Konfigurace zásad adaptivní životnosti relace

Upozorňující

Pokud v současné době používáte funkci životnosti konfigurovatelného tokenu ve verzi Public Preview, upozorňujeme, že nepodporujeme vytváření dvou různých zásad pro stejnou kombinaci uživatele nebo aplikace: jednu s touto funkcí a druhou s konfigurovatelnou funkcí životnosti tokenu. Microsoft 30. ledna 2021 přestal podporovat funkci konfigurovatelné doby života tokenů pro obnovovací tokeny a tokeny relací a nahradil ji funkcí pro správu relací ověřování podmíněného přístupu.

Před povolením frekvence přihlašování se ujistěte, že jsou ve vašem tenantovi zakázaná další nastavení opětovného ověření. Pokud je povolené vícefaktorové ověřování na důvěryhodných zařízeních, nezapomeňte ho před použitím frekvence přihlášení zakázat, protože použití těchto dvou nastavení může vést k neočekávanému zobrazení výzvy uživatelům. Další informace o výzev k opětovnému ověření a životnosti relace najdete v článku Optimalizace výzev k opětovnému ověření a vysvětlení doby života relace pro vícefaktorové ověřování Microsoft Entra.

Nasazení zásad

Abyste měli jistotu, že vaše zásady fungují podle očekávání, doporučuje se před uvedením do produkčního prostředí otestovat doporučený postup. V ideálním případě pomocí testovacího tenanta ověřte, jestli vaše nové zásady fungují podle očekávání. Další informace najdete v článku Plánování nasazení podmíněného přístupu.

Zásada 1: Řízení frekvence přihlašování

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.

  2. Přejděte k podmíněnému přístupu k ochraně>.

  3. Vyberte Vytvořit novou zásadu.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  5. Zvolte všechny požadované podmínky pro prostředí zákazníka, včetně cílových cloudových aplikací.

    Poznámka:

    Doporučuje se nastavit stejnou frekvenci výzvy k ověřování pro klíčové systém Microsoft Office aplikace, jako je Exchange Online a SharePoint Online, pro nejlepší uživatelské prostředí.

  6. V části Řízení>přístupu Relace.

    1. Vyberte frekvenci přihlášení.
      1. Zvolte Pravidelné opakované ověření a zadejte hodnotu hodin nebo dnů nebo vyberte Pokaždé.

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. Uložte zásadu.

Zásada 2: Trvalá relace prohlížeče

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.

  2. Přejděte k podmíněnému přístupu k ochraně>.

  3. Vyberte Vytvořit novou zásadu.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  5. Zvolte všechny požadované podmínky.

    Poznámka:

    Tento ovládací prvek vyžaduje, aby jako podmínku zvolil možnost Všechny cloudové aplikace. Trvalost relace prohlížeče je řízena ověřovacím tokenem relace. Všechny karty v relaci prohlížeče sdílejí jeden token relace, a proto všechny musí sdílet stav trvalosti.

  6. V části Řízení>přístupu Relace.

    1. Vyberte trvalou relaci prohlížeče.

      Poznámka:

      Konfigurace relace trvalého prohlížeče v podmíněném přístupu Microsoft Entra přepíše "Zůstat přihlášený?". nastavení v podokně brandingu společnosti pro stejného uživatele, pokud jste nakonfigurovali obě zásady.

    2. V rozevíracím seznamu vyberte hodnotu.

  7. Uložte zásadu.

Zásada 3: Řízení frekvence přihlašování při každém rizikovém uživateli

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
    3. Vyberte Hotovo.
  6. V části Cílové prostředky>: Zahrnout cloudové aplikace>vyberte Všechny cloudové aplikace.
  7. V případě rizika uživatele podmínek>nastavte možnost Konfigurovat na hodnotu Ano. V části Konfigurovat úrovně rizik uživatelů potřebné k vynucení zásad vyberte Vysoká a pak vyberte Hotovo.
  8. V části Řízení>přístupu Udělit, vyberte Udělit přístup, Vyžadovat změnu hesla a vyberte Vybrat.
  9. V části Frekvence přihlašování ovládacích prvků>relace vyberte Pokaždé.
  10. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  11. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout přepínač Povolit zásadu pouze ze sestavy do polohy Zapnuto.

Ověření

Pomocí nástroje What If můžete simulovat přihlášení od uživatele k cílové aplikaci a další podmínky na základě toho, jak jste nakonfigurovali zásady. Ovládací prvky správy relací ověřování se zobrazí ve výsledku nástroje.

Tolerance výzvy

Při každém výběru v zásadách zabereme pět minut nerovnoměrné distribuce hodin, takže uživatele nebudeme zobrazovat častěji než jednou za pět minut. Pokud uživatel dokončil vícefaktorové ověřování za posledních 5 minut a dosáhl dalších zásad podmíněného přístupu, které vyžadují opětovné ověření, nezobrazíme uživateli výzvu. Nadměrné výzvy uživatelů k opětovnému ověření můžou ovlivnit jejich produktivitu a zvýšit riziko, že uživatelé schvalují žádosti MFA, které neschválili. Pro konkrétní obchodní potřeby používejte frekvenci přihlašování – pokaždé.

Známé problémy

  • Pokud nakonfigurujete frekvenci přihlašování pro mobilní zařízení: Ověřování po každém intervalu frekvence přihlašování může být pomalé, může to trvat 30 sekund v průměru. Může k tomu také dojít ve stejnou dobu v různých aplikacích.
  • Na zařízeních s iOSem: Pokud aplikace nakonfiguruje certifikáty jako první ověřovací faktor a aplikace má použitou frekvenci přihlášení i zásady správy mobilních aplikací Intune, budou koncoví uživatelé při aktivaci zásad zablokovaní přihlášení k aplikaci.

Další kroky

  • Pokud jste připraveni nakonfigurovat zásady podmíněného přístupu pro vaše prostředí, přečtěte si článek Plánování nasazení podmíněného přístupu.