Условный доступ: параметры устойчивости по умолчанию
Если произошел сбой основной службы проверки подлинности, служба проверки подлинности Microsoft Entra Backup может автоматически выдавать маркеры доступа к приложениям для существующих сеансов. Эта функция значительно повышает устойчивость Microsoft Entra, так как повторная проверка подлинности для существующих сеансов составляет более 90 % проверки подлинности в идентификаторе Microsoft Entra. Резервная служба проверки подлинности не поддерживает новые сеансы или проверку подлинности гостевых пользователей.
Для аутентификаций, защищенных с помощью условного доступа, перед выдачей токенов доступа повторно оцениваются политики, чтобы определить:
- Какие политики условного доступа применяются?
- Были ли выполнены требуемые элементы управления для политик, которые действуют?
Во время сбоя резервная служба проверки подлинности может не оценивать в реальном времени все условия, чтобы определить, следует ли применять политику условного доступа. Параметры устойчивости условного доступа по умолчанию — это новый контроль сеанса, позволяющий администраторам выбрать между:
- Следует ли блокировать проверку подлинности во время сбоя, если условие политики не может быть оценено в режиме реального времени.
- Позволяет оценивать политики с помощью данных, собранных в начале сеанса пользователя.
Внимание
Параметры устойчивости по умолчанию автоматически включаются для всех новых и существующих политик, и корпорация Майкрософт настоятельно рекомендует не отключать их, чтобы снизить влияние сбоев. Администраторы могут отключить параметры устойчивости по умолчанию для отдельных политик условного доступа.
Как это работает?
Во время сбоя резервная служба проверки подлинности автоматически повторно выдает маркеры доступа для определенных сеансов.
| Описание сеанса | Доступ предоставлен |
|---|---|
| Новый сеанс | Нет |
| Существующий сеанс — политики условного доступа не настроены. | Да |
| Существующий сеанс — политики условного доступа настроены, и обязательные элементы управления, такие как многофакторная аутентификация (MFA), выполнены. | Да |
| Существующий сеанс — политики условного доступа настроены. Тем не менее, необходимые меры управления, такие как MFA, не были выполнены. | Определяется параметрами устойчивости по умолчанию |
Когда срок действия существующего сеанса истекает во время сбоя Microsoft Entra, запрос на новый токен доступа направляется в резервную службу проверки подлинности, а все политики условного доступа переоцениваются. Если политики условного доступа отсутствуют или все условия обязательных элементов управления, таких как MFA, были ранее выполнены в начале сеанса, то резервная служба проверки подлинности выдает новый маркер доступа для продления сеанса.
Если условия обязательных элементов управления политики не были ранее выполнены, то политика оценивается повторно, чтобы определить, следует предоставить или запретить доступ. Однако во время сбоя не все условия могут быть повторно оценены в режиме реального времени. К таким ситуациям относятся следующие:
- Членство в группе
- членство в ролях;
- Риск при входе
- Риск пользователя
- Расположение страны или региона (разрешение новых IP-адресов или координат GPS)
- Сильные стороны проверки подлинности
При работе служба резервной проверки подлинности не оценивает методы проверки подлинности, необходимые для уровней проверки подлинности. Если вы использовали метод аутентификации, защищённый от фишинга, перед сбоем, во время сбоя многофакторная аутентификация не запрашивается, даже в случае доступа к ресурсу, защищенному политикой условного доступа с требуемой устойчивостью к фишингу.
Параметры устойчивости по умолчанию включены
Если включена устойчивость по умолчанию, служба проверки подлинности резервного копирования использует данные, собранные в начале сеанса, чтобы оценить, должна ли политика применяться в отсутствие данных в режиме реального времени. По умолчанию все политики имеют включенные настройки отказоустойчивости. Параметр может быть отключен для отдельных политик, если оценка политики в режиме реального времени требуется для доступа к конфиденциальным приложениям во время сбоя.
Пример. Политика с включенными значениями устойчивости по умолчанию требует от всех пользователей, которым назначена привилегированная роль , доступ к порталам администрирования Майкрософт для выполнения MFA. Перед сбоем, если пользователь, которому не назначена роль администратора, обращается к портал Azure, политика не будет применена, и пользователь будет предоставлен доступ, не запрашивая MFA. Во время сбоя резервная служба проверки подлинности будет повторно оценивать политику, чтобы определить, должен ли пользователь получить запрос на MFA. Поскольку резервная служба аутентификации не может оценивать членство в ролях в реальном времени, она будет использовать данные, собранные в начале сеанса пользователя, чтобы определить, что политика по-прежнему не применима. В результате пользователю будет предоставлен доступ без запроса на MFA.
Параметры устойчивости по умолчанию отключены
Если параметры устойчивости по умолчанию отключены, то резервная служба проверки подлинности не будет использовать данные, собранные в начале сеанса, для оценки условий. Во время сбоя, если условие политики не может быть оценено в режиме реального времени, доступ запрещен.
Пример: Политика с отключенными значениями устойчивости по умолчанию требует, чтобы все пользователи, которым назначена привилегированная роль, выполняли MFA при доступе к порталам администрирования Майкрософт. Перед сбоем, если пользователь, которому не назначена роль администратора, обращается к портал Azure, политика не будет применена, и пользователь будет предоставлен доступ, не запрашивая MFA. Во время сбоя резервная служба проверки подлинности будет повторно оценивать политику, чтобы определить, должен ли пользователь получить запрос на MFA. Так как резервная служба проверки подлинности не может оценить членство в ролях в реальном времени, она блокирует доступ пользователя к порталу Azure.
Предупреждение
Отключение параметров устойчивости по умолчанию для политики, применяемой к группе или роли, снизит устойчивость для всех пользователей в вашем клиенте. Так как во время сбоя членство в группах и ролях не может быть оценено в реальном времени, даже пользователи, не входящие в группу или роль, указанную в назначении политики, будут лишены доступа к приложению в области действия политики. Чтобы избежать снижения устойчивости для всех пользователей вне области действия политики, рассмотрите возможность применения политики к отдельным пользователям, а не к группам или ролям.
Тестирование параметров устойчивости по умолчанию
На данный момент невозможно осуществить пробный запуск резервной службы проверки подлинности или имитировать результат политики с включенными или отключенными параметрами устойчивости по умолчанию. Microsoft Entra проводит ежемесячные упражнения с помощью службы резервной аутентификации. В журналах входа отображается, использовалась ли служба резервной аутентификации для выдачи токена доступа. В панели "Мониторинг удостоверений>и состояния>Журналы входа можно добавить фильтр "Тип издателя токена == Microsoft Entra Backup Auth", чтобы отобразить журналы, обработанные службой резервной проверки подлинности Microsoft Entra.
Настройка параметров устойчивости по умолчанию
По умолчанию можно настроить устойчивость условного доступа из Центра администрирования Microsoft Entra, API MS Graph или PowerShell.
Центр администрирования Microsoft Entra
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к защите>условного доступа>политикам.
- Выберите существующую политику или создайте новую.
- Откройте параметры управления сеансом.
- Установите флажок "Отключить стандартные параметры устойчивости", чтобы отключить параметр для этой политики. Входы, подпадающие под действие политики, блокируются во время сбоя Microsoft Entra.
- Сохраните изменения в политике.
API-интерфейсы Microsoft Graph
Можно также управлять параметрами устойчивости по умолчанию для политик условного доступа с помощью API Microsoft Graph и Microsoft Graph Explorer.
Пример URL-адреса запроса:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Пример текста запроса:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Эту операцию исправления можно развернуть с помощью Microsoft PowerShell после установки модуля Microsoft.Graph.Authentication. Чтобы установить этот модуль, откройте командную строку PowerShell с повышенными привилегиями и выполните команду:
Install-Module Microsoft.Graph.Authentication
Подключитесь к Microsoft Graph, запрашивая требуемые области:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Пройдите аутентификацию при появлении запроса.
Создайте текст JSON для запроса PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Выполните операцию исправления:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Рекомендации
Корпорация Майкрософт рекомендует включить параметры устойчивости по умолчанию. Даже если прямой угрозы безопасности нет, клиентам следует оценить, хотят ли они разрешить резервной службе проверки подлинности оценивать политики условного доступа во время сбоя, используя данные, собранные в начале сеанса, а не в режиме реального времени.
Возможно, с начала сеанса роль пользователя или членство в группе изменилось. Благодаря Непрерывной оценке доступа (CAE) маркеры доступа действительны в течение 24 часов, но подвержены событиям мгновенного отзыва. Резервная служба проверки подлинности подписывается на те же события аннулирования, что и CAE. Если токен пользователя аннулируется в рамках процесса CAE, пользователь не может войти в систему в течение сбоя. Если параметры устойчивости по умолчанию включены, то существующие сеансы, срок действия которых истекает во время сбоя, будут продлены. Сеансы продлеваются, даже если была настроена политика с элементом управления сеансами для обеспечения частоты входа. Например, политика с включёнными параметрами устойчивости может требовать, чтобы пользователи повторно аутентифицировались каждый час для доступа к сайту SharePoint. Во время сбоя сеанс пользователя будет расширен, хотя идентификатор Microsoft Entra может быть недоступен для повторной проверки подлинности пользователя.