Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Политики адаптивной продолжительности сеанса условного доступа дают возможность организациям ограничивать сеансы проверки подлинности в сложных внедрениях и развертываниях. Поддерживаются следующие сценарии:
- Доступ к ресурсам с неуправляемого или общего устройства.
- Доступ к конфиденциальным данным из внешней сети.
- Пользователи с высоким уровнем воздействия.
- Критически важные бизнес-приложения.
Условный доступ предоставляет адаптивные элементы управления временем существования сеансов, чтобы создавать политики, предназначенные для конкретных вариантов использования в организации, не затрагивая всех пользователей.
Прежде чем изучать настройку политики, изучите конфигурацию по умолчанию.
Частота входа пользователя
Частота входа указывает, сколько времени пользователь может получить доступ к ресурсу перед повторным входом.
Настройка Microsoft Entra ID по умолчанию для частоты входа пользователя в систему предусматривает скользящий период в 90 дней. Это может показаться разумным, чтобы запрашивать у пользователей учетные данные часто, но этот подход может привести к обратным последствиям. Пользователи, которые по привычке вводят учетные данные, не задумываясь, могут непреднамеренно предоставить их вредоносным запросам.
Не запрашивая, чтобы пользователь вернулся в систему, может показаться тревожным, но любое нарушение ИТ-политики отменяет сеанс. К примерам относятся изменение пароля, несоответствующее устройство или отключенная учетная запись. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell. Конфигурация идентификатора Microsoft Entra по умолчанию: не запрашивайте у пользователей предоставить свои учетные данные, если безопасность сеансов не изменилась.
Параметр частоты входа работает с приложениями, реализующими протоколы OAuth2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт, например для Windows, Mac и Mobile, включая следующие веб-приложения, соответствуют параметру.
- Word, Excel, PowerPoint Онлайн
- OneNote Online
- Office.com
- Портал администрирования Microsoft 365
- Обмен онлайн
- SharePoint и OneDrive
- Веб-клиент команд
- Dynamics CRM онлайн
- Портал Azure
Частота входа (SIF) работает с приложениями, отличными от Microsoft SAML, которые используют протоколы OAuth2 или OIDC, если они не удаляют собственные файлы cookie и регулярно перенаправляются обратно в Microsoft Entra ID для проверки подлинности.
Частота входа пользователя и многофакторная проверка подлинности
Ранее частота входа применялась только к проверке подлинности с использованием первого фактора на устройствах, присоединенных к Microsoft Entra, гибридных и зарегистрированных устройствах. На этих устройствах не удалось легко укрепить многофакторную проверку подлинности. По отзывам клиентов, частота входа теперь применяется и к многофакторной аутентификации (MFA).
Частота входа пользователя и идентификации устройств
На присоединенных и гибридных устройствах Microsoft Entra разблокировка устройства или вход в систему автоматически обновляет первичный маркер обновления (PRT) каждые четыре часа. Метка времени последнего обновления, записанная для PRT, должна находиться в пределах временного интервала, предусмотренного политикой SIF, по сравнению с текущей меткой времени. Это необходимо, чтобы PRT соответствовал политике SIF и предоставлял доступ к PRT с существующим утверждением MFA. На зарегистрированных устройствах Microsoft Entra разблокировка или вход не удовлетворяет политике SIF, так как пользователь не обращается к зарегистрированным устройствам Microsoft Entra через учетную запись Microsoft Entra. Однако плагин Microsoft Entra WAM может обновить PRT во время проверки подлинности нативного приложения с помощью WAM.
Примечание.
Метка времени, записанная из входа пользователя, не обязательно совпадает с последней записанной меткой времени обновления PRT из-за четырехчасового цикла обновления. То же самое происходит, когда срок действия PRT истекает, и вход пользователя обновляет его на следующие четыре часа. В следующих примерах предполагается, что политика SIF имеет значение 1 час, а PRT обновляется в 00:00.
Пример 1. При продолжении работы с тем же документом в SPO в течение часа
- В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
- Пользователь продолжит работать над тем же документом на устройстве в течение часа.
- В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором.
Пример 2. Когда вы приостанавливаете работу с фоновой задачей, выполняемой в браузере, а затем снова взаимодействуете после истечения времени политики SIF.
- В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает отправлять документ в SharePoint Online.
- В 00:10 пользователь блокирует свое устройство. Фоновая загрузка продолжается в SharePoint Online.
- В 02:45 пользователь разблокирует устройство. Фоновая загрузка завершена.
- В 02:45 пользователю будет предложено войти при повторном взаимодействии. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором с момента последнего входа в 00:00.
Если клиентское приложение (в разделе 'Сведения о действии') является браузером, система откладывает включение частоты входа в систему для применения мероприятий и параметров в фоновом режиме до следующего взаимодействия пользователя. На конфиденциальных клиентах система отложит принудительное применение частоты входа в неинтерактивные входы до следующего интерактивного входа.
Пример 3. При четырехчасовом цикле обновления основного маркера обновления после разблокировки.
Сценарий 1. Пользователь возвращается в рамках цикла
- В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
- В 00:30 пользователь блокирует свое устройство.
- В 00:45 пользователь разблокирует устройство.
- В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором, через час после первоначального входа.
Сценарий 2: Пользователь возвращается вне цикла
- В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
- В 00:30 пользователь блокирует свое устройство.
- В 04:45 пользователь разблокирует устройство.
- В 05:45 пользователю будет предложено снова войти. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором. Сейчас уже час после обновления PRT в 04:45, и прошло более четырех часов с момента первоначального входа в 00:00.
Постоянное требование повторной проверки подлинности
В некоторых сценариях может потребоваться новая проверка подлинности при каждом выполнении пользователем определенных действий, таких как:
- Доступ к конфиденциальным приложениям.
- Защита ресурсов с использованием VPN или поставщиков сети как услуги (NaaS).
- Обеспечение повышения привилегированных ролей в PIM.
- Защита входа пользователей на виртуальные рабочие столы Azure.
- Защита пользователей с повышенным риском и рискованных попыток входа, выявленных службой Microsoft Entra ID Protection.
- Защита конфиденциальных действий пользователей, таких как регистрация Microsoft Intune.
При выборе каждый раз политика требует полной повторной проверки подлинности при оценке сеанса. Это требование означает, что если пользователь закрывает и открывает свой браузер в течение времени сеанса, его могут не попросить повторно пройти проверку подлинности. Настройка частоты входа при каждом входе лучше всего работает, когда ресурс может определить, когда клиент должен получить новый токен. Эти ресурсы перенаправляют пользователя обратно в Microsoft Entra только после истечения срока действия сеанса.
Ограничить количество приложений, которые применяют политику, требующую повторной проверки подлинности пользователей каждый раз. Частая активация повторной проверки подлинности может настолько повысить уровень сложности безопасности, что это приводит к усталости от многофакторной аутентификации и открывает возможности для фишинга. Веб-приложения обычно обеспечивают более плавный опыт взаимодействия по сравнению с настольными приложениями, когда требуется повторная авторизация каждый раз, когда она включена. Политика учитывает искажённое время с запасом в пять минут при каждом применении, чтобы не запрашивать пользователей чаще, чем раз в пять минут.
Предупреждение
Использование частоты входа для требования повторной проверки подлинности каждый раз без многофакторной аутентификации может привести к зацикливанию входа для пользователей.
- Для приложений в стеке Microsoft 365 используйте частоту входа пользователей на основе времени для лучшего взаимодействия с пользователем.
- Для портала Azure и Центра администрирования Microsoft Entra используйте либо частоту входа пользователя на основе времени, либо требование повторной проверки подлинности при активации PIM с помощью контекста проверки подлинности для улучшения взаимодействия с пользователем.
Сохранение сеансов просмотра
Постоянный сеанс браузера позволяет пользователям оставаться залогиненными после закрытия и повторного открытия окна браузера.
Идентификатор Microsoft Entra ID по умолчанию для сохраняемости сеанса браузера позволяет пользователям на личных устройствах решить, следует ли сохранять сеанс, отображая запрос "Оставаться вошедшим" после успешной проверки подлинности. Если вы настроили сохраняемость браузера в AD FS, следуя руководству в параметрах единого входа AD FS, политика соблюдается, и сеанс Microsoft Entra также сохраняется. Вы настраиваете, отображаются ли пользователи в тенанте запрос "Оставаться в системе?", изменив соответствующий параметр в области фирменного стиля компании.
В постоянных браузерах файлы cookie сохраняются на устройстве пользователя даже после закрытия браузера. Эти файлы cookie могут получить доступ к элементам Microsoft Entra, которые остаются пригодными для использования до истечения срока действия токена, независимо от политик условного доступа, применяемых к ресурсной среде. Таким образом, кэширование маркеров может быть прямым нарушением требуемых политик безопасности для аутентификации. Хранение маркеров за пределами текущего сеанса может показаться удобным, но это может создать уязвимость безопасности, разрешая несанкционированный доступ к артефактам Microsoft Entra.
Настройка элементов управления сеанса проверки подлинности
Условный доступ — это возможность Microsoft Entra ID P1 или P2, требующая лицензии premium. Дополнительные сведения об условном доступе см. в разделе "Что такое условный доступ в идентификаторе Microsoft Entra ID?".
Предупреждение
Если вы используете функцию времени существования настраиваемого токена, не создавайте две разные политики для одного и того же сочетания пользователя или приложения: одну с этой функцией и другую с функцией времени существования настраиваемого токена. Корпорация Майкрософт упразднила функцию настройки времени действия маркера обновления и маркера сеанса 30 января 2021 года и заменила её функцией управления сеансами аутентификации с условным доступом.
Перед включением частоты входа в систему убедитесь, что другие настройки повторной аутентификации отключены в вашей организации. Если включена опция «Запоминать MFA на доверенных устройствах», отключите ее перед использованием настройки частоты входа в систему, так как совместное использование этих двух настроек может неожиданно выдать запрос пользователям. Для получения дополнительной информации о запросах повторной проверки подлинности и времени существования сеанса см. статью "Оптимизация запросов повторной проверки подлинности и понимание времени существования сеанса для многофакторной проверки подлинности в Microsoft Entra".