Поделиться через

Настройка политик адаптивного времени существования сеанса

  • Статья

Предупреждение

Если сейчас вы используете функцию настраиваемого времени существования для маркеров в общедоступной предварительной версии, то обратите внимание, что мы не поддерживаем создание двух разных политик для одного сочетания пользователя и приложения: один объект — с этой функцией, а другой — с функцией настраиваемого времени существования для маркеров. Microsoft прекратила использовать функцию настраиваемого времени существования для токенов обновления и сеанса 30 января 2021 г. и заменила её функцией управления аутентификацией с условным доступом.

Прежде чем включить настройку частоты входа, убедитесь, что в вашей учетной записи отключены другие параметры повторной проверки подлинности. Если параметр "запоминания MFA на доверенных устройствах" включен, обязательно отключите его перед использованием настройки частоты запросов на вход, так как совместное использование этих двух параметров может привести к неожиданным запросам на аутентификацию пользователей. Дополнительные сведения о запросах повторной проверки подлинности и времени существования сеанса см. в статье " Оптимизация запросов повторной проверки подлинности" и понимание времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Развертывание политики

Чтобы убедиться, что политика работает должным образом, рекомендуется протестировать ее перед развертыванием в рабочей среде. В идеале для проверки правильности работы новой политики следует использовать тестовый клиент. Дополнительные сведения см. в статье Планирование развертывания условного доступа.

Политика 1. Управление частотой входа

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.

  2. Перейдите к Защите>Условному доступу>Политики.

  3. Выберите Новая политика.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. Выберите все необходимые условия для окружения клиента, включая целевые облачные приложения.

    Примечание.

    Рекомендуем задать равную частоту запросов проверки подлинности для ключевых приложений Microsoft Office, таких как Exchange Online и SharePoint Online, для оптимального взаимодействия с пользователем.

  6. В разделе Элементы управления доступом>Сеанс.

    1. Выберите Частота входа.
      1. Выберите периодическую повторную проверку подлинности и введите значение часов или дней либо выберите Каждый раз.

    Снимок экрана: политика условного доступа, настроенная для частоты входа.

  7. Сохраните настройки.

Политика 2. Сохраняемый сеанс браузера

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.

  2. Перейдите к Защите>Условному доступу>Политики.

  3. Выберите Новая политика.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. Выберите все обязательные условия.

    Примечание.

    В качестве условия для этого средства контроля необходимо выбрать пункт "Все облачные приложения". Устойчивость сеансов браузера контролируется токеном сеанса проверки подлинности. Все вкладки в сеансе браузера совместно используют один маркер сеанса, поэтому все они должны предоставлять общий доступ к состоянию сохраняемости.

  6. В разделе Элементы управления доступом>Сеанс.

    1. Выберите Сохраняемый сеанс браузера.

      Примечание.

      Конфигурация персистентного сеанса браузера в Microsoft Entra Условного доступа переопределяет параметр "Оставаться в системе?" в панели фирменного стиля компании для одного пользователя, если настроены обе политики.

    2. Выберите значение в раскрывающемся списке.

  7. Сохраните настройки.

Политика 3: Контроль частоты входа каждый раз при рисковом действии пользователя.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Защита>Условный доступ.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и укажите учетные записи аварийного доступа или обходные учетные записи вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Целевые ресурсы>включитьвыберите Все ресурсы (ранее "Все облачные приложения").
  7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
    1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
    2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Выберите " Требовать изменение пароля".
    3. Выберите Выберите.
  9. В разделе Сеанс.
    1. Выберите Частота входа.
    2. Убедитесь, что выбрано Каждый раз.
    3. Выберите Выберите.
  10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Проверка

Используйте средство What If для имитации входа пользователя в целевое приложение и других условий с учетом того, как вы настроили свою политику. Элементы управления сеанса проверки подлинности отображаются в результатах работы средства.

Допустимая задержка введения команд

При выборе параметра каждый раз в политике, мы учитываем расхождение времени в пять минут, чтобы не запрашивать пользователей чаще, чем каждые пять минут. Если пользователь выполнил многофакторную проверку подлинности за последние 5 минут и затем столкнулся с другой политикой условного доступа, требующей повторной проверки подлинности, мы не предъявляем ему запрос. Чрезмерные запросы к пользователям на повторную проверку подлинности могут негативно сказываться на их производительности и увеличивать риск одобрения запросов MFA, которые они сами не инициировали. Используйте "Частота входа — каждый раз" только для конкретных бизнес-потребностей.

Известные проблемы

  • При настройке частоты входа для мобильных устройств проверка подлинности после каждого входа в систему будет замедляться (в среднем может требоваться 30 секунд). Кроме того, это может происходить в разных приложениях одновременно.
  • Если на устройствах iOS приложение в качестве первого фактора проверки подлинности настраивает сертификаты и к приложению применяются политики частоты входа и управления мобильными приложениями Intune, то при активации политики вход в приложение для конечных пользователей будет заблокирован.
  • Microsoft Entra Private Access еще не поддерживает установку частоты входа в систему при каждом входе.

Следующие шаги