Политики условного доступа для адаптивной продолжительности сеансов

Политики адаптивного времени жизни сеанса условного доступа помогают организациям ограничивать сеансы аутентификации в сложных развертываниях. Поддерживаются следующие сценарии:

• Доступ к ресурсам с неуправляемого или общего устройства.
• Доступ к конфиденциальным данным из внешней сети.
• Пользователи с высоким уровнем воздействия.
• Критически важные бизнес-приложения.

Условный доступ предоставляет адаптивные элементы управления временем существования сеансов, позволяя создавать политики, предназначенные для конкретных вариантов использования в организации, не затрагивая всех пользователей.

Прежде чем ознакомиться с подробными сведениями о настройке политики, давайте рассмотрим конфигурацию по умолчанию.

Периодичность входа определяет период времени, по истечении которого пользователю будет предложено войти снова при попытке доступа к ресурсу.

Настройка Microsoft Entra ID по умолчанию для частоты входа пользователя в систему предусматривает скользящий период в 90 дней. Запрос учетных данных у пользователей часто кажется разумным, но это может иметь негативные последствия. Пользователи, привыкшие вводить свои учетные данные без раздумий, могут непреднамеренно ввести их в вредоносное окно запроса.

Это может показаться тревожным, чтобы не попросить пользователя войти обратно, но любое нарушение ИТ-политики отменяет сеанс. Некоторые примеры включают (но не ограничиваются) изменением пароля, несоответствующим устройством или отключением учетной записи. Вы также можете явно отозвать сеансы пользователей с помощью Microsoft Graph PowerShell. Конфигурация идентификатора Microsoft Entra по умолчанию сводится к "не спрашивайте пользователей предоставить свои учетные данные, если безопасность сеансов не изменилась".

Параметр частоты входа работает с приложениями, реализующими протоколы OAuth2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт, например для Windows, Mac и Mobile, включая следующие веб-приложения, соответствуют параметру.

• Word, Excel, PowerPoint Онлайн
• OneNote Online
• Office.com
• Портал администрирования Microsoft 365
• Exchange Online
• SharePoint и OneDrive
• Веб-клиент команд
• Dynamics CRM Online
• Портал Azure

Частота входа (SIF) работает с не-Microsoft SAML приложениями и приложениями, реализующими протоколы OAuth2 или OIDC, если они не удаляют собственные файлы cookie и регулярно перенаправляются обратно в Microsoft Entra ID для проверки подлинности.

Частота входа ранее применялась только к аутентификации первого фактора на устройствах, присоединённых к Microsoft Entra, гибридно присоединённых к Microsoft Entra и зарегистрированных в Microsoft Entra. Не было простого способа для клиентов усилить многофакторную проверку подлинности на этих устройствах. По отзывам клиентов, частота входа теперь применяется и к многофакторной аутентификации (MFA).

При присоединении к Microsoft Entra и гибридных устройствах Microsoft Entra разблокировка устройства или вход в систему автоматически обновляет первичный маркер обновления (PRT) каждые 4 часа. Метка времени последнего обновления, записанная для PRT, должна находиться в пределах временного интервала, предусмотренного политикой SIF, по сравнению с текущей меткой времени. Это необходимо, чтобы PRT соответствовал политике SIF и предоставлял доступ к PRT с существующим утверждением MFA. На зарегистрированных устройствах Microsoft Entra разблокировка или вход не удовлетворяет политике SIF, так как пользователь не обращается к зарегистрированным устройству Microsoft Entra через учетную запись Microsoft Entra. Однако подключаемый модуль Microsoft Entra WAM может обновить PRT во время аутентификации в собственном приложении с помощью WAM.

• В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
• Пользователь продолжит работать над тем же документом на устройстве в течение часа.
• В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором.

• В 00:00 пользователь входит на устройство, присоединенное к Windows 11 Microsoft Entra, и начинает отправлять документ в SharePoint Online.
• В 00:10 пользователь поднимается, делает перерыв и блокирует свое устройство. Фоновая загрузка продолжается в SharePoint Online.
• В 02:45 пользователь возвращается из перерыва и разблокирует устройство. Фоновая загрузка завершена.
• В 02:45 пользователю будет предложено войти при повторном взаимодействии. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором с момента последнего входа в 00:00.

Если клиентское приложение (в разделе сведений о действиях) является браузером, мы откладываем применение частоты входа к событиям и политике фоновых служб до следующего взаимодействия с пользователем. На конфиденциальных клиентах применение частоты проверки входа для неинтерактивных входов откладывается до следующего интерактивного входа в систему.

Сценарий 1. Пользователь возвращается в рамках цикла

• В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
• В 00:30 пользователь делает перерыв, блокируя устройство.
• В 00:45 пользователь возвращается после перерыва и разблокирует устройство.
• В 01:00 пользователю будет предложено войти еще раз. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной администратором, через 1 час после первоначального входа.

Сценарий 2: Пользователь возвращается вне цикла

• В 00:00 пользователь входит в устройство, присоединенное к Windows 11 Microsoft Entra, и начинает работу с документом, хранящимся в SharePoint Online.
• В 00:30 пользователь делает перерыв, блокируя устройство.
• В 04:45 пользователь возвращается из перерыва и разблокирует устройство.
• В 05:45 пользователю будет предложено снова войти. Этот запрос основан на требованиях частоты входа в политике условного доступа, настроенной их администратором. Сейчас прошёл 1 час после обновления PRT в 04:45 и более 4 часов с момента первоначального входа в 00:00.

Существуют сценарии, когда клиентам может потребоваться новая проверка подлинности, каждый раз, когда пользователь выполняет определенные действия, такие как:

• Доступ к конфиденциальным приложениям.
• Защита ресурсов с использованием VPN или поставщиков сети как услуги (NaaS).
• Обеспечение повышения привилегированных ролей в PIM.
• Защита входа пользователей на виртуальные рабочие столы Azure.
• Защита пользователей с повышенным риском и рискованных попыток входа, выявленных службой Microsoft Entra ID Protection.
• Защита конфиденциальных действий пользователей, таких как регистрация Microsoft Intune.

Когда администраторы выбирают каждый раз, это требует полной повторной аутентификации при оценке сеанса. Например, если пользователь закрыл и открыл браузер в течение сеанса, система не запрашивает у него повторную проверку подлинности. Частота входа, установленная на каждый случай, работает лучше всего, если ресурс имеет логику, чтобы определить, когда клиенту необходимо получить новый токен. Эти ресурсы перенаправляют пользователя обратно в Microsoft Entra только после истечения срока действия сеанса.

Администраторы должны ограничить количество приложений, для которых они применяют политику, требующую от пользователей повторной аутентификации каждый раз. Частая активация повторной проверки подлинности может настолько повысить уровень сложности безопасности, что это приводит к усталости от многофакторной аутентификации и открывает возможности для фишинга. Веб-приложения обычно обеспечивают более плавный опыт взаимодействия по сравнению с настольными приложениями, когда требуется повторная авторизация каждый раз, когда она включена. Мы компенсируем смещение времени на пять минут при выборе времени в политике, чтобы не запрашивать пользователей чаще, чем раз в пять минут.

• Для приложений в стеке Microsoft 365 рекомендуется использовать временную частоту входа пользователей для лучшего пользовательского опыта.
• Для портала Azure и Центра администрирования Microsoft Entra мы рекомендуем использовать либо частоту входа пользователей, основанную на времени, либо требовать повторной аутентификации при активации PIM с использованием контекста проверки подлинности для улучшения опыта пользователя.

Постоянный сеанс браузера позволяет пользователям оставаться залогиненными после закрытия и повторного открытия окна браузера.

Идентификатор Microsoft Entra по умолчанию для сохраняемости сеанса браузера позволяет пользователям на личных устройствах выбрать, следует ли сохранять сеанс, отображая запрос "Остаться в системе?" после успешной проверки подлинности. Если сохраняемость браузера настроена в AD FS с помощью инструкций, приведенных в статье параметров единого входа AD FS, мы соблюдаем такую политику и сохраняем сеанс Microsoft Entra. Вы также можете настроить, видят ли пользователи в вашем клиенте запрос "Оставаться в системе?", изменив необходимый параметр в панели брендинга компании.

В постоянных браузерах файлы cookie сохраняются на устройстве пользователя даже после закрытия браузера. Эти файлы cookie могут иметь доступ к артефактам Microsoft Entra, и эти артефакты можно использовать до истечения срока действия токена независимо от политик условного доступа, применяемых к среде ресурсов. Таким образом, кэширование маркеров может быть прямым нарушением требуемых политик безопасности для аутентификации. Хотя может показаться удобным хранить маркеры за пределами текущего сеанса, это может создать уязвимость безопасности, разрешая несанкционированный доступ к артефактам Microsoft Entra.

Условный доступ — это функция Microsoft Entra ID P1 или P2 и требует премиум лицензии. Дополнительные сведения об условном доступе см. в разделе "Что такое условный доступ в идентификаторе Microsoft Entra ID?".

• Настройка времени существования сеанса в политиках условного доступа
• Сведения о настройке политик условного доступа для вашей среды см. в статье "Планирование развертывания условного доступа".