Запросы повторной проверки подлинности и время существования сеанса для многофакторной проверки подлинности Microsoft Entra

Идентификатор Microsoft Entra имеет несколько параметров, определяющих частоту повторной проверки подлинности пользователей. Эта повторная проверка подлинности может включать только первый фактор, например пароль, Fast IDentity Online (FIDO) или без пароля Microsoft Authenticator. Или может потребоваться многофакторная проверка подлинности (MFA). Эти параметры повторной проверки подлинности можно настроить по мере необходимости в вашей среде и пользовательском интерфейсе.

Настройка Microsoft Entra ID по умолчанию для частоты входа пользователя в систему предусматривает скользящий период в 90 дней. Запросы учетных данных у пользователей часто кажутся разумными, но могут иметь обратный эффект. Если приучить пользователей вводить учетные данные снова и снова, может произойти так, что они непреднамеренно введут свои данные при появлении вредоносного запроса.

Это может показаться тревожным, если не требуется от пользователя повторного входа в систему. Однако любое нарушение ИТ-политик отменяет сеанс. Некоторые примеры включают изменение пароля, несоответствующее устройство или операцию отключения учетной записи. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell.

В этой статье описаны рекомендуемые конфигурации и способы работы различных параметров и взаимодействия друг с другом.

Рекомендуемые параметры

Чтобы предоставить пользователям службы, сбалансированные по безопасности и простоте использования, нужно запрашивать ввод учетных данных с подходящей частотой. Для этого рекомендуем использовать следующие конфигурации.

• Если у вас есть идентификатор Microsoft Entra ID P1 или P2:
  • Включите единый вход в приложениях с помощью управляемых устройств или простого единого входа.
  • Если требуется повторная проверка подлинности, используйте политику частоты входа в систему с условным доступом Microsoft Entra.
  • Для пользователей, которые входят с неуправляемых устройств или в сценариях мобильных устройств, постоянные сеансы браузера могут быть не предпочтительны. Или вы можете использовать условный доступ для включения устойчивых сеансов браузера с политикой частоты входа. Ограничьте продолжительность до соответствующего времени в зависимости от риска при входе, чтобы пользователи с меньшим уровнем риска могли использовать более продолжительные сеансы.
• Если у вас есть лицензия Приложения Microsoft 365 или бесплатная лицензия Microsoft Entra ID:
  • Включите единый вход в приложения с помощью управляемых устройств или простого единого входа.
  • Оставьте включенной опцию Оставаться в системе и направьте ваших пользователей принять Оставаться в системе? при входе.
• В сценариях мобильных устройств убедитесь, что пользователи используют приложение Microsoft Authenticator. Это приложение является брокером для других федеративных приложений Microsoft Entra ID, и это уменьшает запросы проверки подлинности на устройстве.

Исследования показали, что эти параметры подходят для большинства клиентов. Некоторые сочетания этих параметров, такие как Запомнить многофакторную аутентификацию и Показать опцию оставаться в системе, могут привести к слишком частым запросам на аутентификацию пользователей. Обычные запросы повторной проверки подлинности плохо влияют на производительность и могут сделать пользователей более уязвимыми к атакам.

Настройка параметров для времени существования сеанса Microsoft Entra

Чтобы оптимизировать частоту запросов проверки подлинности для пользователей, можно настроить параметры для времени существования сеанса Microsoft Entra. Необходимо учитывать бизнес-потребности и запросы пользователей и настраивать параметры так, чтобы создать оптимальный баланс для вашей среды.

Параметры времени существования сеанса

Без настроек времени жизни сеанса сеанс не имеет постоянных файлов cookie. Каждый раз, когда пользователи закрывают и открывают браузер, они получают запрос на повторную проверку подлинности. В клиентах Office период времени по умолчанию представляет собой скользящее окно в 90 дней. При использовании этой конфигурации Office по умолчанию, если пользователь сбрасывает пароль или сеанс неактивен в течение более 90 дней, пользователь должен повторно пройти проверку подлинности с необходимыми первыми и вторыми факторами.

Пользователь может увидеть несколько запросов многофакторной аутентификации (MFA) на устройстве, которое не имеет учётной записи в Microsoft Entra ID. Когда каждое приложение имеет свой собственный токен обновления OAuth, не используемый другими клиентскими приложениями, это приводит к появлению нескольких запросов. В этом сценарии MFA запрашивается несколько раз, так как каждое приложение запрашивает токен обновления OAuth для проверки с помощью MFA.

В идентификаторе Microsoft Entra наиболее ограничивающая политика для времени существования сеанса определяет, когда пользователю необходимо повторно выполнить проверку подлинности. Рассмотрим сценарий, в котором можно включить оба этих параметра:

• Показать параметр для сохранения входа, в котором используется постоянный файл cookie браузера
• Помните многофакторную проверку подлинности со значением 14 дней

В этом примере пользователю необходимо повторно выполнить проверку подлинности каждые 14 дней. Это поведение соответствует самой строгой политике, даже если параметр "Показать опцию оставаться в системе" сам по себе не требует повторной аутентификации пользователя в браузере.

Управляемые устройства

Устройства, присоединенные к идентификатору Microsoft Entra с помощью соединения Microsoft Entra или гибридного соединения Microsoft Entra, получают первичный маркер обновления (PRT) для использования единого входа в приложениях.

Этот PRT позволяет пользователю войти один раз на устройстве и позволит ИТ-сотрудникам убедиться, что устройство соответствует стандартам безопасности и соответствия требованиям. Если вам нужно попросить пользователя чаще входить на присоединенное устройство для некоторых приложений или сценариев, можно использовать политику частоты входа условного доступа.

Опция: оставаться в системе

Когда пользователь выбирает Да в остаться в системе?, в браузере устанавливается постоянный файл cookie. Этот постоянный файл cookie запоминает как первые, так и второй факторы, и он применяется только для запросов проверки подлинности в браузере.

Если у вас есть лицензия Microsoft Entra ID P1 или P2, рекомендуется использовать политику условного доступа для постоянного сеанса браузера. Эта политика заменяет параметр показывать возможность оставаться в системе и обеспечивает улучшенный пользовательский опыт. Если у вас нет лицензии Microsoft Entra ID P1 или P2, мы рекомендуем включить параметр 'Показывать', чтобы оставаться в системе для пользователей.

Для получения дополнительной информации о настройке параметра, позволяющего пользователям оставаться в системе, см. Управление приглашением 'Оставаться в системе?'.

Параметр запоминания многофакторной проверки подлинности

Параметр Запомнить многофакторную аутентификацию позволяет настроить значение от 1 до 365 дней. Он задает постоянный файл cookie в браузере, когда пользователь выбирает параметр "Не запрашивать еще раз x дней " при входе.

Хотя этот параметр уменьшает количество аутентификаций в веб-приложениях, он увеличивает количество аутентификаций для современных клиентов проверки подлинности, таких как клиенты Office. Обычно эти клиенты запрашивают вход только после сброса пароля или бездействия в течение 90 дней. Однако при установке этого значения менее чем на 90 дней уменьшается частота запросов MFA по умолчанию для клиентов Office, а также увеличивается частота повторной аутентификации. Если этот параметр используется в сочетании с опцией «Показать возможность оставаться в системе» или политиками условного доступа, это может увеличить количество запросов аутентификации.

Если вы используете многофакторную проверку подлинности и имеете лицензию Microsoft Entra ID P1 или P2, попробуйте перенести эти параметры на частоту входа условного доступа. В противном случае рекомендуется использовать опцию «Показать, чтобы оставаться в системе».

Дополнительные сведения см. в статье "Запомнить многофакторную проверку подлинности".

Управление управлением сеансами аутентификации с условным доступом

Администратор может использовать политику частоты входа для выбора частоты входа, которая применяется как для первого, так и второго фактора в клиенте и браузере. Мы рекомендуем использовать эти параметры вместе с использованием управляемых устройств в сценариях, в которых необходимо ограничить сеансы проверки подлинности. Например, может потребоваться ограничить сеанс проверки подлинности для критически важных бизнес-приложений.

Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера. Как и параметр "Показать возможность оставаться в системе", он устанавливает постоянный файл куки в браузере. Но так как администратор настраивает его, пользователю не требуется выбрать "Да" в параметре "Оставаться в системе?". Таким образом, он обеспечивает лучший пользовательский интерфейс. Если вы используете параметр "Показать", чтобы остаться в системе, рекомендуется включить политику постоянного сеанса браузера вместо этого.

Дополнительные сведения см. в разделе "Настройка политик адаптивного времени существования сеанса".

Настройка времени жизни токенов

Настройка времени существования настраиваемых маркеров позволяет задать срок действия маркера, который выдает Microsoft Entra ID. Управление сеансами проверки подлинности с помощью условного доступа заменяет эту политику. Если вы используете настраиваемые сроки действия токенов сейчас, рекомендуется начать миграцию на политики условного доступа.

Проверьте конфигурацию арендатора

Теперь, когда вы понимаете, как работают различные параметры и рекомендуемая конфигурация, пришло время проверить арендаторов. Вы можете начать с просмотра журналов попыток входа, чтобы понять, какие политики времени существования сеанса были применены во время входа.

В каждом журнале попыток входа перейдите на вкладку Сведения о проверке подлинности и изучите примененные политики времени существования сеанса. С дополнительной информацией можно ознакомиться в разделе «Узнайте о сведениях деятельности журнала входа».

Чтобы настроить или проверить параметр Показывать наличие в системе, выполните следующие действия.

Важный

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Эта практика помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций или если вы не можете использовать существующую роль.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
2. Перейдите в раздел Identity>Фирменный стиль компании. Затем для каждого языкового стандарта выберите опцию «Показать возможность оставаться в системе».
3. Нажмите кнопку "Да", а затем нажмите кнопку "Сохранить".

Чтобы помнить параметры многофакторной проверки подлинности на доверенных устройствах:

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора политики проверки подлинности.
2. Перейдите к защите>многофакторной проверке подлинности.
3. В разделе Настройка выберите Дополнительные облачные параметры многофакторной проверки подлинности.
4. На панели параметров службы многофакторной проверки подлинности прокрутите до пункта "Запомнить параметры многофакторной проверки подлинности" и установите флажок.

Чтобы настроить политики условного доступа для частоты входа и постоянных сеансов браузера:

1. Войдите в Центр администрирования Microsoft Entra в качестве не менее чем администратора условного доступа.
2. Перейдите к Защите>Условному доступу.
3. Настройте политику с помощью параметров управления сеансами, которые рекомендует эта статья.

Чтобы ознакомиться со временем жизни токенов, используйте Microsoft Graph PowerShell для запроса любых политик Microsoft Entra. Отключите все существующие политики.

Если в клиенте включено несколько параметров, рекомендуется обновить параметры на основе доступных вам лицензий. Например, если у вас есть лицензия Microsoft Entra ID P1 или P2, следует использовать только политики условного доступа, такие как частота входа и постоянная сессия браузера. Если у вас есть лицензия на приложения Microsoft 365 или лицензия на Microsoft Entra ID Free, следует использовать опцию 'Включить возможность оставаться в системе'.

Если вы включили настраиваемые сроки существования маркеров, помните, что эта возможность будет удалена в ближайшее время. Запланируйте миграцию на политику условного доступа.

В следующей таблице перечислены рекомендации согласно доступным лицензиям.

Категория	Приложения Microsoft 365 или бесплатный идентификатор Microsoft Entra	Microsoft Entra ID P1 или P2
Единый вход	Присоединение к Microsoft Entra или гибридное присоединение Microsoft Entra, или бесшовный единый вход для неуправляемых устройств	Присоединение к Microsoft Entra или гибридное соединение Microsoft Entra
Параметры повторной проверки подлинности	Показать параметр, чтобы оставаться в системе	Политики условного доступа для частоты входа и постоянных сеансов браузера

Связанный контент

• Руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra
• Руководство: использование обнаружения рисков при входе пользователей для запуска многофакторной аутентификации или изменения паролей в Microsoft Entra