Villkorsstyrd åtkomst: Standardinställningar för motståndskraft
Om det uppstod ett avbrott i den primära autentiseringstjänsten kan Microsoft Entra Backup Authentication Service automatiskt utfärda åtkomsttoken till program för befintliga sessioner. Den här funktionen ökar Microsoft Entra-motståndskraften avsevärt, eftersom omautentiseringar för befintliga sessioner står för mer än 90 % av autentiseringarna till Microsoft Entra-ID. Tjänsten säkerhetskopieringsautentisering stöder inte nya sessioner eller autentiseringar av gästanvändare.
För autentiseringar som skyddas av villkorlig åtkomst utvärderas principerna på nytt innan åtkomsttoken utfärdas för att fastställa:
- Vilka principer för villkorsstyrd åtkomst gäller?
- Var de nödvändiga kontrollerna uppfyllda för principer som gäller?
Under ett avbrott kan inte alla villkor utvärderas i realtid av autentiseringstjänsten för säkerhetskopiering för att avgöra om en princip för villkorsstyrd åtkomst ska tillämpas. Standardvärden för motståndskraft mot villkorsstyrd åtkomst är en ny sessionskontroll som låter administratörer bestämma mellan:
- Om du vill blockera autentiseringar under ett avbrott när ett principvillkor inte kan utvärderas i realtid.
- Tillåt att principer utvärderas med hjälp av data som samlats in i början av användarens session.
Viktigt!
Standardvärden för motståndskraft aktiveras automatiskt för alla nya och befintliga principer, och Microsoft rekommenderar starkt att du lämnar standardinställningarna för motståndskraft aktiverade för att minska effekten av ett avbrott. Administratörer kan inaktivera standardinställningar för motståndskraft för enskilda principer för villkorsstyrd åtkomst.
Hur fungerar det?
Under ett avbrott kommer autentiseringstjänsten för säkerhetskopiering automatiskt att återisera åtkomsttoken för vissa sessioner:
| Sessionsbeskrivning | Åtkomst beviljad |
|---|---|
| Ny session | Nej |
| Befintlig session – Inga principer för villkorsstyrd åtkomst har konfigurerats | Ja |
| Befintlig session – Principer för villkorsstyrd åtkomst som konfigurerats och de nödvändiga kontrollerna, till exempel MFA, har tidigare uppfyllts | Ja |
| Befintlig session – Principer för villkorsstyrd åtkomst konfigurerade och de nödvändiga kontrollerna, till exempel MFA, uppfylldes inte tidigare | Bestäms av standardvärden för motståndskraft |
När en befintlig session upphör att gälla under ett Microsoft Entra-avbrott dirigeras begäran om en ny åtkomsttoken till tjänsten för säkerhetskopieringsautentisering och alla principer för villkorsstyrd åtkomst utvärderas på nytt. Om det inte finns några principer för villkorlig åtkomst eller om alla nödvändiga kontroller, till exempel MFA, tidigare var uppfyllda i början av sessionen, utfärdar tjänsten för säkerhetskopieringsautentisering en ny åtkomsttoken för att utöka sessionen.
Om de nödvändiga kontrollerna för en princip inte uppfylldes tidigare utvärderas principen på nytt för att avgöra om åtkomst ska beviljas eller nekas. Alla villkor kan dock inte omvärderas i realtid under ett avbrott. Exempel på sådana förhållanden:
- Gruppmedlemskap
- Rollmedlemskap
- Inloggningsrisk
- Användarrisk
- Plats för land/region (matcha nya IP- eller GPS-koordinater)
- Autentiseringsstyrkor
När säkerhetskopieringsautentiseringstjänsten är aktiv utvärderas inte de autentiseringsmetoder som krävs av autentiseringsstyrkan. Om du använde en icke-nätfiskebeständig autentiseringsmetod före ett avbrott uppmanas du inte att använda multifaktorautentisering under ett avbrott även om du har åtkomst till en resurs som skyddas av en princip för villkorsstyrd åtkomst med en nätfiskebeständig autentiseringsstyrka.
Standardvärden för motståndskraft aktiverade
När standardvärden för motståndskraft är aktiverade använder tjänsten för säkerhetskopieringsautentisering data som samlats in i början av sessionen för att utvärdera om principen ska tillämpas i avsaknad av realtidsdata. Som standard är standardinställningen för motståndskraft aktiverad för alla principer. Inställningen kan inaktiveras för enskilda principer när principutvärdering i realtid krävs för åtkomst till känsliga program under ett avbrott.
Exempel: En princip med standardinställningar för motståndskraft aktiverat kräver att alla användare som tilldelats en privilegierad roll får åtkomst till Microsoft Admin-portaler för att utföra MFA. Om en användare som inte har tilldelats en administratörsroll får åtkomst till Azure Portal före ett avbrott, tillämpas inte principen och användaren beviljas åtkomst utan att uppmanas till MFA. Under ett avbrott utvärderar tjänsten för säkerhetskopieringsautentisering principen igen för att avgöra om användaren ska uppmanas att ange MFA. Eftersom tjänsten för säkerhetskopieringsautentisering inte kan utvärdera rollmedlemskap i realtid använder den data som samlats in i början av användarens session för att fastställa att principen fortfarande inte ska gälla. Därför skulle användaren beviljas åtkomst utan att uppmanas att använda MFA.
Standardvärden för motståndskraft inaktiverade
När standardinställningarna för motståndskraft är inaktiverade använder tjänsten för säkerhetskopieringsautentisering inte data som samlats in i början av sessionen för att utvärdera villkor. Om ett principvillkor inte kan utvärderas i realtid under ett avbrott nekas åtkomst.
Exempel: En princip med standardinställningen motståndskraft inaktiverad kräver att alla användare som tilldelats en privilegierad roll får åtkomst till Microsoft Admin-portaler för att utföra MFA. Om en användare som inte har tilldelats en administratörsroll får åtkomst till Azure Portal före ett avbrott, tillämpas inte principen och användaren beviljas åtkomst utan att uppmanas till MFA. Under ett avbrott utvärderar tjänsten för säkerhetskopieringsautentisering principen igen för att avgöra om användaren ska uppmanas att ange MFA. Eftersom tjänsten för säkerhetskopieringsautentisering inte kan utvärdera rollmedlemskap i realtid skulle det hindra användaren från att komma åt Azure-portalen.
Varning
Om du inaktiverar standardinställningar för motståndskraft för en princip som gäller för en grupp eller roll minskar motståndskraften för alla användare i din klientorganisation. Eftersom grupp- och rollmedlemskap inte kan utvärderas i realtid under ett avbrott nekas även användare som inte tillhör gruppen eller rollen i principtilldelningen åtkomst till programmet i principomfånget. Om du vill undvika att minska motståndskraften för alla användare som inte omfattas av principen bör du överväga att tillämpa principen på enskilda användare i stället för grupper eller roller.
Standardvärden för testning av motståndskraft
Det går inte att utföra en torrkörning med hjälp av tjänsten för säkerhetskopieringsautentisering eller simulera resultatet av en princip med standardinställningar för motståndskraft aktiverade eller inaktiverade just nu. Microsoft Entra utför månatliga övningar med hjälp av tjänsten för säkerhetskopieringsautentisering. Inloggningsloggarna visas om tjänsten för säkerhetskopieringsautentisering användes för att utfärda åtkomsttoken. I bladet Inloggningsloggar för identitetsövervakning> och hälsa>kan du lägga till filtret "Token issuer type == Microsoft Entra Backup Auth" för att visa loggarna som bearbetas av Microsoft Entra Backup Authentication-tjänsten.
Konfigurera standardinställningar för motståndskraft
Du kan konfigurera standardinställningar för motståndskraft mot villkorsstyrd åtkomst från administrationscentret för Microsoft Entra, MS Graph-API:er eller PowerShell.
Microsoft Entra administrationscenter
- Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
- Bläddra till Skyddsprinciper> för villkorsstyrd åtkomst.>
- Skapa en ny princip eller välj en befintlig princip
- Öppna inställningarna för sessionskontroll
- Välj Inaktivera standardinställningar för motståndskraft för att inaktivera inställningen för den här principen. Inloggningar i omfånget för principen blockeras under ett Microsoft Entra-avbrott
- Spara ändringar i principen
Microsoft Graph-API:er
Du kan också hantera standardinställningar för motståndskraft för dina principer för villkorsstyrd åtkomst med hjälp av MS Graph API och Microsoft Graph Explorer.
Exempel på url för begäran:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Exempel på begärandetext:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Den här korrigeringsåtgärden kan distribueras med Microsoft PowerShell efter installationen av modulen Microsoft.Graph.Authentication. Om du vill installera den här modulen öppnar du en upphöjd PowerShell-prompt och kör
Install-Module Microsoft.Graph.Authentication
Anslut till Microsoft Graph och begär de nödvändiga omfången:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Autentisera när du uppmanas att göra det.
Skapa JSON-brödtexten för PATCH-begäran:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Kör korrigeringsåtgärden:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Rekommendationer
Microsoft rekommenderar att du aktiverar standardinställningar för motståndskraft. Även om det inte finns några direkta säkerhetsproblem bör kunderna utvärdera om de vill tillåta säkerhetskopieringsautentiseringstjänsten att utvärdera principer för villkorlig åtkomst under ett avbrott med hjälp av data som samlats in i början av sessionen i stället för i realtid.
Det är möjligt att en användares roll eller gruppmedlemskap har ändrats sedan sessionens början. Med utvärdering av kontinuerlig åtkomst (CAE) är åtkomsttoken giltiga i 24 timmar, men omfattas av omedelbara återkallningshändelser. Tjänsten för säkerhetskopieringsautentisering prenumererar på samma återkallningshändelser som CAE. Om en användares token återkallas som en del av CAE kan användaren inte logga in under ett avbrott. När standardvärden för motståndskraft är aktiverade utökas befintliga sessioner som upphör att gälla under ett avbrott. Sessioner utökas även om principen har konfigurerats med en sessionskontroll för att framtvinga en inloggningsfrekvens. En princip med standardinställningar för motståndskraft kan till exempel kräva att användarna autentiserar varje timme på nytt för att få åtkomst till en SharePoint-webbplats. Under ett avbrott utökas användarens session även om Microsoft Entra-ID kanske inte är tillgängligt för att autentisera användaren igen.