie generuje tokeny dostępu dla niektórych sesji:
| Opis sesji | Udzielony dostęp |
|---|---|
| Nowa sesja | Nie. |
| Istniejąca sesja — nie skonfigurowano zasad dostępu warunkowego | Tak |
| Istniejąca sesja — skonfigurowane zasady dostępu warunkowego i wymagane mechanizmy kontroli, takie jak uwierzytelnianie wieloskładnikowe, były wcześniej spełnione | Tak |
| Istniejąca sesja — skonfigurowane zasady dostępu warunkowego i wymagane mechanizmy kontroli, takie jak uwierzytelnianie wieloskładnikowe, nie były wcześniej spełnione | Określana przez domyślne wartości odporności |
Po wygaśnięciu istniejącej sesji podczas awarii firmy Microsoft żądanie nowego tokenu dostępu jest kierowane do usługi uwierzytelniania kopii zapasowej, a wszystkie zasady dostępu warunkowego są ponownie oceniane. Jeśli nie ma żadnych zasad dostępu warunkowego lub wszystkie wymagane mechanizmy kontroli, takie jak uwierzytelnianie wieloskładnikowe, zostały wcześniej spełnione na początku sesji, usługa uwierzytelniania kopii zapasowej wystawia nowy token dostępu w celu rozszerzenia sesji.
Jeśli wymagane mechanizmy kontroli zasad nie były wcześniej spełnione, zasady są ponownie oceniane, aby określić, czy dostęp powinien zostać udzielony, czy odrzucony. Jednak nie wszystkie warunki mogą być ponownie oceniane w czasie rzeczywistym podczas awarii. Te warunki są następujące:
- Członkostwo w grupie
- Członkostwo w roli
- Ryzyko związane z logowaniem
- Ryzyko związane z użytkownikiem
- Lokalizacja kraju/regionu (rozpoznawanie nowych współrzędnych IP lub GPS)
- Mocne strony uwierzytelniania
Gdy jest aktywna, usługa zapasowego uwierzytelniania nie ocenia metod uwierzytelniania wymaganych przez poziomy uwierzytelniania. Jeśli przed awarią użyłeś metody uwierzytelniania, która nie jest odporna na wyłudzanie informacji, podczas awarii nie zostaniesz poproszony o uwierzytelnianie wieloskładnikowe, nawet jeśli uzyskujesz dostęp do zasobu chronionego przez zasady dostępu warunkowego z siłą uwierzytelniania odporną na wyłudzanie informacji.
Włączono domyślne ustawienia odporności
Gdy ustawienia domyślne odporności są włączone, usługa uwierzytelniania kopii zapasowych używa danych zebranych na początku sesji, aby ocenić, czy zasady powinny być stosowane w przypadku braku danych w czasie rzeczywistym. Domyślnie wszystkie zasady mają włączone domyślne ustawienia odporności. Ustawienie może być wyłączone dla poszczególnych zasad, gdy ocena zasad w czasie rzeczywistym jest wymagana w celu uzyskania dostępu do poufnych aplikacji podczas awarii.
Przykład: Zasady z domyślnie włączoną odpornością wymagają, aby wszyscy użytkownicy z przypisaną uprzywilejowaną rolą uzyskujący dostęp do portali administracyjnych firmy Microsoft musieli wykonać uwierzytelnianie wieloskładnikowe. Przed awarią, jeśli użytkownik, który nie ma przypisanej roli administratora, uzyskuje dostęp do witryny Azure Portal, zasady nie będą stosowane, a użytkownik otrzyma dostęp bez monitowania o uwierzytelnianie wieloskładnikowe. Podczas awarii zapasowa usługa uwierzytelniania ponownie oceni zasady, aby określić, czy użytkownik powinien być poproszony o użycie uwierzytelniania wieloskładnikowego. Ponieważ usługa uwierzytelniania zapasowego nie może ocenić członkostwa w roli w czasie rzeczywistym, będzie używać danych zebranych na początku sesji użytkownika, aby określić, że zasady wciąż nie powinny być stosowane. W związku z tym użytkownik otrzyma dostęp bez monitowania o uwierzytelnianie wieloskładnikowe.
Wyłączone ustawienia domyślne niezawodności
Gdy wartości domyślne odporności są wyłączone, usługa uwierzytelniania kopii zapasowej nie będzie używać danych zebranych na początku sesji do oceny warunków. Jeśli podczas awarii nie można ocenić warunku zasad w czasie rzeczywistym, dostęp zostanie odrzucony.
Przykład: Zasady z domyślnie wyłączoną odpornością wymagają, aby wszyscy użytkownicy przypisani do roli uprzywilejowanej uzyskiwali dostęp do portali administracyjnych firmy Microsoft, aby przeprowadzić uwierzytelnianie wieloskładnikowe. Przed awarią, jeśli użytkownik, który nie ma przypisanej roli administratora, uzyskuje dostęp do witryny Azure Portal, zasady nie będą stosowane, a użytkownik otrzyma dostęp bez monitowania o uwierzytelnianie wieloskładnikowe. Podczas awarii zapasowa usługa uwierzytelniająca przeanalizuje ponownie politykę, aby określić, czy użytkownik powinien być poproszony o uwierzytelnianie wieloskładnikowe. Ponieważ usługa uwierzytelniania kopii zapasowych nie może ocenić członkostwa w roli w czasie rzeczywistym, uniemożliwi użytkownikowi dostęp do witryny Azure Portal.
Ostrzeżenie
Wyłączenie domyślnych ustawień odporności dla polityki, która ma zastosowanie do grupy lub roli, zmniejszy odporność dla wszystkich użytkowników w najemcy. Ponieważ członkostwo w grupach i rolach nie może być oceniane w czasie rzeczywistym podczas przestoju, nawet użytkownicy, którzy nie należą do grupy lub roli w przypisaniu polityki, nie będą mieć dostępu do aplikacji w zakresie polityki. Aby uniknąć zmniejszenia odporności dla wszystkich użytkowników, którzy nie należą do zakresu zasad, rozważ zastosowanie zasad do poszczególnych użytkowników zamiast grup lub ról.
Testowanie wartości domyślnych odporności
Nie można przeprowadzić próbnego uruchomienia przy użyciu Usługi uwierzytelniania zapasowego lub symulować wyniku polityki z włączonymi lub wyłączonymi domyślnymi ustawieniami odporności. Firma Microsoft Entra przeprowadza miesięczne ćwiczenia przy użyciu usługi uwierzytelniania kopii zapasowych. Dzienniki logowania są wyświetlane, jeśli usługa uwierzytelniania kopii zapasowej została użyta do wystawienia tokenu dostępu. W ostrzu
Konfigurowanie domyślnych ustawień odporności
Ustawienia domyślne odporności dostępu warunkowego można skonfigurować z poziomu centrum administracyjnego firmy Microsoft, interfejsów API programu MS Graph lub programu PowerShell.
Centrum administracyjne Microsoft Entra
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do Ochrona>Warunkowy dostęp>Zasady.
- Tworzenie nowych zasad lub wybieranie istniejących zasad
- Otwieranie ustawień kontrolki sesji
- Wybierz opcję Wyłącz domyślne ustawienia odporności, aby wyłączyć ustawienie tej polityki. Logowania objęte zasadami są blokowane podczas awarii Microsoft Entra.
- Zapisywanie zmian w zasadach
Interfejsy API programu Microsoft Graph
Można również zarządzać wartościami domyślnymi odporności dla zasad dostępu warunkowego przy użyciu interfejsu API programu MS Graph i Eksploratora programu Microsoft Graph.
Przykładowy adres URL żądania:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Przykładowa treść żądania:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Tę operację poprawki można wdrożyć przy użyciu programu Microsoft PowerShell po zainstalowaniu modułu Microsoft.Graph.Authentication. Aby zainstalować ten moduł, otwórz monit programu PowerShell z podwyższonym poziomem uprawnień i wykonaj polecenie
Install-Module Microsoft.Graph.Authentication
Połącz się z programem Microsoft Graph, żądając wymaganych zakresów:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Uwierzytelnij się na żądanie.
Utwórz treść JSON dla żądania PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Wykonaj operację stosowania poprawki:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Zalecenia
Firma Microsoft zaleca włączenie domyślnych ustawień odporności. Chociaż nie ma żadnych bezpośrednich problemów z zabezpieczeniami, klienci powinni ocenić, czy usługa uwierzytelniania kopii zapasowej ma oceniać zasady dostępu warunkowego podczas przestoju przy użyciu danych zebranych na początku sesji, a nie w czasie rzeczywistym.
Istnieje możliwość, że rola użytkownika lub członkostwo w grupie zmieniło się od początku sesji. W przypadku oceny ciągłego dostępu (CAE) tokeny dostępu są ważne przez 24 godziny, ale mogą podlegać natychmiastowym zdarzeniom unieważnienia. Usługa uwierzytelniania kopii zapasowej subskrybuje te same zdarzenia odwołania CAE. Jeśli token użytkownika zostanie odwołany w ramach caE, użytkownik nie może zalogować się podczas awarii. Gdy domyślne ustawienia odporności są włączone, istniejące sesje, które wygasają podczas przestoju, zostaną przedłużone. Sesje są przedłużane, nawet jeśli polityka została skonfigurowana z kontrolą sesji w celu wymuszenia częstotliwości logowania. Na przykład zasady z włączoną odpornością mogą wymagać ponownego uwierzytelnienia użytkowników co godzinę w celu uzyskania dostępu do witryny programu SharePoint. Podczas awarii sesja użytkownika zostanie rozszerzona, mimo że identyfikator Entra firmy Microsoft może nie być dostępny do ponownego uwierzytelnienia użytkownika.