Konfigurace zásad adaptivní doby trvání relace

Upozornění

Pokud v současné době používáte funkci životnosti konfigurovatelného tokenu ve verzi Public Preview, upozorňujeme, že nepodporujeme vytváření dvou různých zásad pro stejnou kombinaci uživatele nebo aplikace: jednu s touto funkcí a druhou s konfigurovatelnou funkcí životnosti tokenu. Microsoft 30. ledna 2021 přestal podporovat funkci konfigurovatelné doby života tokenů pro obnovovací tokeny a tokeny relací a nahradil ji funkcí pro správu relací ověřování podmíněného přístupu.

Před povolením frekvence přihlašovacích údajů se ujistěte, že jsou ve vašem tenantu zakázaná další nastavení opětovného ověření. Pokud je povolena funkce "Zapamatovat si MFA na důvěryhodných zařízeních", nezapomeňte ji před použitím frekvence přihlašování zakázat, protože použití těchto dvou nastavení společně může vést k neočekávaným výzvám pro uživatele. Další informace o výzvách k opětovnému ověření a o životnosti relace najdete v článku Optimalizace výzev k opětovnému ověření a pochopení životnosti relace pro vícefaktorové ověřování Microsoft Entra.

Implementace politiky

Abyste měli jistotu, že vaše zásady fungují podle očekávání, doporučuje se před uvedením do produkčního prostředí otestovat doporučený postup. V ideálním případě pomocí testovacího tenanta ověřte, jestli vaše nové zásady fungují podle očekávání. Další informace najdete v článku Plánování nasazení podmíněného přístupu.

Zásada 1: Řízení frekvence přihlašování

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.

2. Přejděte do Entra ID>podmíněného přístupu>zásad.

3. Vyberte Nová zásada.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. Zvolte všechny požadované podmínky pro prostředí zákazníka, včetně cílových cloudových aplikací.

   Poznámka:

   Doporučuje se nastavit stejnou frekvenci výzvy k ověřování pro klíčové aplikace Microsoft Office, jako jsou Exchange Online a SharePoint Online, pro nejlepší uživatelský zážitek.

6. V části Kontroly přístupu>Relace.

   1. Vyberte frekvenci přihlášení.
      1. Zvolte Pravidelné opakované ověření a zadejte hodnotu hodin nebo dnů nebo vyberte Pokaždé.

   

7. Uložte svou pojistnou smlouvu.

Zásada 2: Trvalá relace prohlížeče

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.

2. Přejděte do Entra ID>podmíněného přístupu>zásad.

3. Vyberte Nová zásada.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. Zvolte všechny požadované podmínky.

   Poznámka:

   Tento ovládací prvek vyžaduje, aby jako podmínku zvolil možnost Všechny cloudové aplikace. Trvalost relace prohlížeče je řízena ověřovacím tokenem relace. Všechny panely v relaci prohlížeče sdílejí jeden token relace, a proto všechny musí sdílet stav úložiště.

6. V části Kontroly přístupu>Relace.

   1. Vyberte Trvalá relace prohlížeče.

      Poznámka:

      Konfigurace trvalé relace prohlížeče v podmíněného přístupu Microsoft Entra přepíše nastavení "Zůstat přihlášen?" v panelu firemního brandingu pro stejného uživatele, pokud jste nakonfigurovali obě zásady.

   2. V rozevíracím seznamu vyberte hodnotu.

7. Uložte svou pojistnou smlouvu.

Zásada 3: Řízení frekvence přihlašování pokaždé, když se jedná o rizikového uživatele

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
2. Přejděte do Entra ID>Podmíněného přístupu.
3. Vyberte Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte nouzové přístupové nebo nouzové účty vaší organizace.
   3. Vyberte Hotovo.
6. V části Cílové prostředky>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
7. Pod podmínkami>rizika uživatele nastavte Konfigurovat na Ano.
   1. V části Konfigurovat úrovně rizik uživatelů potřebné k vynucení zásad vyberte Vysoká. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
   2. Vyberte Hotovo.
8. V části Řízení přístupu>Udělit, vyberte možnost Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování .
   2. Vyberte Vyžadovat změnu hesla.
   3. Vyberte Vybrat.
9. V části Sezení.
   1. Vyberte frekvenci přihlášení.
   2. Ujistěte se, že je vybráno Pokaždé.
   3. Vyberte Vybrat.
10. Potvrďte nastavení a nastavte Zásadu na režim Pouze pro sestavy.
11. Vyberte Vytvořit, aby byla vaše zásada povolena.

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, mohou přepnout přepínač Povolit zásadu z režimu jen pro sestavy do polohy Zapnuto.

Ověřování

Pomocí nástroje What If můžete simulovat přihlášení od uživatele k cílové aplikaci a další podmínky na základě toho, jak jste nakonfigurovali zásady. Ovládací prvky správy relací ověřování se zobrazí ve výsledku nástroje.

Tolerance podnětu

Při každém výběru v zásadách počítáme s pěti minutovým posunem hodin, abychom uživatele nevyzývali častěji než jednou za pět minut. Pokud uživatel dokončil vícefaktorové ověřování za posledních 5 minut a dosáhl dalších zásad podmíněného přístupu, které vyžadují opětovné ověření, nezobrazíme uživateli výzvu. Nadměrné výzvy uživatelů k opětovnému ověření můžou ovlivnit jejich produktivitu a zvýšit riziko, že uživatelé schvalují žádosti MFA, které neschválili. Používejte možnost "Frekvence přihlášení – pokaždé" pouze pro konkrétní obchodní potřeby.

Známé problémy

• Pokud nakonfigurujete frekvenci přihlašování pro mobilní zařízení: Ověřování po každém intervalu frekvence přihlašování může být pomalé, může to trvat 30 sekund v průměru. Může k tomu také dojít ve stejnou dobu v různých aplikacích.
• Na zařízeních s iOS: Pokud aplikace nakonfiguruje certifikáty jako první ověřovací faktor a aplikace má použitou frekvenci přihlášení i zásady správy mobilních aplikací Intune, budou koncoví uživatelé zablokováni z přihlášení do aplikace, když se aktivují zásady.
• Microsoft Entra Private Access zatím nepodporuje nastavení frekvence přihlašování na pokaždé.

Další kroky

• Pokud jste připraveni nakonfigurovat zásady podmíněného přístupu pro vaše prostředí, přečtěte si článek Plánování nasazení podmíněného přístupu.