Запросы повторной проверки подлинности и время существования сеанса для многофакторной проверки подлинности Microsoft Entra

Идентификатор Microsoft Entra имеет несколько параметров, определяющих частоту повторной проверки подлинности пользователей. Эта повторная проверка подлинности может включать только первый фактор, например пароль, Fast IDentity Online (FIDO) или без пароля Microsoft Authenticator. Или может потребоваться многофакторная проверка подлинности (MFA). Эти параметры повторной проверки подлинности можно настроить по мере необходимости в вашей среде и пользовательском интерфейсе.

Настройка Microsoft Entra ID по умолчанию для частоты входа пользователя в систему предусматривает скользящий период в 90 дней. Частые запросы на ввод учетных данных может быть разумным подходом, но у него есть и обратная сторона. Если приучить пользователей вводить учетные данные снова и снова, может произойти так, что они непреднамеренно введут свои данные при появлении вредоносного запроса.

Это может показаться тревожным, чтобы не попросить пользователя войти обратно. Однако любое нарушение ИТ-политик отменяет сеанс. Некоторые примеры включают изменение пароля, несоответствующее устройство или операцию отключения учетной записи. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell.

В этой статье описаны рекомендуемые конфигурации и способы работы различных параметров и взаимодействия друг с другом.

Рекомендуемые параметры

Чтобы предоставить пользователям службы, сбалансированные по безопасности и простоте использования, нужно запрашивать ввод учетных данных с подходящей частотой. Для этого рекомендуем использовать следующие конфигурации.

• Если у вас есть идентификатор Microsoft Entra ID P1 или P2:
  • Включите единый вход в приложениях с помощью управляемых устройств или простого единого входа.
  • Если требуется повторная проверка подлинности, используйте политику частоты входа в систему с условным доступом Microsoft Entra.
  • Для пользователей, которые входят из неуправляемых устройств или сценариев мобильных устройств, постоянные сеансы браузера могут не быть предпочтительнее. Или вы можете использовать условный доступ для включения постоянных сеансов браузера с политикой частоты входа. Ограничьте продолжительность до соответствующего времени в зависимости от риска при входе, чтобы пользователи с меньшим уровнем риска могли использовать более продолжительные сеансы.
• Если у вас есть лицензия Приложения Microsoft 365 или бесплатная лицензия Microsoft Entra ID:
  • Включите единый вход в приложения с помощью управляемых устройств или простого единого входа.
  • Сохраните параметр "Показать", чтобы оставаться включенным в систему, и помогут пользователям принять вход в систему?
• В сценариях мобильных устройств убедитесь, что пользователи используют приложение Microsoft Authenticator. Это приложение является брокером для других федеративных приложений Microsoft Entra ID, и это уменьшает запросы проверки подлинности на устройстве.

Исследования показали, что эти параметры подходят для большинства клиентов. Некоторые сочетания этих параметров, такие как многофакторная проверка подлинности и параметр Show, которые остаются в системе, могут привести к слишком частой проверке подлинности пользователей. Обычные запросы повторной проверки подлинности не являются плохими для производительности пользователей и могут сделать пользователей более уязвимыми к атакам.

Настройка параметров для времени существования сеанса Microsoft Entra

Чтобы оптимизировать частоту запросов проверки подлинности для пользователей, можно настроить параметры для времени существования сеанса Microsoft Entra. Необходимо учитывать бизнес-потребности и запросы пользователей и настраивать параметры так, чтобы создать оптимальный баланс для вашей среды.

Политики времени существования сеанса

Без параметров времени существования сеанса сеанса сеанс не имеет постоянных файлов cookie. Каждый раз, когда пользователи закрывают и открывают браузер, они получают запрос на повторную проверку подлинности. В клиентах Office время существования сеанса по умолчанию составляет 90 дней. При использовании этой конфигурации Office по умолчанию, если пользователь сбрасывает пароль или сеанс неактивен в течение более 90 дней, пользователь должен повторно пройти проверку подлинности с необходимыми первыми и вторыми факторами.

Пользователь может увидеть несколько запросов MFA на устройстве, которое не имеет удостоверения в идентификаторе Microsoft Entra. Если каждое приложение имеет собственный токен обновления OAuth, который не используется совместно с другими клиентскими приложениями, будет отображаться несколько запросов. В этом сценарии MFA запрашивается несколько раз, так как каждое приложение запрашивает токен обновления OAuth для проверки с помощью MFA.

В идентификаторе Microsoft Entra наиболее ограничивающая политика для времени существования сеанса определяет, когда пользователю необходимо повторно выполнить проверку подлинности. Рассмотрим сценарий, в котором можно включить оба этих параметра:

• Показать параметр для сохранения входа, в котором используется постоянный файл cookie браузера
• Помните многофакторную проверку подлинности со значением 14 дней

В этом примере пользователю необходимо повторно выполнить проверку подлинности каждые 14 дней. Это поведение следует самой строгой политике, несмотря на то, что параметр Show будет оставаться вошедшего в систему не требует повторной проверки подлинности пользователя в браузере.

Управляемые устройства

Устройства, присоединенные к идентификатору Microsoft Entra с помощью соединения Microsoft Entra или гибридного соединения Microsoft Entra, получают первичный маркер обновления (PRT) для использования единого входа в приложениях.

Этот PRT позволяет пользователю войти один раз на устройстве и позволит ИТ-сотрудникам убедиться, что устройство соответствует стандартам безопасности и соответствия требованиям. Если вам нужно попросить пользователя чаще входить на присоединенное устройство для некоторых приложений или сценариев, можно использовать политику частоты входа условного доступа.

Параметр "Оставаться вошедшего"

Когда пользователь выбирает "Да " во время входа? при входе в систему выбирается постоянный файл cookie в браузере. Этот постоянный файл cookie запоминает как первые, так и второй факторы, и он применяется только для запросов проверки подлинности в браузере.

Если у вас есть лицензия Microsoft Entra ID P1 или P2, рекомендуется использовать политику условного доступа для сеанса постоянного браузера. Эта политика перезаписывает параметр Show, чтобы оставаться вошедшего в систему, и обеспечивает улучшенный пользовательский интерфейс. Если у вас нет лицензии Microsoft Entra ID P1 или P2, рекомендуется включить параметр Show, чтобы оставаться вошедшего в систему для пользователей.

Дополнительные сведения о настройке параметра, чтобы разрешить пользователям оставаться в системе, см . в командной строке "Оставаться вошедшего?".

Параметр запоминания многофакторной проверки подлинности

Параметр многофакторной проверки подлинности Помните позволяет настроить значение от 1 до 365 дней. Он задает постоянный файл cookie в браузере, когда пользователь выбирает параметр "Не запрашивать еще раз x дней " при входе.

Хотя этот параметр уменьшает количество аутентификаций в веб-приложениях, он увеличивает количество аутентификаций для современных клиентов проверки подлинности, таких как клиенты Office. Обычно эти клиенты запрашивают вход только после сброса пароля или бездействия в течение 90 дней. Однако при установке этого значения меньше 90 дней сокращается число запросов MFA по умолчанию для клиентов Office, а также увеличивается частота повторной проверки подлинности. Если этот параметр используется в сочетании с параметром Show, чтобы оставаться вошедшего в систему или политики условного доступа, это может увеличить количество запросов проверки подлинности.

Если вы используете многофакторную проверку подлинности и имеете лицензию Microsoft Entra ID P1 или P2, попробуйте перенести эти параметры на частоту входа условного доступа. В противном случае рекомендуется использовать параметр Show, чтобы оставаться вошедшего в систему.

Дополнительные сведения см. в статье "Запомнить многофакторную проверку подлинности".

Управление проверкой подлинности сеансов с условным доступом

Администратор может использовать политику частоты входа для выбора частоты входа, которая применяется как для первого, так и второго фактора в клиенте и браузере. Мы рекомендуем использовать эти параметры вместе с использованием управляемых устройств в сценариях, в которых необходимо ограничить сеансы проверки подлинности. Например, может потребоваться ограничить сеанс проверки подлинности для критически важных бизнес-приложений.

Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера. Как и параметр Show, чтобы оставаться вошедшего в систему, он задает постоянный файл cookie в браузере. Но так как администратор настраивает его, пользователю не требуется выбрать "Да" в параметре "Оставаться вошедшего"? Таким образом, он обеспечивает лучший пользовательский интерфейс. Если вы используете параметр "Показать", чтобы оставаться вошедшего в систему, рекомендуется включить политику сеанса сохраняемого браузера.

Дополнительные сведения см. в разделе "Настройка политик адаптивного времени существования сеанса".

Настройка времени жизни маркеров

Параметр времени существования настраиваемых маркеров позволяет настроить время существования маркера, с которыми возникают проблемы с идентификатором Microsoft Entra. Управление сеансами проверки подлинности с помощью условного доступа заменяет эту политику. Если вы используете время существования настраиваемых маркеров , рекомендуется начать миграцию в политики условного доступа.

Проверка конфигурации клиентов

Теперь, когда вы узнаете, как работают различные параметры и рекомендуемая конфигурация, пришло время проверить клиентов. Вы можете начать с просмотра журналов попыток входа, чтобы понять, какие политики времени существования сеанса были применены во время входа.

В каждом журнале попыток входа перейдите на вкладку Сведения о проверке подлинности и изучите примененные политики времени существования сеанса. Дополнительные сведения см. в разделе "Сведения о действиях журнала входа".

Чтобы настроить или проверить параметр Show, чтобы оставаться вошедшего в систему, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
2. Перейдите к фирменной символии компании Identity>. Затем для каждого языкового стандарта выберите "Показать", чтобы оставаться вошедшего в систему.
3. Нажмите кнопку "Да", а затем нажмите кнопку "Сохранить".

Чтобы помнить параметры многофакторной проверки подлинности на доверенных устройствах:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
2. Перейдите к многофакторной проверке подлинности защиты>.
3. В разделе Настройка выберите Дополнительные облачные параметры многофакторной проверки подлинности.
4. На панели параметров службы многофакторной проверки подлинности прокрутите страницу до параметра многофакторной проверки подлинности и установите флажок.

Чтобы настроить политики условного доступа для частоты входа и постоянных сеансов браузера:

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Настройте политику с помощью параметров управления сеансами, которые рекомендует эта статья.

Чтобы просмотреть время существования маркеров, используйте Microsoft Graph PowerShell для запроса любых политик Microsoft Entra. Отключите все существующие политики.

Если в клиенте включено несколько параметров, рекомендуется обновить параметры на основе лицензирования, доступного для вас. Например, если у вас есть лицензия Microsoft Entra ID P1 или P2, следует использовать только политики условного доступа для частоты входа и сеанса постоянного браузера. Если у вас есть лицензия Приложения Microsoft 365 или бесплатная лицензия На идентификатор Microsoft Entra ID, следует использовать параметр Show для сохранения входа в конфигурацию.

Если вы включили настраиваемые сроки существования маркеров, помните, что эта возможность будет удалена в ближайшее время. Запланируйте миграцию на политику условного доступа.

В следующей таблице перечислены рекомендации согласно доступным лицензиям.

Категория	Приложения Microsoft 365 или бесплатный идентификатор Microsoft Entra	Microsoft Entra ID P1 или P2
Единый вход	Присоединение к Microsoft Entra или гибридное соединение Microsoft Entra или простой единый вход для неуправляемых устройств	Присоединение к Microsoft Entra или гибридное соединение Microsoft Entra
Параметры повторной проверки подлинности	Показать параметр , чтобы оставаться вошедшего в систему	Политики условного доступа для частоты входа и постоянных сеансов браузера

Связанный контент

• Руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra
• Руководство. Использование обнаружения рисков для входа пользователей для активации многофакторной проверки подлинности Или изменений паролей Microsoft Entra