Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zásady adaptivní životnosti relací podmíněného přístupu umožňují organizacím omezit relace ověřování ve složitých nasazeních. Mezi scénáře patří:
- Přístup k prostředkům z nesprávně spravovaného nebo sdíleného zařízení
- Přístup k citlivým informacím z externí sítě
- Uživatelé s velkým vlivem
- Důležité obchodní aplikace
Podmíněný přístup poskytuje adaptivní řízení zásad životnosti relace, takže můžete vytvořit zásady, které cílí na konkrétní případy použití ve vaší organizaci, aniž by to mělo vliv na všechny uživatele.
Než prozkoumáte, jak nakonfigurovat zásadu, zkontrolujte výchozí konfiguraci.
Frekvence přihlašování uživatelů
Frekvence přihlášení určuje, jak dlouho má uživatel přístup k prostředku, než se zobrazí výzva k opětovnému přihlášení.
Jako výchozí frekvence přihlašování uživatelů v Microsoft Entra ID je nakonfigurované 90denní posuvné okno. Může se zdát rozumné požádat uživatele o přihlašovací údaje často, ale tento přístup se může vymstít. Uživatelé, kteří obvykle zadávají přístupové údaje bez přemýšlení, mohou jim neúmyslně podlehnout škodlivým výzvám.
Nepožádání uživatele o opětovné přihlášení může působit znepokojivě, ale jakékoli porušení zásad IT zruší relaci. Mezi příklady patří změna hesla, zařízení nedodržující předpisy nebo zakázání účtu. Pomocí Microsoft Graph PowerShellu můžete také explicitně odvolat uživatelské relace. Výchozí konfigurace ID Microsoft Entra je: Nepožádejte uživatele, aby zadali svoje přihlašovací údaje, pokud se nezměnil stav zabezpečení relací.
Nastavení frekvence přihlašování funguje s aplikacemi, které implementují protokoly OAuth2 nebo OIDC podle standardů. Většina nativních aplikací Microsoftu, jako jsou aplikace pro Windows, Mac a Mobile, včetně následujících webových aplikací, splňují nastavení.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- portál Správa Microsoftu 365
- Výměna online
- SharePoint a OneDrive
- Webový klient Teams
- Dynamics CRM Online
- Azure Portal
Nastavení frekvence přihlašování (SIF) funguje s aplikacemi SAML od jiných výrobců, než je Microsoft, a s aplikacemi, které používají protokoly OAuth2 nebo OIDC, pokud nezahazují vlastní soubory cookie a pravidelně se přesměrovávají zpět na Microsoft Entra ID pro ověřování.
Frekvence přihlašování uživatelů a vícefaktorové ověřování
Dříve se frekvence přihlašování použila jen na ověřování pomocí prvního faktoru na zařízeních připojených k Microsoft Entra, hybridně připojených a registrovaných zařízeních. Na těchto zařízeních se nepodařilo snadno posílit vícefaktorové ověřování. Na základě zpětné vazby zákazníků se teď frekvence přihlašování vztahuje také na vícefaktorové ověřování (MFA).
Frekvence přihlašování uživatelů a identit zařízení
Na zařízeních připojených k Microsoft Entra a hybridních připojených zařízeních se odemknutím zařízení nebo interaktivním přihlášením aktualizuje primární obnovovací token (PRT) každých čtyři hodiny. Časové razítko poslední aktualizace zaznamenané pro PRT musí ve srovnání s aktuálním časovým razítkem spadat do časového intervalu stanoveného v zásadách SIF, aby PRT splnilo požadavky SIF a udělilo přístup k PRT, které již má stávající nárok na vícefaktorové ověřování (MFA). Na registrovaných zařízeních Microsoft Entra neodemčení nebo přihlášení nevyhovuje zásadám SIF, protože uživatel nemá přístup k registrovanému zařízení Microsoft Entra prostřednictvím účtu Microsoft Entra. Modul plug-in Microsoft Entra WAM však může aktualizovat PRT během ověřování nativní aplikace pomocí WAM.
Poznámka:
Časové razítko zachycené z přihlášení uživatele nemusí být nutně stejné jako poslední zaznamenané časové razítko aktualizace PRT z důvodu čtyřhodinového cyklu aktualizace. Případ, kdy je stejná, nastane, když vyprší platnost primárního obnovovacího tokenu (PRT) a přihlášení uživatele ho obnoví na čtyři hodiny. V následujících příkladech předpokládejme, že je zásada SIF nastavená na jednu hodinu a PRT se aktualizuje v 00:00.
Příklad 1: Pokud budete pokračovat v práci na stejném dokumentu v SPO po dobu jedné hodiny
- V 00:00 se uživatel přihlásí ke svému zařízení s Windows 11 připojeným k Microsoft Entra a začne pracovat na dokumentu uloženém na SharePointu Online.
- Uživatel pokračuje v práci na stejném dokumentu na svém zařízení hodinu.
- V 01:00 se uživateli zobrazí výzva k opětovnému přihlášení. Tato výzva vychází z požadavku na četnost přihlašování v zásadách podmíněného přístupu nakonfigurovaných správcem.
Příklad 2: Když pozastavíte práci s úlohami na pozadí spuštěnými v prohlížeči a poté znovu přejdete k interakci po uplynutí doby stanovené v zásadách SIF.
- V 00:00 se uživatel přihlásí ke svému zařízení s Windows 11 připojeným k Microsoft Entra a začne nahrávat dokument do SharePointu Online.
- V 00:10 uživatel uzamkne své zařízení. Nahrávání na pozadí pokračuje v SharePointu Online.
- V 02:45 uživatel odemkne zařízení. Nahrávání na pozadí signalizuje dokončení.
- V 02:45 se uživateli při opětovné interakci zobrazí výzva k přihlášení. Tato výzva je založená na požadavku na frekvenci přihlašování v zásadách podmíněného přístupu nakonfigurovaných správcem od posledního přihlášení v 00:00.
Pokud je klientská aplikace (v podrobnostech o aktivitě) prohlížeč, systém odloží vynucení frekvence přihlašování v případě událostí a zásad na službách na pozadí až do další interakce uživatele. U důvěrných klientů systém vynucuje frekvenci přihlašování u neinteraktivních přihlášení až do dalšího interaktivního přihlášení.
Příklad 3: Se čtyřhodinovým cyklem aktualizace primárního obnovovacího tokenu při odemčení
Scénář 1 – Vrácení uživatele v rámci cyklu
- V 00:00 se uživatel přihlásí ke svému zařízení s Windows 11 připojeným k Microsoft Entra a začne pracovat na dokumentu uloženém na SharePointu Online.
- V 00:30 uživatel uzamkne své zařízení.
- V 00:45 uživatel odemkne zařízení.
- V 01:00 se uživateli zobrazí výzva k opětovnému přihlášení. Tato výzva vychází z požadavku na frekvenci přihlašování v zásadách podmíněného přístupu nakonfigurovaných správcem po jedné hodině od počátečního přihlášení.
Scénář 2 – Uživatel se vrací mimo cyklus
- V 00:00 se uživatel přihlásí ke svému zařízení s Windows 11 připojeným k Microsoft Entra a začne pracovat na dokumentu uloženém na SharePointu Online.
- V 00:30 uživatel uzamkne své zařízení.
- V 04:45 uživatel zařízení odemkne.
- V 05:45 se uživateli zobrazí výzva k opětovnému přihlášení. Tato výzva vychází z požadavku na četnost přihlašování v zásadách podmíněného přístupu nakonfigurovaných správcem. Je nyní jedna hodina po obnovení PRT v 04:45 a více než čtyři hodiny od počátečního přihlášení v 00:00.
Vyžadovat opakované ověření pokaždé
V některých scénářích můžete chtít vyžadovat nové ověřování pokaždé, když uživatel provede určité akce, například:
- Přístup k citlivým aplikacím
- Zabezpečení prostředků pomocí VPN nebo Síť jako služba (NaaS).
- Zabezpečení navýšení oprávnění v PIM.
- Ochrana přihlašování uživatelů k počítačům Azure Virtual Desktop
- Ochrana rizikových uživatelů a rizikových přihlášení identifikovaných službou Microsoft Entra ID Protection
- Zabezpečení citlivých akcí uživatelů, jako je registrace Microsoft Intune
Když vyberete pokaždé, zásada při vyhodnocování relace vyžaduje úplné opětovné ověření. Tento požadavek znamená, že pokud uživatel zavře a otevře svůj prohlížeč během životnosti relace, nemusí se zobrazit výzva k opětovnému ověření. Nastavení četnosti přihlašování pro každý čas funguje nejlépe, když má prostředek logiku k identifikaci, kdy má klient získat nový token. Tyto prostředky přesměrují uživatele zpět na Microsoft Entra pouze po vypršení platnosti relace.
Omezte počet aplikací, které vynucují zásady, které vyžadují, aby se uživatelé pokaždé znovu ověřily. Aktivace opětovného ověření příliš často může zvýšit bezpečnostní tření do míry, kdy vede k únavě z vícefaktorového ověřování a umožní útokům phishingu. Webové aplikace obvykle poskytují méně rušivé prostředí než jejich desktopové protějšky, pokud vyžadují opětovné ověření při každém povolení. Faktory zásad v pěti minutách nerovnoměrné distribuce hodin při každém výběru, aby se uživatelům nezobídněly častěji než jednou za pět minut.
Upozornění
Použití frekvence přihlašování k vyžadování opakovaného ověření při každém přihlášení, bez vícefaktorového ověřování, může u vašich uživatelů způsobit smyčku přihlašování.
- Pro aplikace v sadě Microsoft 365 používejte časově založenou frekvenci přihlašování uživatelů pro vylepšení uživatelské zkušenosti.
- Pro Azure Portal a Centrum pro správu Microsoft Entra použijte frekvenci přihlašování uživatelů na základě času nebo vyžadovat opětovné ověření při aktivaci PIM pomocí kontextu ověřování pro lepší uživatelské prostředí.
Trvání relací při procházení
Perzistentní relace prohlížeče umožňuje uživatelům zůstat přihlášeni i po zavření a opětovném otevření okna prohlížeče.
Výchozí nastavení pro trvalost relace prohlížeče v Microsoft Entra ID umožňuje uživatelům na osobních zařízeních rozhodnout, zda má být relace zachována tím, že se po úspěšném ověření zobrazí výzva Zůstat přihlášeni?. Pokud jste ve službě AD FS nastavili trvalost prohlížeče podle pokynů v nastavení jednotného přihlašování služby AD FS, zásady se dodržují a relace Microsoft Entra je rovněž zachována. Nakonfigurujete, jestli se uživatelům ve vašem tenantovi zobrazuje výzva Zůstat přihlášeni? Změnou příslušného nastavení v podokně brandingu společnosti.
V trvalých prohlížečích zůstávají soubory cookie uložené v zařízení uživatele i po zavření prohlížeče. Tyto soubory cookie můžou přistupovat k artefaktům Microsoft Entra, které zůstávají použitelné až do vypršení platnosti tokenu bez ohledu na zásady podmíněného přístupu použité pro prostředí prostředků. Ukládání tokenů do mezipaměti tedy může být v přímém porušení požadovaných zásad zabezpečení pro ověřování. Ukládání tokenů nad rámec aktuální relace může vypadat pohodlně, ale může vytvořit ohrožení zabezpečení tím, že povolí neoprávněný přístup k artefaktům Microsoft Entra.
Konfigurace nastavení relace autentizace
Podmíněný přístup je funkce Microsoft Entra ID P1 nebo P2, která vyžaduje licenci Premium. Další informace o podmíněném přístupu naleznete v tématu Co je podmíněný přístup v Microsoft Entra ID?.
Upozornění
Pokud v současné době používáte funkci životnosti konfigurovatelného tokenu ve verzi Public Preview, nevytvávejte dvě různé zásady pro stejnou kombinaci uživatelů nebo aplikací: jednu s touto funkcí a druhou s konfigurovatelnou funkcí životnosti tokenu. Společnost Microsoft 30. ledna 2021 vyřadila konfigurovatelnou funkci životnosti obnovovacích tokenů a životnost relace tokenů a nahradila ji funkcí správy relací ověřování podmíněného přístupu.
Před povolením frekvence přihlašování se ujistěte, že jsou v rámci vašeho tenanta zakázaná další nastavení opětovného ověření. Pokud je zapnutá možnost Pamatovat si vícefaktorové ověřování na důvěryhodných zařízeních, zakažte ho před použitím frekvence přihlašování, protože použití těchto dvou nastavení může uživatele neočekávaně vyzvat. Další informace o výzvách k opětovnému ověření a životnosti relace najdete v Optimalizace výzev k opětovnému ověření a pochopení doby života relace pro vícefaktorovou autentizaci Microsoft Entra.