Время существования адаптивного сеанса условного доступа
В сложных развертываниях организациям может потребоваться ограничить сеансы проверки подлинности. Некоторые сценарии могут включать:
- Доступ к ресурсам с неуправляемого или общего устройства
- Доступ к конфиденциальной информации из внешней сети
- Пользователи с высоким уровнем влияния
- Критически важные бизнес-приложения
Условный доступ предоставляет адаптивные элементы управления временем существования сеанса, позволяющие создавать политики, предназначенные для конкретных вариантов использования в организации, не затрагивая всех пользователей.
Прежде чем ознакомиться с подробными сведениями о настройке политики, давайте рассмотрим конфигурацию по умолчанию.
Частота входа пользователя
Частота входа определяет период времени, прежде чем пользователю будет предложено повторно войти при попытке доступа к ресурсу.
Конфигурация идентификатора Microsoft Entra id по умолчанию для частоты входа пользователя — это скользякое окно 90 дней. Запрос пользователей на учетные данные часто представляется разумным делом, но это может повредить: пользователи, которые обучены вводить свои учетные данные, не думая, могут непреднамеренно предоставить их вредоносному запросу учетных данных.
Это может быть тревожным, чтобы не попросить пользователя войти обратно, в действительности любое нарушение ИТ-политик отменит сеанс. Некоторые примеры включают (но не ограничиваются) изменением пароля, несоответствующим устройством или учетной записью. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell. Конфигурация идентификатора Microsoft Entra по умолчанию сводится к "не спрашивайте пользователей предоставить свои учетные данные, если безопасность сеансов не изменилась".
Параметр частоты входа работает с приложениями, реализующими протоколы OAuth2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт для Windows, Mac и Mobile, включая следующие веб-приложения, соответствуют параметру.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- Портал администрирования Microsoft 365
- Exchange Online
- SharePoint и OneDrive
- Веб-клиент Teams
- Dynamics CRM Online
- портал Azure
Частота входа (SIF) работает со сторонними приложениями и приложениями SAML, реализующими протоколы OAuth2 или OIDC, если они не удаляют собственные файлы cookie и перенаправляются обратно в Идентификатор Microsoft Entra для проверки подлинности на регулярной основе.
Частота входа пользователей и многофакторная проверка подлинности
Частота входа ранее применялась только к первой проверке подлинности на устройствах, присоединенных к Microsoft Entra, гибридных присоединений Microsoft Entra и зарегистрированных Microsoft Entra. Для наших клиентов не было простого способа повторного применения многофакторной проверки подлинности на этих устройствах. На основе отзывов клиентов частота входа также применяется для MFA.
Частота входа пользователей и удостоверения устройств
На присоединенных устройствах Microsoft Entra и гибридных устройствах Microsoft Entra, разблокировке устройства или входе в систему автоматически обновляет основной маркер обновления (PRT) каждые 4 часа. Метка времени последнего обновления, записанная для PRT, по сравнению с текущей меткой времени, должна находиться в течение времени, выделенного в политике SIF, чтобы PRT соответствовал SIF и предоставлял доступ к PRT с существующим утверждением MFA. На зарегистрированных устройствах Microsoft Entra разблокировка и вход не удовлетворяет политике SIF, так как пользователь не обращается к зарегистрированным устройству Microsoft Entra через учетную запись Microsoft Entra. Однако подключаемый модуль WAM Microsoft Entra может обновить PRT во время проверки подлинности собственного приложения с помощью WAM.
Заметка
Метка времени, записанная из входа пользователя, не обязательно совпадает с последней записанной меткой времени обновления PRT из-за 4-часового цикла обновления. Дело в том, что это то же самое, когда срок действия PRT истек, и пользователь обновляет его в течение 4 часов. В следующих примерах предполагается, что политика SIF имеет значение 1 час, а PRT обновляется в 00:00.
Пример 1. При продолжении работы с тем же документом в SPO в течение часа
- В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
- Пользователь продолжает работать над тем же документом на своем устройстве в течение часа.
- В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором.
Пример 2. При приостановке работы с фоновой задачей, выполняемой в браузере, а затем снова взаимодействовать после истечения времени политики SIF
- В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает отправлять документ в SharePoint Online.
- В 00:10 пользователь встает и заблокирует свое устройство. Фоновая отправка продолжается в SharePoint Online.
- В 02:45 пользователь возвращается из перерыва и разблокирует устройство. Фоновая отправка показывает завершение.
- В 02:45 пользователю будет предложено войти при повторном взаимодействии. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором с момента последнего входа в 00:00.
Если клиентское приложение (в разделе сведений о действии) является браузером, мы отложим частоту применения событий и политик в фоновых службах до следующего взаимодействия пользователя. На конфиденциальных клиентах применение частоты входа в неинтерактивные входы откладываются до следующего интерактивного входа.
Пример 3. При четырехчасовом цикле обновления основного маркера обновления от разблокировки
Сценарий 1. Пользователь возвращается в цикле
- В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
- В 00:30 пользователь встает и заблокирует свое устройство.
- В 00:45 пользователь возвращается из перерыва и разблокирует устройство.
- В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором, через 1 час после первоначального входа.
Сценарий 2. Пользователь возвращает внешний цикл
- В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
- В 00:30 пользователь встает и заблокирует свое устройство.
- В 04:45 пользователь возвращается из перерыва и разблокирует устройство.
- В 05:45 пользователю будет предложено снова войти. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором. Теперь через 1 час после обновления PRT в 04:45 и более 4 часов после первоначального входа в 00:00.
Требовать повторную проверку подлинности каждый раз
Существуют сценарии, когда клиентам может потребоваться новая проверка подлинности, каждый раз, когда пользователь выполняет определенные действия, такие как:
- Доступ к конфиденциальным приложениям.
- Защита ресурсов за поставщиками VPN или сети как услуга (NaaS).
- Защита прав привилегированных ролей в PIM.
- Защита входа пользователей на виртуальные рабочие столы Azure.
- Защита рискованных пользователей и рискованных входов, определенных Защита идентификации Microsoft Entra.
- Защита конфиденциальных действий пользователей, таких как регистрация Microsoft Intune.
Частота входа, заданная для каждого раза , лучше всего работает, если ресурс имеет логику, когда клиент должен получить новый токен. Эти ресурсы перенаправляют пользователя обратно в Microsoft Entra только после истечения срока действия сеанса.
Администраторы должны ограничить количество приложений, которые они применяют политику, требующую повторной проверки подлинности пользователей каждый раз. Мы учитываем пять минут, когда каждый раз выбирается в политике, чтобы не запрашивать пользователей чаще, чем каждые пять минут. Активация повторной проверки подлинности слишком часто может увеличить трение по безопасности до точки, что это приводит к тому, что пользователи испытывают усталость MFA и открывают дверь для фишинговых попыток. Веб-приложения обычно предоставляют менее разрушительный интерфейс, чем их коллеги на рабочем столе, если требуется повторная авторизация каждый раз.
- Для приложений в стеке Microsoft 365 рекомендуется использовать частоту входа пользователей на основе времени для лучшего взаимодействия с пользователем.
- Для портал Azure и Центра администрирования Microsoft Entra рекомендуется использовать частоту входа пользователей с поддержкой времени или требовать повторную проверку подлинности при активации PIM с помощью контекста проверки подлинности для лучшего взаимодействия с пользователем.
Общедоступные поддерживаемые сценарии:
- Требовать повторную проверку подлинности пользователей во время регистрации устройств Intune независимо от текущего состояния MFA.
- Требовать повторную проверку подлинности пользователей для рискованных пользователей с помощью элемента управления предоставлением разрешения на изменение пароля.
- Требовать повторную проверку подлинности пользователей для рискованных входов с помощью элемента управления предоставлением многофакторной проверки подлинности .
Возможности общедоступной предварительной версии февраля 2024 г. позволяют администраторам требовать проверку подлинности с помощью:
Когда администраторы выбирают каждый раз, он требует полной повторной проверки подлинности при оценке сеанса.
Сохраняемость сеансов просмотра
Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.
Идентификатор Microsoft Entra по умолчанию для сохраняемости сеанса браузера позволяет пользователям на личных устройствах выбрать, следует ли сохранять сеанс, отображая запрос "Оставаться вошедшего?" после успешной проверки подлинности. Если сохраняемость браузера настроена в AD FS с помощью инструкций, приведенных в статье параметров единого входа AD FS, мы соблюдаем такую политику и сохраняем сеанс Microsoft Entra. Вы также можете настроить, видят ли пользователи в клиенте запрос "Оставаться вошедшего?", изменив соответствующий параметр в области фирменной символики компании.
В постоянных браузерах файлы cookie сохраняются на устройстве пользователя даже после закрытия браузера. Эти файлы cookie могут иметь доступ к артефактам Microsoft Entra, и эти артефакты можно использовать до истечения срока действия маркера независимо от политик условного доступа, размещенных в среде ресурсов. Таким образом, кэширование маркеров может быть прямым нарушением требуемых политик безопасности для проверки подлинности. Хотя может показаться удобным хранить маркеры за пределами текущего сеанса, это может создать уязвимость безопасности, разрешая несанкционированный доступ к артефактам Microsoft Entra.
Настройка элементов управления сеансами проверки подлинности
Условный доступ — это возможность Microsoft Entra ID P1 или P2 и требует лицензии premium. Если вы хотите узнать больше об условном доступе, см. раздел "Что такое условный доступ в идентификаторе Записи Майкрософт"?
Предупреждение
Если вы используете функцию существования настраиваемых маркеров в настоящее время в общедоступной предварительной версии, обратите внимание, что мы не поддерживаем создание двух разных политик для одного и того же сочетания пользователей или приложений: один с этой функцией и другой с настраиваемой функцией существования маркера. Корпорация Майкрософт отставила от настраиваемой функции времени существования токена для обновления и времени существования маркера сеанса 30 января 2021 г. и заменила ее функцией управления сеансами проверки подлинности условного доступа.
Перед включением частоты входа убедитесь, что другие параметры повторной проверки подлинности отключены в клиенте. Если включен параметр MFA на доверенных устройствах, не забудьте отключить его перед использованием частоты входа, так как использование этих двух параметров может привести к неожиданному запросу пользователей. Дополнительные сведения о запросах повторной проверки подлинности и времени существования сеанса см. в статье " Оптимизация запросов повторной проверки подлинности" и понимание времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.
Дальнейшие действия
- Настройка времени существования сеанса в политиках условного доступа
- Если вы готовы настроить политики условного доступа для вашей среды, см. статью "Планирование развертывания условного доступа".