Podmíněný přístup: Výchozí nastavení odolnosti

  • Článek

Pokud došlo k výpadku primární ověřovací služby, může ověřovací služba Microsoft Entra Backup automaticky vydávat přístupové tokeny aplikacím pro existující relace. Tato funkce výrazně zvyšuje odolnost Microsoft Entra, protože opakované ověřování pro existující relace představuje více než 90 % ověřování pro Microsoft Entra ID. Služba ověřování zálohování nepodporuje nové relace ani ověřování uživatelů typu host.

U ověřování chráněných podmíněným přístupem se zásady před vydáním přístupových tokenů znovu vyhodnotují, aby bylo možné určit:

  1. Které zásady podmíněného přístupu se vztahují?
  2. Byly splněny požadované ovládací prvky pro zásady, které se použijí?

Během výpadku není možné vyhodnotit všechny podmínky v reálném čase službou ověřování služby Backup a určit, jestli se mají použít zásady podmíněného přístupu. Výchozí nastavení odolnosti podmíněného přístupu je nový ovládací prvek relace, který správcům umožňuje rozhodnout se mezi:

  • Určuje, jestli se má během výpadku blokovat ověřování, kdykoli není možné vyhodnotit podmínku zásad v reálném čase.
  • Povolit vyhodnocení zásad pomocí dat shromážděných na začátku relace uživatele.

Důležité

Výchozí nastavení odolnosti jsou automaticky povolená pro všechny nové a stávající zásady a Microsoft důrazně doporučuje ponechat výchozí hodnoty odolnosti povolené, aby se snížil dopad výpadku. Správa můžou zakázat výchozí odolnost jednotlivých zásad podmíněného přístupu.

Jak to funguje?

Během výpadku služba Backup Authentication Service automaticky znovu vytvoří přístupové tokeny pro určité relace:

Popis relace Přístup udělen
Nová relace No
Existující relace – nejsou nakonfigurovány žádné zásady podmíněného přístupu. Ano
Existující relace – zásady podmíněného přístupu nakonfigurované a požadované ovládací prvky, jako je MFA, byly dříve splněny. Ano
Existující relace – nakonfigurované zásady podmíněného přístupu a požadované ovládací prvky, jako je vícefaktorové ověřování, nebyly dříve splněny. Určeno výchozími nastaveními odolnosti

Když vyprší platnost existující relace během výpadku Microsoft Entra, požadavek na nový přístupový token se přesměruje do služby ověřování zálohování a všechny zásady podmíněného přístupu se znovu vyhodnotí. Pokud na začátku relace nebyly splněny žádné zásady podmíněného přístupu nebo všechny požadované ovládací prvky, jako je MFA, služba ověřování zálohování vydá nový přístupový token pro rozšíření relace.

Pokud požadované ovládací prvky zásady nebyly dříve splněné, zásada se znovu vyhodnotí a určí, jestli má být udělen nebo odepřen přístup. Během výpadku však nelze znovu vyhodnotit všechny podmínky v reálném čase. Mezi tyto okolnosti patří:

  • Členství ve skupině
  • Členství v rolích
  • Riziko přihlášení
  • Riziko uživatele
  • Umístění země/oblasti (překlad nových souřadnic IP nebo GPS)
  • Silné stránky ověřování

Pokud je aktivní, služba ověřování zálohování nevyhodnocuje metody ověřování vyžadované sílami ověřování. Pokud jste před výpadkem použili metodu ověřování odolnou proti útokům phishing, během výpadku nebudete vyzváni k vícefaktorovém ověřování ani v případě, že se k přístupu k prostředku chráněnému zásadami podmíněného přístupu používá síla ověřování odolná proti útokům phishing.

Povolené výchozí hodnoty odolnosti

Pokud jsou povolené výchozí hodnoty odolnosti, služba ověřování služby Backup používá data shromážděná na začátku relace k vyhodnocení, jestli se zásady mají použít v případě absence dat v reálném čase. Ve výchozím nastavení mají všechny zásady povolenou výchozí odolnost. Nastavení může být pro jednotlivé zásady zakázané, pokud se při výpadku vyžaduje vyhodnocení zásad v reálném čase pro přístup k citlivým aplikacím.

Příklad: Zásada s povolenými výchozími nastaveními odolnosti vyžaduje, aby všichni uživatelé přidělili privilegovanou roli přistupující k portálům Microsoft Správa k vícefaktorovým ověřováním. Pokud uživatel, který nemá přiřazenou roli správce, přistupuje k webu Azure Portal, zásady by se nepoužijí a uživateli se udělí přístup bez výzvy k vícefaktorovým ověřováním. Během výpadku by služba ověřování zálohování znovu vyhodnocela zásadu, aby určila, jestli má být uživatel vyzván k vícefaktorovém ověřování. Vzhledem k tomu, že služba ověřování zálohování nemůže vyhodnotit členství v rolích v reálném čase, použila by data shromážděná na začátku relace uživatele k určení, že by zásady stále neměly platit. V důsledku toho by byl uživateli udělen přístup bez výzvy k vícefaktorovým ověřováním.

Výchozí nastavení odolnosti jsou zakázaná.

Pokud jsou výchozí hodnoty odolnosti zakázané, služba ověřování zálohování nebude k vyhodnocení podmínek používat data shromážděná na začátku relace. Pokud během výpadku nejde vyhodnotit podmínku zásad v reálném čase, přístup se odepře.

Příklad: Zásada se zakázanými výchozími nastaveními odolnosti vyžaduje, aby všichni uživatelé přidělili privilegovanou roli přistupující k portálům Microsoft Správa, aby mohli provádět vícefaktorové ověřování. Pokud uživatel, který nemá přiřazenou roli správce, přistupuje k webu Azure Portal, zásady by se nepoužijí a uživateli se udělí přístup bez výzvy k vícefaktorovým ověřováním. Během výpadku by služba ověřování zálohování znovu vyhodnocela zásadu, aby určila, jestli má být uživatel vyzván k vícefaktorovém ověřování. Vzhledem k tomu, že služba ověřování zálohování nemůže vyhodnotit členství v rolích v reálném čase, zablokuje by uživateli přístup k webu Azure Portal.

Upozorňující

Zakázání výchozích hodnot odolnosti pro zásadu, která se vztahuje na skupinu nebo roli, sníží odolnost pro všechny uživatele ve vašem tenantovi. Vzhledem k tomu, že členství ve skupinách a rolích nelze vyhodnotit v reálném čase během výpadku, budou přístup k aplikaci v oboru zásad odepřeni i uživatelé, kteří nepatří do skupiny nebo role v přiřazení zásad. Pokud se chcete vyhnout snížení odolnosti pro všechny uživatele, kteří nejsou v oboru zásad, zvažte použití zásad u jednotlivých uživatelů místo skupin nebo rolí.

Testování výchozích hodnot odolnosti

Pomocí ověřovací služby zálohování není možné provést suché spuštění nebo simulovat výsledek zásady s povolenými nebo zakázanými výchozími nastaveními odolnosti. Microsoft Entra provádí měsíční cvičení pomocí služby Ověřování zálohování. Protokoly přihlášení se zobrazí, pokud se k vydání přístupového tokenu použila ověřovací služba zálohování. V okně Protokoly přihlášení k monitorování identit a>stavu můžete přidat filtr "Typ vystavitele tokenu == Microsoft Entra Backup Auth", abyste zobrazili protokoly zpracovávané službou ověřování Microsoft Entra Backup.>

Konfigurace výchozích hodnot odolnosti

Odolnost podmíněného přístupu můžete nakonfigurovat ve výchozím nastavení z Centra pro správu Microsoft Entra, rozhraní MS Graph API nebo PowerShellu.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vytvoření nové zásady nebo výběr existující zásady
  4. Otevření nastavení ovládacího prvku Relace
  5. Výběrem možnosti Zakázat výchozí nastavení odolnosti zakážete nastavení pro tuto zásadu. Během výpadku Microsoft Entra se zablokují přihlášení v rozsahu zásad.
  6. Uložení změn do zásad

Rozhraní MS Graph API

Pomocí rozhraní MS Graph API a Microsoft Graph Exploreru můžete také spravovat výchozí hodnoty odolnosti pro zásady podmíněného přístupu.

Ukázková adresa URL požadavku:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Text ukázkové žádosti:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Tuto operaci opravy je možné nasadit pomocí Microsoft PowerShellu po instalaci modulu Microsoft.Graph.Authentication. Pokud chcete nainstalovat tento modul, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte

Install-Module Microsoft.Graph.Authentication

Připojení do Microsoft Graphu a požádejte o požadované obory:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Po zobrazení výzvy se ověřte.

Vytvořte text JSON pro požadavek PATCH:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Spusťte operaci opravy:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Doporučení

Microsoft doporučuje povolit výchozí nastavení odolnosti. I když neexistují žádné přímé obavy ohledně zabezpečení, měli by zákazníci vyhodnotit, jestli chtějí službě ověřování služby Backup povolit vyhodnocení zásad podmíněného přístupu během výpadku pomocí dat shromážděných na začátku relace, a ne v reálném čase.

Je možné, že se od začátku relace změnila role uživatele nebo členství ve skupině. Při průběžném vyhodnocování přístupu (CAE) jsou přístupové tokeny platné po dobu 24 hodin, ale můžou podléhat událostem okamžitého odvolání. Služba ověřování zálohování se přihlásí k odběru stejné události odvolání caE. Pokud je token uživatele odvolán jako součást caE, uživatel se během výpadku nemůže přihlásit. Pokud jsou povolené výchozí hodnoty odolnosti, prodlouží se stávající relace, jejichž platnost vyprší během výpadku. Relace se rozšiřují i v případě, že byla zásada nakonfigurovaná pomocí ovládacího prvku relace k vynucení frekvence přihlášení. Například zásada s povolenými výchozími nastaveními odolnosti může vyžadovat, aby se uživatelé mohli každou hodinu znovu ověřit pro přístup k sharepointovým webům. Během výpadku by se relace uživatele prodloužila, i když id Microsoft Entra nemusí být k dispozici k opětovnému ověření uživatele.

Další kroky