Megosztás a következőn keresztül:

Az újrahitelesítési kérések optimalizálása és a munkamenet élettartamának megértése a Többtényezős Microsoft Entra-hitelesítéshez

  • Cikk

A Microsoft Entra ID több beállításból áll, amelyek meghatározzák, hogy a felhasználóknak milyen gyakran kell újrahitelesíteni őket. Ez az újrahitelesítés lehet egy olyan első tényező, mint a jelszó, a FIDO vagy a jelszó nélküli Microsoft Authenticator, vagy többtényezős hitelesítés végrehajtása. Ezeket az újrahitelesítési beállításokat igény szerint konfigurálhatja a saját környezetéhez és a kívánt felhasználói élményhez.

A Microsoft Entra ID alapértelmezett konfigurációja a felhasználói bejelentkezési gyakorisághoz 90 napos gördülő időszak. A felhasználók hitelesítő adatainak kérése gyakran ésszerű dolognak tűnik, de visszaüthet. Ha a felhasználók gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlanul is megadhatják őket egy rosszindulatú hitelesítőadat-kérésnek.

Riasztónak tűnhet, ha nem kéri a felhasználót, hogy jelentkezzen be; az informatikai szabályzatok bármilyen megsértése azonban visszavonja a munkamenetet. Ilyen lehet például a jelszómódosítás, a nem megfelelő eszköz vagy a fiók letiltási művelete. A Microsoft Graph PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket.

Ez a cikk az ajánlott konfigurációkat, valamint a különböző beállítások működését és egymással való interakciót ismerteti.

Annak érdekében, hogy a felhasználók a megfelelő gyakorisággal jelentkezzenek be, a biztonság és a könnyű használat megfelelő egyensúlyának biztosítása érdekében a következő konfigurációkat javasoljuk:

  • Ha P1 vagy P2 Microsoft Entra-azonosítóval rendelkezik:
    • Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
    • Ha újrahitelesítésre van szükség, használjon feltételes hozzáférési bejelentkezési gyakorisági szabályzatot.
    • A nem felügyelt eszközökről vagy mobileszköz-forgatókönyvekből bejelentkező felhasználók esetében előfordulhat, hogy az állandó böngésző-munkamenetek nem előnyösek, vagy feltételes hozzáféréssel engedélyezheti az állandó böngésző munkameneteket bejelentkezési gyakorisági szabályzatokkal. A bejelentkezési kockázat alapján korlátozza az időtartamot a megfelelő időpontra, ha egy kisebb kockázattal rendelkező felhasználó hosszabb munkamenet-időtartammal rendelkezik.
  • Ha Rendelkezik Microsoft 365-alkalmazáslicencekkel vagy az ingyenes Microsoft Entra szinttel:
    • Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
    • Hagyja engedélyezve a Be van jelentkezve beállítást, és útmutatást ad a felhasználóknak annak elfogadásához.
  • Mobileszközök esetén győződjön meg arról, hogy a felhasználók a Microsoft Authenticator alkalmazást használják. Ez az alkalmazás más Összevont Microsoft Entra-alkalmazások közvetítőjeként használható, és csökkenti az eszközön a hitelesítési kéréseket.

Kutatásunk azt mutatja, hogy ezek a beállítások a legtöbb bérlő számára megfelelőek. Ezeknek a beállításoknak bizonyos kombinációi, például az MFA megjegyzése és a Bejelentkezés megőrzése, a felhasználók túl gyakran kérhetik a hitelesítést. A rendszeres újrahitelesítési kérések rosszak a felhasználói hatékonyság szempontjából, és sebezhetőbbé tehetik őket a támadásokkal szemben.

A Microsoft Entra munkamenet élettartamának konfigurációs beállításai

A felhasználók hitelesítési kéréseinek gyakoriságának optimalizálásához konfigurálhatja a Microsoft Entra munkamenetek élettartamának beállításait. Ismerje meg a vállalat és a felhasználók igényeit, és konfiguráljon olyan beállításokat, amelyek a legjobb egyensúlyt biztosítják a környezet számára.

Munkamenet élettartamára vonatkozó szabályzatok kiértékelése

A munkamenetek élettartamának beállításai nélkül nincsenek állandó cookie-k a böngésző munkamenetében. Minden alkalommal, amikor egy felhasználó bezárja és megnyitja a böngészőt, újrahitelesítési kérést kap. Az Office-ügyfeleknél az alapértelmezett időszak egy 90 napos gördülő időszak. Ebben az alapértelmezett Office-konfigurációban, ha a felhasználó visszaállította a jelszavát, vagy több mint 90 nap inaktivitás történt, a felhasználónak újra meg kell adnia az összes szükséges tényezőt (első és második tényező).

A felhasználók több MFA-kérést is láthatnak egy olyan eszközön, amely nem rendelkezik identitással a Microsoft Entra-azonosítóban. Több kérés akkor jelenik meg, ha minden alkalmazás saját OAuth frissítési jogkivonattal rendelkezik, amelyet nem oszt meg más ügyfélalkalmazásokkal. Ebben a forgatókönyvben az MFA többször kéri, mivel minden alkalmazás OAuth frissítési jogkivonatot kér az MFA-val való ellenőrzéshez.

A Microsoft Entra ID-ban a munkamenetek élettartamára vonatkozó legkorlátozóbb szabályzat határozza meg, hogy a felhasználónak mikor kell újrahitelesítenie. Fontolja meg a következő forgatókönyvet:

  • Engedélyezi a Be van jelentkezve, amely egy állandó böngésző cookie-t használ, és
  • Az MFA megjegyzése 14 napig is engedélyezve van

Ebben a példaforgatókönyvben a felhasználónak 14 naponta kell újrahitelesítenie. Ez a viselkedés a legszigorúbb szabályzatot követi, annak ellenére, hogy a Be van jelentkezve önmagában nem követeli meg a felhasználótól az újbóli hitelesítést a böngészőben.

Felügyelt eszközök

A Microsoft Entra-azonosítóhoz a Microsoft Entra-csatlakozással vagy a Microsoft Entra hibrid csatlakozással csatlakoztatott eszközök elsődleges frissítési jogkivonatokat (PRT) kapnak az alkalmazások egyszeri bejelentkezésének (SSO) használatára. Ez a PRT lehetővé teszi, hogy a felhasználó egyszer jelentkezzen be az eszközön, és lehetővé teszi az informatikai személyzet számára, hogy meggyőződjön arról, hogy a biztonsági és megfelelőségi szabványok teljesülnek. Ha egy felhasználónak gyakrabban kell bejelentkeznie egy csatlakoztatott eszközön bizonyos alkalmazásokhoz vagy forgatókönyvekhez, ez a feltételes hozzáférés bejelentkezési gyakoriságával érhető el.

Bejelentkezési lehetőség megjelenítése

Amikor egy felhasználó az Igen lehetőséget választja a Bejelentkezéskor? kérdésre, a böngésző állandó cookie-t állít be. Ez az állandó cookie mind az első, mind a második tényezőt megjegyzi, és csak a böngészőben található hitelesítési kérelmekre vonatkozik.

Képernyőkép a bejelentkezést kérő példaüzenetről

Ha P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, javasoljuk, hogy használja a feltételes hozzáférési szabályzatot az állandó böngésző munkamenetéhez. Ez a szabályzat felülírja a Be van jelentkezve ? beállítást, és jobb felhasználói élményt nyújt. Ha nem rendelkezik Microsoft Entra-azonosítójú P1 vagy P2 licenccel, javasoljuk, hogy engedélyezze a bejelentkezést a felhasználók számára.

A felhasználók bejelentkezésének engedélyezésére szolgáló beállítás konfigurálásával kapcsolatos további információkért tekintse meg a "Bejelentkezve maradni? " kérdés kezelését ismertető témakört.

Többtényezős hitelesítés megjegyzése

Ezzel a beállítással 1–365 nap közötti értékeket konfigurálhat, és állandó cookie-t állíthat be a böngészőben, amikor a felhasználó a Bejelentkezéskor nem kéri újra az X nap beállítást.

Képernyőkép egy bejelentkezési kérelem jóváhagyására szolgáló példakérésről

Bár ez a beállítás csökkenti a webalkalmazások hitelesítéseinek számát, növeli a modern hitelesítési ügyfelek, például az Office-ügyfelek hitelesítéseinek számát. Ezek az ügyfelek általában csak 90 napos jelszó-visszaállítás vagy inaktivitás után kérik a kérést. Ha azonban ezt az értéket 90 napnál rövidebbre állítja, azzal lerövidíti az Office-ügyfelek alapértelmezett MFA-kéréseit, és növeli az újrahitelesítés gyakoriságát. Ha a be- vagy feltételes hozzáférési szabályzatokkal kombinálva használják, az növelheti a hitelesítési kérelmek számát.

Ha a Remember MFA-t használja, és P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, érdemes lehet ezeket a beállításokat a feltételes hozzáférés bejelentkezési gyakoriságára migrálni. Egyéb esetben érdemes lehet inkább a Bejelentkezve maradni? lehetőséget használni.

További információ: Többtényezős hitelesítés megjegyzése.

Hitelesítési munkamenet-kezelés feltételes hozzáféréssel

A bejelentkezési gyakoriság lehetővé teszi a rendszergazda számára, hogy olyan bejelentkezési gyakoriságot válasszon, amely az ügyfél és a böngésző első és második tényezőjére egyaránt érvényes. Ezeket a beállításokat és a felügyelt eszközök használatát javasoljuk olyan helyzetekben, amikor korlátoznia kell a hitelesítési munkamenetet, például kritikus fontosságú üzleti alkalmazások esetében.

Az állandó böngésző munkamenet lehetővé teszi, hogy a felhasználók bejelentkezve maradjanak a böngészőablak bezárása és újbóli megnyitása után. A Be van jelentkezve marad beállításhoz hasonlóan állandó cookie-t állít be a böngészőben. Mivel azonban a rendszergazda konfigurálta, nincs szükség arra, hogy a felhasználó válassza az Igen lehetőséget a Bejelentkezés megőrzése beállításban , hogy jobb felhasználói élményt biztosíthasson. Ha a Bejelentkezve marad? lehetőséget használja, javasoljuk, hogy inkább engedélyezze az Állandó böngésző munkamenet-szabályzatát .

További információkért. lásd: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.

Konfigurálható tokenélettartamok

Ez a beállítás lehetővé teszi a Microsoft Entra ID által kibocsátott token élettartamának konfigurálását. Ezt a házirendet a hitelesítési munkamenet-kezelés és a feltételes hozzáférés váltja fel. Ha ma konfigurálható jogkivonat-élettartamokat használ, javasoljuk, hogy indítsa el a feltételes hozzáférési szabályzatokra való migrálást.

A bérlő konfigurációjának áttekintése

Most, hogy megismerte a különböző beállítások működését és az ajánlott konfigurációt, ideje ellenőrizni a bérlőket. Első lépésként tekintse meg a bejelentkezési naplókat, amelyekből megtudhatja, hogy mely munkamenet-élettartam-szabályzatok lettek alkalmazva a bejelentkezés során.

Az egyes bejelentkezési naplók alatt lépjen a Hitelesítés részletei lapra, és ismerkedjen meg az alkalmazott munkamenet-élettartam-szabályzatokkal. További információt a bejelentkezési naplótevékenység részleteiről szóló cikkben talál.

Képernyőkép a hitelesítés részleteiről.

A Bejelentkezés megőrzése beállítás konfigurálásához vagy áttekintéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
  2. Keresse meg az Identity>Company Branding webhelyet, majd minden területi beállításnál válassza a Megjelenítés lehetőséget a bejelentkezéshez.
  3. Válassza az Igen, majd a Mentés lehetőséget.

A megbízható eszközök többtényezős hitelesítési beállításainak megjegyzéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
  2. Tallózással keresse meg a Többtényezős védelem>hitelesítését.
  3. A Konfigurálás csoportban válassza a További felhőalapú MFA-beállítások lehetőséget.
  4. A többtényezős hitelesítési szolgáltatás beállításainak lapján görgessen a többtényezős hitelesítési beállítások megjegyzéséhez. A jelölőnégyzet jelölésének megszüntetésével tiltsa le a beállítást.

Ha feltételes hozzáférési szabályzatokat szeretne konfigurálni a bejelentkezési gyakorisághoz és az állandó böngésző munkamenethez, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Konfiguráljon egy szabályzatot a cikkben ismertetett ajánlott munkamenet-kezelési beállítások használatával.

A jogkivonatok élettartamának áttekintéséhez használja az Azure AD PowerShellt a Microsoft Entra-szabályzatok lekérdezéséhez. Tiltsa le a érvényben lévő szabályzatokat.

Ha több beállítás is engedélyezve van a bérlőben, javasoljuk, hogy frissítse a beállításokat az Ön számára elérhető licencelés alapján. Ha például P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, csak a bejelentkezési gyakoriság és az állandó böngésző munkamenetének feltételes hozzáférési szabályzatát kell használnia. Ha Microsoft 365-alkalmazásokkal vagy Ingyenes Microsoft Entra-azonosítós licencekkel rendelkezik, a Be van jelentkezve ? konfigurációt kell használnia.

Ha engedélyezte a konfigurálható jogkivonatok élettartamát, ez a funkció hamarosan el lesz távolítva. Feltételes hozzáférési szabályzatba való migrálás tervezése.

Az alábbi táblázat a licencek alapján összegzi a javaslatokat:

Ingyenes Microsoft Entra-azonosító és Microsoft 365-alkalmazások Microsoft Entra ID P1 vagy P2
SSO Microsoft Entra join vagy Microsoft Entra hibrid illesztés vagy közvetlen egyszeri bejelentkezés nem felügyelt eszközökhöz. Microsoft Entra csatlakozás
Microsoft Entra hibrid csatlakozás
Újrahitelesítési beállítások Bejelentkezés megtartva Feltételes hozzáférési szabályzatok használata a bejelentkezési gyakorisághoz és az állandó böngésző munkamenetéhez

Következő lépések

Első lépésként végezze el a Felhasználói bejelentkezési események biztonságossá tételét a Microsoft Entra többtényezős hitelesítéssel vagy a felhasználói bejelentkezések kockázatészleléseinek használata a Microsoft Entra többtényezős hitelesítés aktiválásához.