Konfigurace zásad adaptivní doby trvání relace

Přehled

Upozornění

Pokud používáte konfigurovatelnou funkci životnosti tokenů , nepodporujeme vytvoření dvou různých zásad pro stejnou kombinaci uživatele nebo aplikace: jednu s touto funkcí a druhou s konfigurovatelnou funkcí životnosti tokenu. Společnost Microsoft 30. ledna 2021 vyřadila konfigurovatelnou funkci životnosti tokenů pro aktualizace a tokeny relace a nahradila ji funkcí správy relací ověřování podmíněného přístupu.

Před povolením frekvence přihlašovacích údajů se ujistěte, že jsou ve vašem tenantu zakázaná další nastavení opětovného ověření. Pokud je zapnutá možnost Pamatovat si vícefaktorové ověřování na důvěryhodných zařízeních, zakažte ji před použitím frekvence přihlašování, protože použití těchto dvou nastavení může uživatele neočekávaně vyzvat. Další informace o výzvách k opětovnému ověření a životnosti relace vizte článek Optimize reauthentication prompts and understand session lifetime for Microsoft Entra multifactor authentication.

Implementace politiky

Pokud chcete zajistit, aby zásady fungovaly podle očekávání, otestujte je před uvedením do produkčního prostředí. Pomocí testovacího nájemce ověřte, že vaše nové zásady fungují podle očekávání. Další informace najdete v článku Plánování nasazení podmíněného přístupu.

Zásada 1: Řízení frekvence přihlašování

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce podmíněného přístupu.

2. Přejděte do Entra ID>podmíněného přístupu>zásad.

3. Vyberte Nová zásada.

4. Pojmenujte zásadu. Vytvořte smysluplný standard pro zásady pojmenování.

5. Zvolte všechny požadované podmínky pro prostředí zákazníka, včetně cílových cloudových aplikací.

   Poznámka:

   Doporučuje se nastavit stejnou frekvenci výzvy k ověřování pro klíčové Microsoft 365 aplikace, jako jsou Exchange Online a SharePoint Online, aby bylo co nejlepší uživatelské prostředí.

6. V části Kontroly přístupu>Relace.

   1. Vyberte frekvenci přihlášení.
      1. Zvolte Pravidelné opakované ověření a zadejte hodnotu hodin nebo dnů nebo vyberte Pokaždé.

   

7. Uložte svou pojistnou smlouvu.

Zásada 2: Trvalá relace prohlížeče

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce podmíněného přístupu.

2. Přejděte do Entra ID>podmíněného přístupu>zásad.

3. Vyberte Nová zásada.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. Zvolte všechny požadované podmínky.

   Poznámka:

   Tento ovládací prvek vyžaduje, abyste jako podmínku vybrali Možnost Všechny cloudové aplikace. Trvalost relace prohlížeče je řízena ověřovacím tokenem relace. Všechny panely v relaci prohlížeče sdílejí jeden token relace, a proto všechny musí sdílet stav úložiště.

6. V části Kontroly přístupu>Relace.

   1. Vyberte Trvalá relace prohlížeče.

      Poznámka:

      Konfigurace trvalé relace prohlížeče v Microsoft Entra Conditional Access přepíše nastavení "Zůstat přihlášený?" v podokně firemního brandingu pro stejného uživatele, pokud jsou obě zásady nakonfigurovány.

   2. V rozevíracím seznamu vyberte hodnotu.

7. Uložte svou pojistnou smlouvu.

Poznámka:

Nastavení doby života relace, včetně frekvence přihlašování a trvalých relací prohlížeče, určují, jak často se uživatelé musí znovu ověřit a jestli relace potrvají v restartování prohlížeče. Kratší životnosti zlepšují zabezpečení vysoce rizikových aplikací, zatímco delší dobu zlepšují pohodlí pro důvěryhodná nebo spravovaná zařízení.

Zásada 3: Řízení frekvence přihlašování pokaždé, když se jedná o rizikového uživatele

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce podmíněného přístupu.
2. Přejděte do Entra ID>Podmíněného přístupu.
3. Vyberte Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte nouzové přístupové nebo nouzové účty vaší organizace.
   3. Vyberte Hotovo.
6. V části Cílové prostředky>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
7. Pod podmínkami>rizika uživatele nastavte Konfigurovat na Ano.
   1. V části Konfigurovat úrovně rizik uživatelů potřebné k vynucení zásad vyberte Vysoká. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
   2. Vyberte Hotovo.
8. V části Řízení přístupu>Udělit, vyberte možnost Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování .
   2. Vyberte Vyžadovat změnu hesla.
   3. Vyberte Vybrat.
9. V části Sezení.
   1. Vyberte frekvenci přihlášení.
   2. Ujistěte se, že je vybráno Pokaždé.
   3. Vyberte Vybrat.
10. Potvrďte nastavení a nastavte Zásadu na režim Pouze pro sestavy.
11. Vyberte Vytvořit, tím aktivujete svou zásadu.

Po potvrzení nastavení pomocí režimu pouze pro sestavy přepněte přepínač Povolit zásadu z Pouze sestavy na Zapnuto.

Ověřování

Pomocí nástroje What If můžete simulovat přihlášení k cílové aplikaci a další podmínky na základě konfigurace zásad. Ovládací prvky správy relací ověřování se zobrazí ve výsledku nástroje.

Tolerance podnětu

Systém zohledňuje časový rozdíl pět minut, když je v zásadách zvoleno "pokaždé", aby uživatelé nebyli vyzýváni častěji než jednou za pět minut. Pokud uživatel dokončí vícefaktorové ověřování za posledních 5 minut a narazí na další zásady podmíněného přístupu, které vyžadují opětovné ověření, nezobrazíme uživateli výzvu. Výzvy uživatelů příliš často k opětovnému ověření můžou ovlivnit jejich produktivitu a zvýšit riziko, že uživatelé schvalují žádosti MFA, které neschválili. Četnost přihlašování používejte vždy jenom v případech, kdy existují konkrétní obchodní potřeby.

Známé problémy

• Pokud nakonfigurujete frekvenci přihlašování pro mobilní zařízení: Ověřování po každém intervalu frekvence přihlašování může být pomalé a může trvat 30 sekund v průměru. K tomuto problému může také dojít v různých aplikacích současně.
• Na zařízeních s iOSem: Pokud aplikace nakonfiguruje certifikáty jako první ověřovací faktor a používá se jak frekvence přihlašování, tak zásady správy mobilních aplikací Intune, jsou uživatelé zablokováni z přihlášení k aplikaci při aktivaci zásad.
• Microsoft Entra Private Access nepodporuje nastavení četnosti přihlašování pokaždé.

Další kroky

• Jste připravení nakonfigurovat zásady podmíněného přístupu pro vaše prostředí? Viz Plánování nasazení podmíněného přístupu.