Optimalizace výzev k opětovnému ověření a pochopení doby života relace pro vícefaktorové ověřování Microsoft Entra

Článek
10/24/2023

MICROSOFT Entra ID má více nastavení, která určují, jak často uživatelé potřebují znovu ověřit. Toto opětovné ověření může mít první faktor, jako je heslo, FIDO nebo bez hesla Microsoft Authenticator nebo provedení vícefaktorového ověřování. Tato nastavení opětovného ověření můžete nakonfigurovat podle potřeby pro vaše vlastní prostředí a uživatelské prostředí, které chcete.

Výchozí konfigurace ID Microsoft Entra pro frekvenci přihlašování uživatelů je 90 dnů. Žádost uživatelů o přihlašovací údaje často vypadá jako rozumná věc, ale může to zase zastřelit. Pokud jsou uživatelé vytrénovaní tak, aby zadali své přihlašovací údaje bez myšlení, můžou jim neúmyslně poskytnout výzvu k zadání škodlivých přihlašovacích údajů.

Může to znít alarmující, že nechcete, aby se uživatel přihlásil, i když jakékoli porušení zásad IT relaci odvolá. Mezi příklady patří změna hesla, zařízení nedodržující předpisy nebo operace zakázání účtu. Relace uživatelů můžete také explicitně odvolat pomocí Prostředí Microsoft Graph PowerShell.

Tento článek podrobně popisuje doporučené konfigurace a způsob fungování různých nastavení a vzájemné interakce.

Doporučená nastavení

Pokud chcete uživatelům poskytnout správnou rovnováhu zabezpečení a snadného použití tím, že je požádáte, aby se přihlásili ve správné frekvenci, doporučujeme následující konfigurace:

Pokud máte Microsoft Entra ID P1 nebo P2:
- Povolte jednotné přihlašování (SSO) napříč aplikacemi pomocí spravovaných zařízení nebo bezproblémového jednotného přihlašování.
- Pokud se vyžaduje opětovné ověření, použijte zásadu frekvence přihlašování k podmíněnému přístupu.
- Pro uživatele, kteří se přihlašují ze scénářů nespravovaného zařízení nebo mobilních zařízení, nemusí být trvalé relace prohlížeče vhodnější nebo můžete použít podmíněný přístup k povolení trvalých relací prohlížeče se zásadami frekvence přihlašování. Omezte dobu trvání na odpovídající dobu na základě rizika přihlášení, kdy má uživatel s menším rizikem delší dobu trvání relace.
Pokud máte licence aplikací Microsoftu 365 nebo bezplatnou úroveň Microsoft Entra:
- Povolte jednotné přihlašování (SSO) napříč aplikacemi pomocí spravovaných zařízení nebo bezproblémového jednotného přihlašování.
- Nechte možnost Zůstat přihlášení povolená a nastavte uživatele, aby ji přijali.
V případě scénářů mobilních zařízení se ujistěte, že vaši uživatelé používají aplikaci Microsoft Authenticator. Tato aplikace se používá jako zprostředkovatel pro jiné federované aplikace Microsoft Entra ID a snižuje výzvy k ověření na zařízení.

Náš výzkum ukazuje, že tato nastavení jsou pro většinu tenantů správná. Některé kombinace těchto nastavení, jako je například Zapamatovat vícefaktorové ověřování a Zůstat přihlášené, můžou vést k příliš častou výzvě k ověření uživatelů. Běžné výzvy k opětovnému ověření jsou špatné pro produktivitu uživatelů a můžou usnadnit jejich zranitelnost útokům.

Nastavení konfigurace životnosti relace Microsoft Entra

Pokud chcete optimalizovat frekvenci výzev k ověřování pro vaše uživatele, můžete nakonfigurovat možnosti životnosti relace Microsoft Entra. Seznamte se s potřebami vaší firmy a uživatelů a nakonfigurujte nastavení, která poskytují nejlepší rovnováhu pro vaše prostředí.

Vyhodnocení zásad životnosti relace

Bez nastavení životnosti relace neexistují žádné trvalé soubory cookie v relaci prohlížeče. Pokaždé, když se uživatel zavře a otevře prohlížeč, zobrazí se mu výzva k opětovnému ověření. V klientech Office je výchozí časové období 90 dnů. Při této výchozí konfiguraci Office se vyžaduje, aby uživatel resetoval heslo nebo došlo k nečinnosti za více než 90 dnů, aby se uživatel znovu provedl ověřením se všemi požadovanými faktory (první a druhý faktor).

Na zařízení, které nemá identitu v Microsoft Entra ID, se může zobrazit několik výzev vícefaktorového ověřování. Výsledkem více výzev je, že každá aplikace má vlastní obnovovací token OAuth, který není sdílený s jinými klientskými aplikacemi. V tomto scénáři se vícenásobně zobrazí výzva vícefaktorového ověřování, protože každá aplikace žádá o ověření pomocí vícefaktorového ověřování obnovovací token OAuth.

V Microsoft Entra ID, nejvíce omezující zásady pro dobu života relace určuje, kdy uživatel potřebuje znovu provést ověření. Zvažte následující scénář:

Povolíte možnost Zůstat přihlášeni, která používá trvalý soubor cookie prohlížeče a
Povolíte také funkci Pamatovat si vícefaktorové ověřování po dobu 14 dnů.

V tomto ukázkovém scénáři musí uživatel znovu provést ověření každých 14 dnů. Toto chování se řídí nejvíce omezujícími zásadami, i když by uživatel sám o sobě nepožadovala opětovné ověření v prohlížeči.

Spravovaná zařízení

Zařízení připojená k Microsoft Entra ID pomocí připojení Microsoft Entra nebo hybridního připojení Microsoft Entra obdrží primární obnovovací tokeny (PRT) pro použití jednotného přihlašování (SSO) napříč aplikacemi. Tato žádost PRT umožňuje uživateli přihlásit se jednou na zařízení a umožní pracovníkům IT zajistit splnění standardů zabezpečení a dodržování předpisů. Pokud je potřeba, aby se uživatel v některých aplikacích nebo scénářích přihlásil častěji na připojeném zařízení, můžete toho dosáhnout pomocí frekvence přihlášení k podmíněnému přístupu.

Zobrazit možnost zůstat přihlášeni

Když uživatel vybere možnost Ano u možnosti Zůstat přihlášeni? Při přihlašování se v prohlížeči nastaví trvalý soubor cookie. Tento trvalý soubor cookie si pamatuje první i druhý faktor a vztahuje se pouze na žádosti o ověření v prohlížeči.

Snímek obrazovky s ukázkou výzvy k zachování přihlášení

Pokud máte licenci Microsoft Entra ID P1 nebo P2, doporučujeme použít zásady podmíněného přístupu pro relaci trvalého prohlížeče. Tato zásada přepíše nastavení Zůstat přihlášené? a poskytuje vylepšené uživatelské prostředí. Pokud nemáte licenci Microsoft Entra ID P1 nebo P2, doporučujeme uživatelům povolit nastavení zůstat přihlášeni.

Další informace o konfiguraci možnosti, aby uživatelé zůstali přihlášení, najdete v tématu Jak spravovat výzvu Zůstat přihlášeni.

Pamatovat si vícefaktorové ověřování

Toto nastavení umožňuje nakonfigurovat hodnoty mezi 1 až 365 dny a nastavit trvalý soubor cookie v prohlížeči, když uživatel vybere možnost Nepožádejte se znovu po X dnech při přihlášení.

Snímek obrazovky s ukázkovou výzvou ke schválení žádosti o přihlášení

I když toto nastavení snižuje počet ověřování ve webových aplikacích, zvyšuje počet ověřování pro moderní klienty ověřování, jako jsou klienti Office. Tito klienti se obvykle zobrazí pouze po resetování hesla nebo nečinnosti 90 dnů. Nastavení této hodnoty na méně než 90 dnů ale zkracuje výchozí výzvy vícefaktorového ověřování pro klienty Office a zvyšuje frekvenci opakovaného ověření. Pokud se používá v kombinaci se zásadami zůstat přihlášeni nebo podmíněný přístup, může se zvýšit počet žádostí o ověření.

Pokud používáte funkci Pamatovat si MFA a máte licence Microsoft Entra ID P1 nebo P2, zvažte migraci těchto nastavení na frekvenci přihlášení k podmíněnému přístupu. Jinak zvažte použití funkce Zůstat přihlášeni?

Další informace najdete v tématu Pamatovat si vícefaktorové ověřování.

Správa relací ověřování pomocí podmíněného přístupu

Frekvence přihlášení umožňuje správci zvolit frekvenci přihlášení, která platí pro první i druhý faktor v klientovi i prohlížeči. Tato nastavení doporučujeme používat společně se spravovanými zařízeními ve scénářích, kdy potřebujete omezit relaci ověřování, například pro důležité obchodní aplikace.

Relace trvalého prohlížeče umožňuje uživatelům zůstat přihlášeni po zavření a opětovném otevření okna prohlížeče. Podobně jako nastavení Zůstat přihlášení nastaví trvalý soubor cookie v prohlížeči. Vzhledem k tomu, že ho správce nakonfiguroval, nevyžaduje, aby uživatel v možnosti Zůstat přihlášený vybral ano, takže poskytuje lepší uživatelské prostředí. Pokud používáte možnost Zůstat přihlášeni? Doporučujeme místo toho povolit zásady relace trvalých prohlížečů .

Další informace. Viz Konfigurace správy relací ověřování pomocí podmíněného přístupu.

Konfigurovatelné životnosti tokenů

Toto nastavení umožňuje konfiguraci životnosti tokenu vydaného ID Microsoft Entra. Tato zásada se nahrazuje správou relací ověřování pomocí podmíněného přístupu. Pokud dnes používáte konfigurovatelné životnosti tokenů , doporučujeme zahájit migraci na zásady podmíněného přístupu.

Kontrola konfigurace tenanta

Teď, když rozumíte tomu, jak fungují různá nastavení a doporučená konfigurace, je čas zkontrolovat tenanty. Můžete začít tím, že se podíváte na protokoly přihlašování, abyste pochopili, které zásady životnosti relace se použily při přihlašování.

V rámci každého přihlášení přejděte na kartu Podrobnosti o ověřování a prozkoumejte použité zásady životnosti relace. Další informace najdete v článku Podrobnosti o aktivitě protokolu přihlašování.

Snímek obrazovky s podrobnostmi o ověřování

Pokud chcete nakonfigurovat nebo zkontrolovat možnost Zůstat přihlášeni , proveďte následující kroky:

Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.
Přejděte na Branding společnosti Identity>a pak pro každé národní prostředí zvolte Zobrazit možnost Zůstat přihlášeni.
Zvolte Ano a pak vyberte Uložit.

Pokud chcete pamatovat nastavení vícefaktorového ověřování na důvěryhodných zařízeních, proveďte následující kroky:

Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
Přejděte na Vícefaktorové ověřování ochrany>.
V části Konfigurovat vyberte Další cloudová nastavení vícefaktorového ověřování.
Na stránce nastavení služby vícefaktorového ověřování se posuňte a zapamatujte si nastavení vícefaktorového ověřování. Zakažte nastavení zrušením zaškrtnutí políčka.

Pokud chcete nakonfigurovat zásady podmíněného přístupu pro frekvenci přihlašování a trvalou relaci prohlížeče, proveďte následující kroky:

Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
Přejděte k podmíněnému přístupu k ochraně>.
Nakonfigurujte zásadu pomocí doporučených možností správy relací podrobně popsaných v tomto článku.

Pokud chcete zkontrolovat životnost tokenů, použijte Azure AD PowerShell k dotazování na všechny zásady Microsoft Entra. Zakažte všechny zásady, které máte na místě.

Pokud je ve vašem tenantovi povolené více než jedno nastavení, doporučujeme aktualizovat nastavení na základě dostupných licencí. Pokud máte například licence Microsoft Entra ID P1 nebo P2, měli byste použít pouze zásady podmíněného přístupu pro frekvenci přihlášení a trvalou relaci prohlížeče. Pokud máte aplikace Microsoft 365 nebo licence Microsoft Entra ID Free, měli byste použít konfiguraci Zůstat přihlášeni?

Pokud jste povolili konfigurovatelné životnosti tokenů, tato funkce se brzy odebere. Naplánujte migraci na zásady podmíněného přístupu.

Následující tabulka shrnuje doporučení na základě licencí:

	Aplikace Microsoft Entra ID Free a Microsoft 365	Microsoft Entra ID P1 nebo P2
SSO	Microsoft Entra join or Microsoft Entra hybrid join, or Seamless SSO for unmanaged devices.	Připojení Microsoft Entra Hybridní připojení Microsoft Entra
Nastavení opětovného ověření	Zůstat přihlášeni	Použití zásad podmíněného přístupu pro frekvenci přihlašování a trvalou relaci prohlížeče

Další kroky

Začněte tím, že dokončíte kurz zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra nebo použití detekcí rizik pro přihlašování uživatelů k aktivaci vícefaktorového ověřování Microsoft Entra.