Az újrahitelesítési kérések optimalizálása és a munkamenet élettartamának megértése a Többtényezős Microsoft Entra-hitelesítéshez
A Microsoft Entra ID több beállításból áll, amelyek meghatározzák, hogy a felhasználóknak milyen gyakran kell újrahitelesíteni őket. Ez az újrahitelesítés lehet egy olyan első tényező, mint a jelszó, a FIDO vagy a jelszó nélküli Microsoft Authenticator, vagy többtényezős hitelesítés végrehajtása. Ezeket az újrahitelesítési beállításokat igény szerint konfigurálhatja a saját környezetéhez és a kívánt felhasználói élményhez.
A Microsoft Entra ID alapértelmezett konfigurációja a felhasználói bejelentkezési gyakorisághoz 90 napos gördülő időszak. A felhasználók hitelesítő adatainak kérése gyakran ésszerű dolognak tűnik, de visszaüthet. Ha a felhasználók gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlanul is megadhatják őket egy rosszindulatú hitelesítőadat-kérésnek.
Riasztónak tűnhet, ha nem kéri a felhasználót, hogy jelentkezzen be; az informatikai szabályzatok bármilyen megsértése azonban visszavonja a munkamenetet. Ilyen lehet például a jelszómódosítás, a nem megfelelő eszköz vagy a fiók letiltási művelete. A Microsoft Graph PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket.
Ez a cikk az ajánlott konfigurációkat, valamint a különböző beállítások működését és egymással való interakciót ismerteti.
Ajánlott beállítások
Annak érdekében, hogy a felhasználók a megfelelő gyakorisággal jelentkezzenek be, a biztonság és a könnyű használat megfelelő egyensúlyának biztosítása érdekében a következő konfigurációkat javasoljuk:
- Ha P1 vagy P2 Microsoft Entra-azonosítóval rendelkezik:
- Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
- Ha újrahitelesítésre van szükség, használjon feltételes hozzáférési bejelentkezési gyakorisági szabályzatot.
- A nem felügyelt eszközökről vagy mobileszköz-forgatókönyvekből bejelentkező felhasználók esetében előfordulhat, hogy az állandó böngésző-munkamenetek nem előnyösek, vagy feltételes hozzáféréssel engedélyezheti az állandó böngésző munkameneteket bejelentkezési gyakorisági szabályzatokkal. A bejelentkezési kockázat alapján korlátozza az időtartamot a megfelelő időpontra, ha egy kisebb kockázattal rendelkező felhasználó hosszabb munkamenet-időtartammal rendelkezik.
- Ha Rendelkezik Microsoft 365-alkalmazáslicencekkel vagy az ingyenes Microsoft Entra szinttel:
- Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
- Hagyja engedélyezve a Be van jelentkezve beállítást, és útmutatást ad a felhasználóknak annak elfogadásához.
- Mobileszközök esetén győződjön meg arról, hogy a felhasználók a Microsoft Authenticator alkalmazást használják. Ez az alkalmazás más Összevont Microsoft Entra-alkalmazások közvetítőjeként használható, és csökkenti az eszközön a hitelesítési kéréseket.
Kutatásunk azt mutatja, hogy ezek a beállítások a legtöbb bérlő számára megfelelőek. Ezeknek a beállításoknak bizonyos kombinációi, például az MFA megjegyzése és a Bejelentkezés megőrzése, a felhasználók túl gyakran kérhetik a hitelesítést. A rendszeres újrahitelesítési kérések rosszak a felhasználói hatékonyság szempontjából, és sebezhetőbbé tehetik őket a támadásokkal szemben.
A Microsoft Entra munkamenet élettartamának konfigurációs beállításai
A felhasználók hitelesítési kéréseinek gyakoriságának optimalizálásához konfigurálhatja a Microsoft Entra munkamenetek élettartamának beállításait. Ismerje meg a vállalat és a felhasználók igényeit, és konfiguráljon olyan beállításokat, amelyek a legjobb egyensúlyt biztosítják a környezet számára.
Munkamenet élettartamára vonatkozó szabályzatok kiértékelése
A munkamenetek élettartamának beállításai nélkül nincsenek állandó cookie-k a böngésző munkamenetében. Minden alkalommal, amikor egy felhasználó bezárja és megnyitja a böngészőt, újrahitelesítési kérést kap. Az Office-ügyfeleknél az alapértelmezett időszak egy 90 napos gördülő időszak. Ebben az alapértelmezett Office-konfigurációban, ha a felhasználó visszaállította a jelszavát, vagy több mint 90 nap inaktivitás történt, a felhasználónak újra meg kell adnia az összes szükséges tényezőt (első és második tényező).
A felhasználók több MFA-kérést is láthatnak egy olyan eszközön, amely nem rendelkezik identitással a Microsoft Entra-azonosítóban. Több kérés akkor jelenik meg, ha minden alkalmazás saját OAuth frissítési jogkivonattal rendelkezik, amelyet nem oszt meg más ügyfélalkalmazásokkal. Ebben a forgatókönyvben az MFA többször kéri, mivel minden alkalmazás OAuth frissítési jogkivonatot kér az MFA-val való ellenőrzéshez.
A Microsoft Entra ID-ban a munkamenetek élettartamára vonatkozó legkorlátozóbb szabályzat határozza meg, hogy a felhasználónak mikor kell újrahitelesítenie. Fontolja meg a következő forgatókönyvet:
- Engedélyezi a Be van jelentkezve, amely egy állandó böngésző cookie-t használ, és
- Az MFA megjegyzése 14 napig is engedélyezve van
Ebben a példaforgatókönyvben a felhasználónak 14 naponta kell újrahitelesítenie. Ez a viselkedés a legszigorúbb szabályzatot követi, annak ellenére, hogy a Be van jelentkezve önmagában nem követeli meg a felhasználótól az újbóli hitelesítést a böngészőben.
Felügyelt eszközök
A Microsoft Entra-azonosítóhoz a Microsoft Entra-csatlakozással vagy a Microsoft Entra hibrid csatlakozással csatlakoztatott eszközök elsődleges frissítési jogkivonatokat (PRT) kapnak az alkalmazások egyszeri bejelentkezésének (SSO) használatára. Ez a PRT lehetővé teszi, hogy a felhasználó egyszer jelentkezzen be az eszközön, és lehetővé teszi az informatikai személyzet számára, hogy meggyőződjön arról, hogy a biztonsági és megfelelőségi szabványok teljesülnek. Ha egy felhasználónak gyakrabban kell bejelentkeznie egy csatlakoztatott eszközön bizonyos alkalmazásokhoz vagy forgatókönyvekhez, ez a feltételes hozzáférés bejelentkezési gyakoriságával érhető el.
Bejelentkezési lehetőség megjelenítése
Amikor egy felhasználó az Igen lehetőséget választja a Bejelentkezéskor? kérdésre, a böngésző állandó cookie-t állít be. Ez az állandó cookie mind az első, mind a második tényezőt megjegyzi, és csak a böngészőben található hitelesítési kérelmekre vonatkozik.
Ha P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, javasoljuk, hogy használja a feltételes hozzáférési szabályzatot az állandó böngésző munkamenetéhez. Ez a szabályzat felülírja a Be van jelentkezve ? beállítást, és jobb felhasználói élményt nyújt. Ha nem rendelkezik Microsoft Entra-azonosítójú P1 vagy P2 licenccel, javasoljuk, hogy engedélyezze a bejelentkezést a felhasználók számára.
A felhasználók bejelentkezésének engedélyezésére szolgáló beállítás konfigurálásával kapcsolatos további információkért tekintse meg a "Bejelentkezve maradni? " kérdés kezelését ismertető témakört.
Többtényezős hitelesítés megjegyzése
Ezzel a beállítással 1–365 nap közötti értékeket konfigurálhat, és állandó cookie-t állíthat be a böngészőben, amikor a felhasználó a Bejelentkezéskor nem kéri újra az X nap beállítást.
Bár ez a beállítás csökkenti a webalkalmazások hitelesítéseinek számát, növeli a modern hitelesítési ügyfelek, például az Office-ügyfelek hitelesítéseinek számát. Ezek az ügyfelek általában csak 90 napos jelszó-visszaállítás vagy inaktivitás után kérik a kérést. Ha azonban ezt az értéket 90 napnál rövidebbre állítja, azzal lerövidíti az Office-ügyfelek alapértelmezett MFA-kéréseit, és növeli az újrahitelesítés gyakoriságát. Ha a be- vagy feltételes hozzáférési szabályzatokkal kombinálva használják, az növelheti a hitelesítési kérelmek számát.
Ha a Remember MFA-t használja, és P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, érdemes lehet ezeket a beállításokat a feltételes hozzáférés bejelentkezési gyakoriságára migrálni. Egyéb esetben érdemes lehet inkább a Bejelentkezve maradni? lehetőséget használni.
További információ: Többtényezős hitelesítés megjegyzése.
Hitelesítési munkamenet-kezelés feltételes hozzáféréssel
A bejelentkezési gyakoriság lehetővé teszi a rendszergazda számára, hogy olyan bejelentkezési gyakoriságot válasszon, amely az ügyfél és a böngésző első és második tényezőjére egyaránt érvényes. Ezeket a beállításokat és a felügyelt eszközök használatát javasoljuk olyan helyzetekben, amikor korlátoznia kell a hitelesítési munkamenetet, például kritikus fontosságú üzleti alkalmazások esetében.
Az állandó böngésző munkamenet lehetővé teszi, hogy a felhasználók bejelentkezve maradjanak a böngészőablak bezárása és újbóli megnyitása után. A Be van jelentkezve marad beállításhoz hasonlóan állandó cookie-t állít be a böngészőben. Mivel azonban a rendszergazda konfigurálta, nincs szükség arra, hogy a felhasználó válassza az Igen lehetőséget a Bejelentkezés megőrzése beállításban , hogy jobb felhasználói élményt biztosíthasson. Ha a Bejelentkezve marad? lehetőséget használja, javasoljuk, hogy inkább engedélyezze az Állandó böngésző munkamenet-szabályzatát .
További információkért. lásd: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.
Konfigurálható tokenélettartamok
Ez a beállítás lehetővé teszi a Microsoft Entra ID által kibocsátott token élettartamának konfigurálását. Ezt a házirendet a hitelesítési munkamenet-kezelés és a feltételes hozzáférés váltja fel. Ha ma konfigurálható jogkivonat-élettartamokat használ, javasoljuk, hogy indítsa el a feltételes hozzáférési szabályzatokra való migrálást.
A bérlő konfigurációjának áttekintése
Most, hogy megismerte a különböző beállítások működését és az ajánlott konfigurációt, ideje ellenőrizni a bérlőket. Első lépésként tekintse meg a bejelentkezési naplókat, amelyekből megtudhatja, hogy mely munkamenet-élettartam-szabályzatok lettek alkalmazva a bejelentkezés során.
Az egyes bejelentkezési naplók alatt lépjen a Hitelesítés részletei lapra, és ismerkedjen meg az alkalmazott munkamenet-élettartam-szabályzatokkal. További információt a bejelentkezési naplótevékenység részleteiről szóló cikkben talál.
A Bejelentkezés megőrzése beállítás konfigurálásához vagy áttekintéséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
- Keresse meg az Identity>Company Branding webhelyet, majd minden területi beállításnál válassza a Megjelenítés lehetőséget a bejelentkezéshez.
- Válassza az Igen, majd a Mentés lehetőséget.
A megbízható eszközök többtényezős hitelesítési beállításainak megjegyzéséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
- Tallózással keresse meg a Többtényezős védelem>hitelesítését.
- A Konfigurálás csoportban válassza a További felhőalapú MFA-beállítások lehetőséget.
- A többtényezős hitelesítési szolgáltatás beállításainak lapján görgessen a többtényezős hitelesítési beállítások megjegyzéséhez. A jelölőnégyzet jelölésének megszüntetésével tiltsa le a beállítást.
Ha feltételes hozzáférési szabályzatokat szeretne konfigurálni a bejelentkezési gyakorisághoz és az állandó böngésző munkamenethez, hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Konfiguráljon egy szabályzatot a cikkben ismertetett ajánlott munkamenet-kezelési beállítások használatával.
A jogkivonatok élettartamának áttekintéséhez használja az Azure AD PowerShellt a Microsoft Entra-szabályzatok lekérdezéséhez. Tiltsa le a érvényben lévő szabályzatokat.
Ha több beállítás is engedélyezve van a bérlőben, javasoljuk, hogy frissítse a beállításokat az Ön számára elérhető licencelés alapján. Ha például P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, csak a bejelentkezési gyakoriság és az állandó böngésző munkamenetének feltételes hozzáférési szabályzatát kell használnia. Ha Microsoft 365-alkalmazásokkal vagy Ingyenes Microsoft Entra-azonosítós licencekkel rendelkezik, a Be van jelentkezve ? konfigurációt kell használnia.
Ha engedélyezte a konfigurálható jogkivonatok élettartamát, ez a funkció hamarosan el lesz távolítva. Feltételes hozzáférési szabályzatba való migrálás tervezése.
Az alábbi táblázat a licencek alapján összegzi a javaslatokat:
Ingyenes Microsoft Entra-azonosító és Microsoft 365-alkalmazások | Microsoft Entra ID P1 vagy P2 | |
---|---|---|
SSO | Microsoft Entra join vagy Microsoft Entra hibrid illesztés vagy közvetlen egyszeri bejelentkezés nem felügyelt eszközökhöz. | Microsoft Entra csatlakozás Microsoft Entra hibrid csatlakozás |
Újrahitelesítési beállítások | Bejelentkezés megtartva | Feltételes hozzáférési szabályzatok használata a bejelentkezési gyakorisághoz és az állandó böngésző munkamenetéhez |
Következő lépések
Első lépésként végezze el a Felhasználói bejelentkezési események biztonságossá tételét a Microsoft Entra többtényezős hitelesítéssel vagy a felhasználói bejelentkezések kockázatészleléseinek használata a Microsoft Entra többtényezős hitelesítés aktiválásához.