Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Если основная служба проверки подлинности недоступна, служба проверки подлинности Microsoft Entra Backup автоматически выдает маркеры доступа к приложениям для существующих сеансов. Эта функция значительно повышает устойчивость Microsoft Entra, так как повторная проверка подлинности для существующих сеансов составляет более 90% проверки подлинности в идентификаторе Microsoft Entra. Резервная служба проверки подлинности не поддерживает новые сеансы или проверку подлинности гостевых пользователей.
Для аутентификаций, защищенных с помощью условного доступа, перед выдачей токенов доступа повторно оцениваются политики, чтобы определить:
- Какие политики условного доступа применяются?
- Для политик, которые применяются, удовлетворяются ли необходимые элементы управления?
Во время сбоя служба проверки подлинности резервного копирования не может оценить все условия в режиме реального времени, чтобы определить, применяется ли политика условного доступа. Настройки по умолчанию для гибкости условного доступа — это новый элемент управления сеансом, который позволяет администраторам выбирать между:
- Следует ли блокировать проверку подлинности во время сбоя, если условие политики не может быть оценено в режиме реального времени.
- Позволяет оценивать политики с помощью данных, собранных в начале сеанса пользователя.
Внимание
По умолчанию устойчивость автоматически включается для всех новых и существующих политик. Корпорация Майкрософт рекомендует сохранить параметры устойчивости по умолчанию, чтобы уменьшить влияние сбоя. Администраторы могут отключить параметры устойчивости по умолчанию для отдельных политик условного доступа.
Как это работает
Во время сбоя служба проверки подлинности резервного копирования повторно задает маркеры доступа для определенных сеансов:
| Описание сеанса | Доступ предоставлен |
|---|---|
| Новый сеанс | Нет |
| Существующий сеанс — политики условного доступа не настроены. | Да |
| Существующий сеанс — политики условного доступа настроены, и обязательные элементы управления, такие как многофакторная аутентификация (MFA), выполнены. | Да |
| Существующий сеанс — политики условного доступа настроены. Тем не менее, необходимые меры управления, такие как MFA, не были выполнены. | Определяется параметрами устойчивости по умолчанию |
Когда срок действия существующего сеанса истекает во время сбоя Microsoft Entra, запрос на новый маркер доступа направляется к службе резервной аутентификации, и все политики условного доступа пересматриваются. Если политики условного доступа отсутствуют или если все необходимые элементы управления, такие как MFA, были удовлетворены в начале сеанса, служба проверки подлинности резервного копирования выдает новый маркер доступа для расширения сеанса.
Если условия обязательных элементов управления политики не были ранее выполнены, то политика оценивается повторно, чтобы определить, следует предоставить или запретить доступ. Не все условия могут быть переоценены в режиме реального времени во время сбоя. К таким ситуациям относятся следующие:
- Членство в группе
- членство в ролях;
- Риск при входе
- Риск пользователя
- Расположение страны или региона (разрешение новых IP-адресов или координат GPS)
- Сильные стороны проверки подлинности
Когда активирована, служба резервной аутентификации не оценивает методы аутентификации, требуемые уровнями надёжности аутентификации. Если вы использовали метод аутентификации, защищённый от фишинга, перед сбоем, во время сбоя многофакторная аутентификация не запрашивается, даже в случае доступа к ресурсу, защищенному политикой условного доступа с требуемой устойчивостью к фишингу.
Параметры устойчивости по умолчанию включены
Если включена устойчивость по умолчанию, служба проверки подлинности резервного копирования использует данные, собранные в начале сеанса, чтобы оценить, применяется ли политика без данных в режиме реального времени. По умолчанию установлены настройки устойчивости для всех политик. Параметр для отдельных политик можно отключить, если требуется оценка политики в режиме реального времени для доступа к конфиденциальным приложениям во время сбоя.
Пример. Политика с включенными значениями устойчивости по умолчанию требует от всех пользователей, которым назначена привилегированная роль , доступ к порталам администрирования Майкрософт для выполнения MFA. Перед сбоем, если пользователь без роли администратора обращается к порталу Azure, политика не применяется, и пользователь получает доступ без запроса MFA. Во время сбоя служба проверки подлинности резервного копирования повторно оценивает политику, чтобы решить, требуется ли пользователю запрос MFA. Так как служба проверки подлинности резервного копирования не может оценивать членство в роли в режиме реального времени, она использует данные, собранные в начале сеанса пользователя, чтобы решить, что политика по-прежнему не применяется. В результате пользователь получает доступ, не запрашивая MFA.
Параметры устойчивости по умолчанию отключены
Если значения устойчивости по умолчанию отключены, служба проверки подлинности резервного копирования не использует данные, собранные в начале сеанса для оценки условий. Во время сбоя, если условие политики не может быть оценено в режиме реального времени, доступ запрещен.
Пример: Политика с отключенными значениями устойчивости по умолчанию требует, чтобы все пользователи, назначенные на привилегированную роль, при доступе к администрирующим порталам Microsoft проходили многофакторную аутентификацию. Перед сбоем, если пользователь, которому не назначена роль администратора, обращается к порталу Azure, политика не применяется, и пользователь получает доступ, не запрашивая MFA. Во время сбоя резервная служба проверки подлинности будет повторно оценивать политику, чтобы определить, должен ли пользователь получить запрос на MFA. Поскольку служба аутентификации резервного копирования не может в режиме реального времени оценивать членство в роли, пользователю блокируется доступ к порталу Azure.
Предупреждение
Отключение резилиентности по умолчанию для политики, которая применяется к группе или роли, снижает резилиентность для всех пользователей в арендаторе. Поскольку членство в группах и ролях не может быть оценено в реальном времени во время сбоя, даже пользователям, которые не входят в группу или роль в назначении политики, запрещен доступ к приложению в рамках политики. Чтобы избежать снижения устойчивости для всех пользователей, не входящих в область действия политики, примените политику к отдельным пользователям вместо групп или ролей.
Тестирование параметров устойчивости по умолчанию
Вы не можете выполнить сухой запуск с помощью службы проверки подлинности резервного копирования или имитировать результат политики с включенной или отключенной устойчивостью. Microsoft Entra выполняет ежемесячные тесты с помощью службы проверки подлинности резервного копирования. Объем этих тестов варьируется. Мы не проверяем каждого арендатора каждый месяц. Чтобы узнать, были ли токены выданы службой резервной аутентификации в арендаторе, можно использовать журналы входа. В Entra ID>Мониторинг и работоспособность>журналов входа добавьте фильтр "Тип издателя токенов == Microsoft Entra Backup Auth", чтобы отобразить журналы, обработанные службой резервной проверки подлинности Microsoft Entra.
Настройка параметров устойчивости по умолчанию
Настройка устойчивости условного доступа по умолчанию с помощью Центра администрирования Microsoft Entra, API Microsoft Graph или PowerShell.
Центр администрирования Microsoft Entra
- Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
- Перейдите к Entra ID>условного доступа>политикам.
- Создайте новую политику или выберите существующую политику.
- Откройте параметры элемента управления сеансом.
- Выберите Отключить значения по умолчанию для устойчивости, чтобы отключить параметр для этой политики. Вход в систему, находящийся в пределах действия политики, блокируется во время сбоя Microsoft Entra.
- Сохраните изменения в политике безопасности.
API-интерфейсы Microsoft Graph
Управление устойчивостью по умолчанию для политик условного доступа с помощью API MS Graph и Обозревателя Microsoft Graph.
Пример URL-адреса запроса:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Пример текста запроса:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Разверните эту операцию исправления с помощью Microsoft PowerShell после установки модуля Microsoft.Graph.Authentication. Установите этот модуль, открыв запрос PowerShell с повышенными привилегиями и выполнив
Install-Module Microsoft.Graph.Authentication
Подключитесь к Microsoft Graph и запросите необходимые области:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Войдите, когда вас попросят.
Создайте текст JSON для запроса PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Выполните операцию исправления:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Рекомендации
Корпорация Майкрософт рекомендует включить параметры устойчивости по умолчанию. Хотя нет прямых проблем безопасности, оцените, следует ли разрешить службе резервного копирования оценивать политики условного доступа во время сбоя с использованием данных, собранных в начале сеанса, а не в режиме реального времени.
Возможно, с начала сеанса роль пользователя или членство в группе изменилось. При непрерывной оценке доступа (CAE) маркеры доступа остаются действительными в течение 24 часов, но подвергаются событиям мгновенного отзыва. Резервная служба проверки подлинности подписывается на те же события аннулирования, что и CAE. Если токен пользователя отозван в рамках КРА, пользователь не может войти в систему во время сбоя. Если включены значения по умолчанию системы устойчивости, сеансы, истекающие во время сбоя, продлеваются. Сеансы расширяются, даже если политика настроена с помощью элемента управления сеансом для применения частоты входа. Например, политика с включёнными параметрами устойчивости может требовать, чтобы пользователи повторно аутентифицировались каждый час для доступа к сайту SharePoint. Во время сбоя сеанс пользователя расширяется, даже если идентификатор Microsoft Entra может быть недоступен для повторной проверки подлинности пользователя.
Следующие шаги
- Дополнительные сведения об оценке непрерывного доступа (CAE)