Время существования адаптивного сеанса условного доступа

В сложных развертываниях организациям может потребоваться ограничить сеансы проверка подлинности. Данные сценарии могут включать:

• Доступ к ресурсам с неуправляемого или общего устройства.
• Доступ к конфиденциальным данным из внешней сети.
• Пользователи с высоким уровнем воздействия.
• Критически важные бизнес-приложения.

Условный доступ предоставляет адаптивные элементы управления временем существования сеанса, позволяющие создавать политики, предназначенные для конкретных вариантов использования в организации, не затрагивая всех пользователей.

Прежде чем углубляться в подробные сведения о настройке политики, давайте рассмотрим конфигурацию по умолчанию.

Частота входа пользователя

Периодичность входа определяет период времени, по истечении которого пользователю будет предложено войти снова при попытке доступа к ресурсу.

Настройка Microsoft Entra ID по умолчанию для частоты входа пользователя в систему предусматривает скользящий период в 90 дней. Запрос на ввод учетных данных часто кажется разумным, но он может иметь свои недостатки: пользователи, которые привыкли вводить учетные данные без необходимости, могут случайно передать их во вредоносный запрос учетных данных.

Может показаться тревожным, что от пользователя не требуется заново входить в систему, но в действительности любое нарушение ИТ-политик приведет к отмене сеанса. К таким примерам (помимо прочего) относятся изменение пароля, несоответствующее устройство или отключение учетной записи. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell. Конфигурация идентификатора Microsoft Entra по умолчанию сводится к "не спрашивайте пользователей предоставить свои учетные данные, если безопасность сеансов не изменилась".

Параметр частоты входа работает с приложениями, реализующими протоколы OAuth2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт для Windows, Mac и мобильных устройств, включая указанные ниже веб-приложения, поддерживают этот параметр.

• Word, Excel, PowerPoint Онлайн
• OneNote Online
• Office.com
• Портал администрирования Microsoft 365
• Exchange Online
• SharePoint и OneDrive
• Веб-клиент команд
• Dynamics CRM Online
• Портал Azure

Частота входа (SIF) работает со сторонними SAML-приложениями и приложениями, которые реализуют протоколы OAuth2 или OIDC, при условии, что они не удаляют собственные куки и регулярно перенаправляются обратно в Microsoft Entra ID для проверки подлинности.

Частота входа пользователя и многофакторная проверка подлинности

Частота входа ранее применялась только к аутентификации первого фактора на устройствах, присоединённых к Microsoft Entra, гибридно присоединённых к Microsoft Entra и зарегистрированных в Microsoft Entra. Для наших клиентов не было простого способа повторного применения многофакторной проверки подлинности на этих устройствах. На основе отзывов клиентов частота входа также применяется для MFA.

Частота входа пользователя и идентификации устройств

На устройствах, подключенных к Microsoft Entra, и гибридных устройствах, подключенных к Microsoft Entra, разблокировка устройства или интерактивный вход в систему приводит к обновлению основного маркера обновления (PRT) каждые 4 часа. Метка времени последнего обновления, записанная для PRT, должна находиться в пределах временного интервала, предусмотренного политикой SIF, по сравнению с текущей меткой времени. Это необходимо, чтобы PRT соответствовал политике SIF и предоставлял доступ к PRT с существующим утверждением MFA. На зарегистрированных устройствах Microsoft Entra разблокировка и вход не удовлетворяет политике SIF, так как пользователь не обращается к зарегистрированным устройству Microsoft Entra через учетную запись Microsoft Entra. Однако подключаемый модуль Microsoft Entra WAM может обновить PRT во время аутентификации в собственном приложении с помощью WAM.

Примечание.

Метка времени, записанная из входа пользователя, не обязательно совпадает с последней записанной меткой времени обновления PRT из-за 4-часового цикла обновления. Дело в том, что это то же самое, когда срок действия PRT истек, и пользователь обновляет его в течение 4 часов. В следующих примерах предполагается, что политика SIF имеет значение 1 час, а PRT обновляется в 00:00.

Пример 1. При продолжении работы с тем же документом в SPO в течение часа

• В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
• Пользователь продолжит работать над тем же документом на устройстве в течение часа.
• В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором.

Пример 2. Когда вы приостанавливаете работу с фоновой задачей, выполняемой в браузере, а затем снова взаимодействуете после истечения времени политики SIF.

• В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает отправлять документ в SharePoint Online.
• В 00:10 пользователь поднимается, делает перерыв и блокирует свое устройство. Фоновая загрузка продолжается в SharePoint Online.
• В 02:45 пользователь возвращается из перерыва и разблокирует устройство. Фоновая загрузка завершена.
• В 02:45 пользователю будет предложено войти при повторном взаимодействии. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором с момента последнего входа в 00:00.

Если клиентское приложение (в разделе сведений о действии) является браузером, мы отложим частоту применения событий и политик в фоновых службах до следующего взаимодействия пользователя. На конфиденциальных клиентах применение частоты проверки входа для неинтерактивных входов откладывается до следующего интерактивного входа в систему.

Пример 3. При четырехчасовом цикле обновления основного маркера обновления после разблокировки.

Сценарий 1. Пользователь возвращается в рамках цикла

• В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
• В 00:30 пользователь делает перерыв, блокируя устройство.
• В 00:45 пользователь возвращается после перерыва и разблокирует устройство.
• В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором, через 1 час после первоначального входа.

Сценарий 2: Пользователь возвращается вне цикла

• В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
• В 00:30 пользователь делает перерыв, блокируя устройство.
• В 04:45 пользователь возвращается из перерыва и разблокирует устройство.
• В 05:45 пользователю будет предложено снова войти. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором. Сейчас прошёл 1 час после обновления PRT в 04:45 и более 4 часов с момента первоначального входа в 00:00.

Постоянное требование повторной проверки подлинности

Существуют сценарии, когда клиентам может потребоваться новая проверка подлинности, каждый раз, когда пользователь выполняет определенные действия, такие как:

• Доступ к конфиденциальным приложениям.
• Защита ресурсов с использованием VPN или поставщиков сети как услуги (NaaS).
• Обеспечение повышения привилегированных ролей в PIM.
• Защита входа пользователей на виртуальные рабочие столы Azure.
• Защита пользователей с повышенным риском и рискованных попыток входа, выявленных службой Microsoft Entra ID Protection.
• Защита конфиденциальных действий пользователей, таких как регистрация Microsoft Intune.

Частота входа, заданная каждый раз, лучше всего работает, если ресурс имеет логику определения, когда клиенту следует получить новый токен. Эти ресурсы перенаправляют пользователя обратно в Microsoft Entra только после истечения срока действия сеанса.

Администраторы должны ограничить количество приложений, для которых они применяют политику, требующую от пользователей повторной аутентификации каждый раз. Мы компенсируем смещение времени на пять минут при выборе времени в политике, чтобы не запрашивать пользователей чаще, чем раз в пять минут. Слишком частый запрос повторной аутентификации может усилить проблемы с безопасностью настолько, что это приводит к усталости от многофакторной аутентификации и открывает двери для фишинговых атак. Веб-приложения обычно обеспечивают более плавный опыт взаимодействия по сравнению с настольными приложениями, когда требуется повторная авторизация каждый раз, когда она включена.

• Для приложений в стеке Microsoft 365 рекомендуется использовать временную частоту входа пользователей для лучшего пользовательского опыта.
• Для портала Azure и Центра администрирования Microsoft Entra мы рекомендуем использовать либо частоту входа пользователей, основанную на времени, либо требовать повторной аутентификации при активации PIM с использованием контекста проверки подлинности для улучшения опыта пользователя.

Общедоступные поддерживаемые сценарии:

• Требовать повторную проверку подлинности пользователя во время регистрации устройства Intune независимо от текущего состояния многофакторной проверки подлинности.
• Требовать повторную проверку подлинности для рискованных пользователей с предоставлением контроля над требованием об изменении пароля.
• Требовать повторную проверку подлинности для входов, связанных с риском, используя элемент управления требованием многофакторной проверки подлинности.

Возможности общедоступной предварительной версии февраля 2024 г. позволяют администраторам требовать проверку подлинности с помощью:

• Приложения с поддержкой SAML или OIDC
• Контекст проверки подлинности
• Другие действия пользователя

Когда администраторы выбирают каждый раз, это требует полной повторной аутентификации при оценке сеанса.

Сохранение сеансов просмотра

Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.

Настройка по умолчанию Microsoft Entra ID для сохранения сеанса в браузере позволяет пользователям на личных устройствах выбирать, следует ли сохранять сеанс, показывая вопрос "Оставаться в системе?" после успешной проверки подлинности. Если сохраняемость браузера настроена в AD FS с помощью инструкций, приведенных в статье параметров единого входа AD FS, мы соблюдаем такую политику и сохраняем сеанс Microsoft Entra. Вы также можете настроить, увидят ли пользователи в вашем домене запрос "Оставаться в системе?", изменив соответствующий параметр в области фирменной символики компании .

В постоянных браузерах файлы cookie сохраняются на устройстве пользователя даже после закрытия браузера. Эти файлы cookie могут иметь доступ к артефактам Microsoft Entra. Эти артефакты можно использовать до истечения срока действия токена, независимо от политик условного доступа, применённых в среде ресурсов. Таким образом, кэширование маркеров может быть прямым нарушением требуемых политик безопасности для аутентификации. Хотя может показаться удобным хранить маркеры за пределами текущего сеанса, это может создать уязвимость безопасности, разрешая несанкционированный доступ к артефактам Microsoft Entra.

Настройка элементов управления сеанса проверки подлинности

Условный доступ — это функция Microsoft Entra ID P1 или P2 и требует премиум лицензии. Если вы хотите узнать больше об условном доступе, см. Что такое условный доступ в Microsoft Entra ID?

Предупреждение

Если сейчас вы используете функцию настраиваемого времени существования для маркеров в общедоступной предварительной версии, то обратите внимание, что мы не поддерживаем создание двух разных политик для одного сочетания пользователя и приложения: один объект — с этой функцией, а другой — с функцией настраиваемого времени существования для маркеров. Корпорация Microsoft прекратила использование функции настраиваемой длительности токенов обновления и сеанса 30 января 2021 года и заменила её функцией управления сессией аутентификации с условным доступом.

Перед включением частоты входа в систему убедитесь, что в вашем арендаторе отключены другие настройки повторной аутентификации. Если включена функция "Запоминание MFA на доверенных устройствах", обязательно отключите её перед использованием настройки частоты запросов на подтверждение входа, так как совместное использование этих двух параметров может привести к появлению неожиданных запросов для пользователей. Дополнительные сведения о запросах повторной проверки подлинности и времени существования сеанса см. в статье " Оптимизация запросов повторной проверки подлинности" и понимание времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Следующие шаги

• Настройка времени существования сеанса в политиках условного доступа
• Если вы готовы приступить к настройке политик условного доступа для вашей среды, см. статью Планирование развертывания условного доступа.