Поделиться через

Политики условного доступа для адаптивной продолжительности сеансов

Политики адаптивной продолжительности сеанса условного доступа дают возможность организациям ограничивать сеансы проверки подлинности в сложных внедрениях и развертываниях. Поддерживаются следующие сценарии:

  • Доступ к ресурсам с неуправляемого или общего устройства.
  • Доступ к конфиденциальным данным из внешней сети.
  • Пользователи с высоким уровнем воздействия.
  • Критически важные бизнес-приложения.

Условный доступ предоставляет адаптивные элементы управления временем существования сеансов, позволяя создавать политики, предназначенные для конкретных вариантов использования в организации, не затрагивая всех пользователей.

Прежде чем изучать настройку политики, изучите конфигурацию по умолчанию.

Частота входа пользователя

Частота входа указывает, сколько времени пользователь может получить доступ к ресурсу перед повторным входом.

Настройка Microsoft Entra ID по умолчанию для частоты входа пользователя в систему предусматривает скользящий период в 90 дней. Это может показаться разумным, чтобы запрашивать у пользователей учетные данные часто, но этот подход может привести к обратным последствиям. Пользователи, которые по привычке вводят учетные данные, не задумываясь, могут непреднамеренно предоставить их вредоносным запросам.

Не запрашивая, чтобы пользователь вернулся в систему, может показаться тревожным, но любое нарушение ИТ-политики отменяет сеанс. К примерам относятся изменение пароля, несоответствующее устройство или отключенная учетная запись. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell. Конфигурация идентификатора Microsoft Entra по умолчанию: не запрашивайте у пользователей предоставить свои учетные данные, если безопасность сеансов не изменилась.

Параметр частоты входа работает с приложениями, реализующими протоколы OAuth2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт, например для Windows, Mac и Mobile, включая следующие веб-приложения, соответствуют параметру.

  • Word, Excel, PowerPoint Онлайн
  • OneNote Online
  • Office.com
  • Портал администрирования Microsoft 365
  • Обмен онлайн
  • SharePoint и OneDrive
  • Веб-клиент команд
  • Dynamics CRM онлайн
  • Портал Azure

Частота входа (SIF) работает с приложениями, отличными от Microsoft SAML, которые используют протоколы OAuth2 или OIDC, если они не удаляют собственные файлы cookie и регулярно перенаправляются обратно в Microsoft Entra ID для проверки подлинности.

Частота входа пользователя и многофакторная проверка подлинности

Ранее частота входа применялась только к проверке подлинности с использованием первого фактора на устройствах, присоединенных к Microsoft Entra, гибридных и зарегистрированных устройствах. Клиенты не могли легко укрепить многофакторную проверку подлинности на этих устройствах. По отзывам клиентов, частота входа теперь применяется и к многофакторной аутентификации (MFA).

Схема, показывающая, как частота входа и многофакторная аутентификация работают вместе.

Частота входа пользователя и идентификации устройств

На присоединенных и гибридных устройствах Microsoft Entra разблокировка устройства или вход в систему автоматически обновляет первичный маркер обновления (PRT) каждые четыре часа. Метка времени последнего обновления, записанная для PRT, должна находиться в пределах временного интервала, предусмотренного политикой SIF, по сравнению с текущей меткой времени. Это необходимо, чтобы PRT соответствовал политике SIF и предоставлял доступ к PRT с существующим утверждением MFA. На зарегистрированных устройствах Microsoft Entra разблокировка или вход не удовлетворяет политике SIF, так как пользователь не обращается к зарегистрированным устройству Microsoft Entra через учетную запись Microsoft Entra. Однако подключаемый модуль Microsoft Entra WAM может обновить PRT во время аутентификации в собственном приложении с помощью WAM.

Примечание.

Метка времени, записанная из входа пользователя, не обязательно совпадает с последней записанной меткой времени обновления PRT из-за 4-часового цикла обновления. Дело в том, что это то же самое, когда срок действия PRT истек, и пользователь обновляет его в течение 4 часов. В следующих примерах предполагается, что политика SIF имеет значение 1 час, а PRT обновляется в 00:00.

Пример 1. При продолжении работы с тем же документом в SPO в течение часа

  • В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
  • Пользователь продолжит работать над тем же документом на устройстве в течение часа.
  • В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором.

Пример 2. Когда вы приостанавливаете работу с фоновой задачей, выполняемой в браузере, а затем снова взаимодействуете после истечения времени политики SIF.

  • В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает отправлять документ в SharePoint Online.
  • В 00:10 пользователь поднимается, делает перерыв и блокирует свое устройство. Фоновая загрузка продолжается в SharePoint Online.
  • В 02:45 пользователь возвращается из перерыва и разблокирует устройство. Фоновая загрузка завершена.
  • В 02:45 пользователю будет предложено войти при повторном взаимодействии. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором с момента последнего входа в 00:00.

Если клиентское приложение (в разделе сведений о действиях) является браузером, мы откладываем применение частоты входа к событиям и политике фоновых служб до следующего взаимодействия с пользователем. На конфиденциальных клиентах применение частоты проверки входа для неинтерактивных входов откладывается до следующего интерактивного входа в систему.

Пример 3. При четырехчасовом цикле обновления основного маркера обновления после разблокировки.

Сценарий 1. Пользователь возвращается в рамках цикла

  • В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
  • В 00:30 пользователь делает перерыв, блокируя устройство.
  • В 00:45 пользователь возвращается после перерыва и разблокирует устройство.
  • В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором, через 1 час после первоначального входа.

Сценарий 2: Пользователь возвращается вне цикла

  • В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
  • В 00:30 пользователь делает перерыв, блокируя устройство.
  • В 04:45 пользователь возвращается из перерыва и разблокирует устройство.
  • В 05:45 пользователю будет предложено снова войти. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором. Сейчас прошёл 1 час после обновления PRT в 04:45 и более 4 часов с момента первоначального входа в 00:00.

Постоянное требование повторной проверки подлинности

Существуют сценарии, когда клиентам может потребоваться новая проверка подлинности, каждый раз, когда пользователь выполняет определенные действия, такие как:

  • Доступ к конфиденциальным приложениям.
  • Защита ресурсов с использованием VPN или поставщиков сети как услуги (NaaS).
  • Обеспечение повышения привилегированных ролей в PIM.
  • Защита входа пользователей на виртуальные рабочие столы Azure.
  • Защита пользователей с повышенным риском и рискованных попыток входа, выявленных службой Microsoft Entra ID Protection.
  • Защита конфиденциальных действий пользователей, таких как регистрация Microsoft Intune.

Когда администраторы выбирают каждый раз, это требует полной повторной аутентификации при оценке сеанса. Например, если пользователь закрыл и открыл браузер в течение сеанса, система не запрашивает у него повторную проверку подлинности. Частота входа, установленная на каждый случай, работает лучше всего, если ресурс имеет логику, чтобы определить, когда клиенту необходимо получить новый токен. Эти ресурсы перенаправляют пользователя обратно в Microsoft Entra только после истечения срока действия сеанса.

Администраторы должны ограничить количество приложений, для которых они применяют политику, требующую от пользователей повторной аутентификации каждый раз. Частая активация повторной проверки подлинности может настолько повысить уровень сложности безопасности, что это приводит к усталости от многофакторной аутентификации и открывает возможности для фишинга. Веб-приложения обычно обеспечивают более плавный опыт взаимодействия по сравнению с настольными приложениями, когда требуется повторная авторизация каждый раз, когда она включена. Мы компенсируем смещение времени на пять минут при выборе времени в политике, чтобы не запрашивать пользователей чаще, чем раз в пять минут.

Предупреждение

Использование частоты входа для требования повторной проверки подлинности каждый раз без многофакторной аутентификации может привести к зацикливанию входа для пользователей.

  • Для приложений в стеке Microsoft 365 рекомендуется использовать временную частоту входа пользователей для лучшего пользовательского опыта.
  • Для портала Azure и Центра администрирования Microsoft Entra мы рекомендуем использовать либо частоту входа пользователей, основанную на времени, либо требовать повторной аутентификации при активации PIM с использованием контекста проверки подлинности для улучшения опыта пользователя.

Сохранение сеансов просмотра

Постоянный сеанс браузера позволяет пользователям оставаться залогиненными после закрытия и повторного открытия окна браузера.

Идентификатор Microsoft Entra ID по умолчанию для сохраняемости сеанса браузера позволяет пользователям на личных устройствах решить, следует ли сохранять сеанс, отображая запрос "Оставаться вошедшим" после успешной проверки подлинности. Если сохраняемость браузера настроена в AD FS с помощью инструкций в параметрах единого входа AD FS, то политика применяется, и сеанс Microsoft Entra также сохраняется. Вы настраиваете, отображаются ли пользователи в тенанте запрос "Оставаться в системе?", изменив соответствующий параметр в области фирменного стиля компании.

В постоянных браузерах файлы cookie сохраняются на устройстве пользователя даже после закрытия браузера. Эти файлы cookie могут получить доступ к элементам Microsoft Entra, которые остаются пригодными для использования до истечения срока действия токена, независимо от политик условного доступа, применяемых к ресурсной среде. Таким образом, кэширование маркеров может быть прямым нарушением требуемых политик безопасности для аутентификации. Хранение маркеров за пределами текущего сеанса может показаться удобным, но это может создать уязвимость безопасности, разрешая несанкционированный доступ к артефактам Microsoft Entra.

Настройка элементов управления сеанса проверки подлинности

Условный доступ — это возможность Microsoft Entra ID P1 или P2, требующая лицензии premium. Дополнительные сведения об условном доступе см. в статье "Что такое условный доступ в идентификаторе Microsoft Entra ID?".

Предупреждение

Если вы используете функцию настраиваемого времени существования токена, которая в настоящее время находится в общедоступном предварительном просмотре, не создавайте две разные политики для одного и того же сочетания пользователей или приложений: одну с этой функцией и другую с функцией настраиваемого времени существования токена. Корпорация Майкрософт упразднила функцию настройки времени действия маркера обновления и маркера сеанса 30 января 2021 года и заменила её функцией управления сеансами аутентификации с условным доступом.

Перед включением частоты входа в систему убедитесь, что другие настройки повторной аутентификации отключены в вашей организации. Если включена опция «Запоминать MFA на доверенных устройствах», отключите ее перед использованием настройки частоты входа в систему, так как совместное использование этих двух настроек может неожиданно выдать запрос пользователям. Для получения дополнительных сведений о запросах повторной проверки подлинности и времени существования сеанса см. статью "Оптимизация запросов повторной проверки подлинности и понимание времени существования сеанса для многофакторной проверки подлинности Microsoft Entra".

Следующие шаги

  • Last updated on