Konfigurace správy relací ověřování pomocí podmíněného přístupu

Ve složitých nasazeních můžou organizace potřebovat omezit relace ověřování. Mezi scénáře můžou patřit:

  • Přístup k prostředkům z nespravovaného nebo sdíleného zařízení
  • Přístup k citlivým informacím z externí sítě
  • Uživatelé s vysokým dopadem
  • Důležité obchodní aplikace

Řízení podmíněného přístupu umožňuje vytvářet zásady, které cílí na konkrétní případy použití ve vaší organizaci, aniž by to mělo vliv na všechny uživatele.

Než se podíváme na podrobnosti o konfiguraci zásad, pojďme se podívat na výchozí konfiguraci.

Frekvence přihlašování uživatelů

Frekvence přihlašování definuje časové období, po jehož uplynutí se uživateli při pokusu o přístup k prostředku zobrazí výzva k opětovnému přihlášení.

Výchozí konfigurace Azure Active Directory (Azure AD) pro frekvenci přihlašování uživatelů je 90 dnů. Žádost uživatelů o přihlašovací údaje často vypadá jako rozumná věc, ale může se vrátit zpět: uživatelé, kteří jsou natrénovaní k zadání svých přihlašovacích údajů, aniž by si mysleli, že je neúmyslně zadají do škodlivé výzvy k přihlašovacím údajům.

Může to znít jako alarmující, že uživatel nebude žádat, aby se znovu přihlásil, ve skutečnosti se v žádném případě porušení zásad IT relaci neodvolá. Mezi příklady patří (ale nejsou omezené) změny hesla, zařízení nedodržující předpisy nebo zakázání účtu. Relace uživatelů můžete také explicitně odvolat pomocí PowerShellu. Výchozí konfigurace Azure AD se zobrazí tak, že se uživatelům nezobrazí dotaz, aby zadali přihlašovací údaje, pokud se stav zabezpečení relací nezměnil.

Nastavení četnosti přihlašování funguje s aplikacemi, které implementovaly protokoly OAuth2 nebo OIDC podle standardů. Většina nativních aplikací Microsoftu pro Windows, Mac a Mobile včetně následujících webových aplikací vyhovuje tomuto nastavení.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • portál Správa Microsoftu 365
  • Exchange Online
  • SharePoint a OneDrive
  • Webový klient Teams
  • Dynamics CRM Online
  • portál Azure

Nastavení četnosti přihlašování funguje s aplikacemi a aplikacemi SAML třetích stran, které implementovaly protokoly OAuth2 nebo OIDC, pokud neukládají vlastní soubory cookie a jsou pravidelně přesměrovány zpět na Azure AD pro ověřování.

Frekvence přihlašování uživatelů a vícefaktorové ověřování

Frekvence přihlášení se dříve použila pouze na prvnífaktorové ověřování na zařízeních, která byla Azure AD připojená, hybridní Azure AD připojená a Azure AD zaregistrovaná. Pro naše zákazníky nebylo snadné vynutit vícefaktorové ověřování (MFA) na těchto zařízeních. Na základě zpětné vazby od zákazníků se pro vícefaktorové ověřování uplatní také frekvence přihlašování.

Frekvence přihlášení a MFA

Frekvence přihlašování uživatelů a identity zařízení

Při Azure AD připojeném, hybridním Azure AD připojeném nebo Azure AD registrovaných zařízeních se odemknutí zařízení nebo přihlášení interaktivně splní zásady četnosti přihlášení. V následujících dvou příkladech je frekvence přihlašování uživatelů nastavená na 1 hodinu:

Příklad 1:

  • V 00:00 se uživatel přihlásí ke svému Windows 10 Azure AD připojenému zařízení a začne pracovat na dokumentu uloženém na SharePointu Online.
  • Uživatel pokračuje v práci na stejném dokumentu na svém zařízení hodinu.
  • V 01:00 se uživateli zobrazí výzva k opětovnému přihlášení na základě požadavku na četnost přihlášení v zásadách podmíněného přístupu nakonfigurovaných správcem.

Příklad 2:

  • V 00:00 se uživatel přihlásí ke svému Windows 10 Azure AD připojenému zařízení a začne pracovat na dokumentu uloženém na SharePointu Online.
  • V 00:30 se uživatel zvedne a přeruší uzamčení svého zařízení.
  • V 00:45 se uživatel vrátí ze své přestávky a odemkne zařízení.
  • V 01:45 se uživateli zobrazí výzva k opětovnému přihlášení na základě požadavku na četnost přihlášení v zásadách podmíněného přístupu nakonfigurovaných správcem od posledního přihlášení, ke které došlo v 00:45.

Vyžadovat opakované ověření pokaždé

Existují scénáře, kdy zákazníci můžou chtít vyžadovat nové ověřování, a to pokaždé, když uživatel provede konkrétní akce. Frekvence přihlášení má novou možnost pro každý čas kromě hodin nebo dnů.

Podporované scénáře:

  • Vyžadovat opětovné ověření uživatele během registrace zařízení Intune bez ohledu na aktuální stav vícefaktorového ověřování.
  • Vyžadovat opětovné ověření uživatele pro rizikové uživatele s vyžadovat řízení udělení změn hesla .
  • Vyžadovat opětovné ověření uživatele u rizikových přihlášení pomocí vyžadovat řízení udělení vícefaktorového ověřování .

Když správci vyberou pokaždé, bude při vyhodnocování relace vyžadovat úplné opětovné ověření.

Trvalost relací procházení

Trvalá relace prohlížeče umožňuje uživatelům zůstat přihlášeni po zavření a opětovném otevření okna prohlížeče.

Výchozí Azure AD pro trvalost relace prohlížeče umožňuje uživatelům na osobních zařízeních zvolit, jestli se má relace zachovat zobrazením možnosti Zůstat přihlášeni? po úspěšném ověření. Pokud je ve službě AD FS nakonfigurovaná trvalost prohlížeče s využitím pokynů v článku nastavení jednotného přihlašování služby AD FS, budeme s těmito zásadami dodržovat a zachovat také relaci Azure AD. Můžete také nakonfigurovat, jestli se uživatelům ve vašem tenantovi zobrazuje "Zůstat přihlášeni?". zobrazí výzvu změnou příslušného nastavení v podokně brandingu společnosti.

Konfigurace ovládacích prvků relace ověřování

Podmíněný přístup je funkce Azure AD Premium a vyžaduje licenci Premium. Pokud chcete získat další informace o podmíněném přístupu, přečtěte si, co je podmíněný přístup v Azure Active Directory?

Upozornění

Pokud aktuálně používáte funkci životnosti konfigurovatelného tokenu ve verzi Public Preview, mějte na paměti, že nepodporujeme vytváření dvou různých zásad pro stejného uživatele nebo aplikaci: jednu s touto funkcí a druhou s konfigurovatelnou funkcí životnosti tokenů. Společnost Microsoft vyřadila funkci konfigurovatelné životnosti tokenů pro životnost tokenů aktualizace a relace 30. ledna 2021 a nahradila ji funkcí správy relací ověřování podmíněného přístupu.

Před povolením frekvence přihlašování se ujistěte, že jsou ve vašem tenantovi zakázaná další nastavení opětovného ověření. Pokud je zapnutá možnost Pamatovat si vícefaktorové ověřování na důvěryhodných zařízeních, nezapomeňte ho před použitím frekvence přihlašování zakázat, protože použití těchto dvou nastavení může vést k neočekávanému zobrazení výzvy uživatelům. Další informace o výzev k opětovném ověření a životnosti relace najdete v článku Optimalizace výzev k opětovnému ověření a vysvětlení životnosti relace pro Azure AD vícefaktorové ověřování.

Nasazení zásad

Pokud chcete zajistit, aby vaše zásady fungovaly podle očekávání, doporučeným osvědčeným postupem je otestovat ho před uvedením do produkčního prostředí. V ideálním případě pomocí testovacího tenanta ověřte, jestli vaše nové zásady fungují podle očekávání. Další informace najdete v článku Plánování nasazení podmíněného přístupu.

Zásada 1: Řízení četnosti přihlašování

  1. Přihlaste se k Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.

  2. Přejděte kpodmíněnému přístupu zabezpečení Azure Active Directory>>.

  3. Vyberte Nové zásady.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.

  5. Zvolte všechny požadované podmínky pro prostředí zákazníka, včetně cílových cloudových aplikací.

    Poznámka

    Doporučuje se nastavit stejnou frekvenci výzvy k ověřování pro klíčové aplikace Microsoft Office, jako jsou Exchange Online a SharePoint Online, abyste dosáhli nejlepšího uživatelského prostředí.

  6. V části Relace řízení> přístupu.

    1. Vyberte frekvenci přihlášení.
      1. Zvolte pravidelné opakované ověření a zadejte hodnotu hodin nebo dnů nebo vyberte Pokaždé.
  7. Uložte zásadu.

    Zásady podmíněného přístupu nakonfigurované pro frekvenci přihlašování

Zásada 2: Trvalá relace prohlížeče

  1. Přihlaste se k Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.

  2. Přejděte kpodmíněnému přístupu zabezpečení Azure Active Directory>>.

  3. Vyberte Nové zásady.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.

  5. Zvolte všechny požadované podmínky.

    Poznámka

    Upozorňujeme, že tento ovládací prvek vyžaduje, aby jako podmínku zvolil možnost Všechny cloudové aplikace. Trvalost relace prohlížeče je řízena tokenem relace ověřování. Všechny karty v relaci prohlížeče sdílejí jeden token relace, a proto musí všechny sdílet stav trvalosti.

  6. V části Relace řízení> přístupu.

    1. Vyberte trvalou relaci prohlížeče.

      Poznámka

      Konfigurace relace trvalého prohlížeče v Azure AD podmíněného přístupu přepisuje možnost Zůstat přihlášeni? nastavení v podokně brandingu společnosti v Azure Portal pro stejného uživatele, pokud jste nakonfigurovali obě zásady.

    2. Vyberte hodnotu z rozevíracího seznamu.

  7. Uložte zásadu.

Zásada 3: Řízení četnosti přihlašování při každém rizikovém uživateli

  1. Přihlaste se k Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.
  2. Přejděte kpodmíněnému přístupu zabezpečení Azure Active Directory>>.
  3. Vyberte Nové zásady.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatele nebo identity úloh.
    1. V části Zahrnout vyberte Všechny uživatele.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
  7. V případěrizika uživatelepodmínek> nastavte možnost Konfigurovat na hodnotu Ano. V části Konfigurovat úrovně rizika uživatele potřebné k vynucení zásad vyberte Vysoká a pak vyberte Hotovo.
  8. V části Řízení> přístupuUdělit, vyberte Udělit přístup, Vyžadovat změnu hesla a vyberte Vybrat.
  9. V části Frekvencepřihlášeník ovládacím prvkům> relace vyberte Pokaždé.
  10. Potvrďte nastavení a nastavte Povolit zásadujen pro sestavy.
  11. Výběrem možnosti Vytvořit vytvořte zásadu.

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout přepínač Povolit zásadujenom ze sestavy na Zapnuto.

Ověřování

Pomocí nástroje What If můžete simulovat přihlášení od uživatele k cílové aplikaci a další podmínky na základě toho, jak jste nakonfigurovali zásady. Ovládací prvky správy relací ověřování se zobrazí ve výsledku nástroje.

Odolnost proti výzvě

Zkrátíme pět minut nerovnoměrné distribuce hodin, takže uživatelům nebudeme zobrazovat výzvy častěji než jednou za pět minut. Pokud uživatel v posledních 5 minutách provedl vícefaktorové ověřování a narazil na jinou zásadu podmíněného přístupu, která vyžaduje opětovné ověření, nezobrazíme uživateli výzvu. Nadměrné zvýšení úrovně uživatelů pro opakované ověřování může ovlivnit jejich produktivitu a zvýšit riziko, že uživatelé schvalují žádosti vícefaktorového ověřování, které nezahájili. Pro konkrétní obchodní potřeby používejte frekvenci přihlašování vždy.

Známé problémy

  • Pokud nakonfigurujete frekvenci přihlašování pro mobilní zařízení: Ověřování po každém intervalu četnosti přihlašování může být pomalé, může to trvat 30 sekund v průměru. Může k tomu také dojít v různých aplikacích najednou.
  • Na zařízeních s iOSem: Pokud aplikace konfiguruje certifikáty jako první ověřovací faktor a aplikace má nastavenou frekvenci přihlášení i Intune zásady správy mobilních aplikací, koncoví uživatelé se při aktivaci zásad nebudou k aplikaci při aktivaci zásad přihlašovat.

Další kroky