Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra ID több beállításból áll, amelyek meghatározzák, hogy a felhasználóknak milyen gyakran kell újrahitelesíteni őket. Ez az újrahitelesítés csak egy első tényezőt foglal magában, például a jelszót, a Fast IDentity Online-t (FIDO) vagy a jelszó nélküli Microsoft Authenticatort. Vagy többtényezős hitelesítést (MFA) is igényelhet. Ezeket az újrahitelesítési beállításokat igény szerint konfigurálhatja a saját környezetéhez és a kívánt felhasználói élményhez.
A Microsoft Entra ID alapértelmezett beállítása a felhasználói bejelentkezés gyakoriságára vonatkozóan egy 90 napos gördülő ablak. A felhasználók hitelesítő adatainak kérése gyakran ésszerű dolognak tűnik, de visszaüthet. Ha a felhasználók gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlanul is megadhatják őket egy rosszindulatú hitelesítőadat-kérésnek.
Riasztónak tűnhet, ha nem kérjük meg a felhasználót, hogy jelentkezzen újra be. Az informatikai szabályzatok bármilyen megsértése azonban visszavonja a munkamenetet. Ilyen például a jelszó módosítása, a nem megfelelő eszköz vagy egy fiók letiltására szolgáló művelet. A Microsoft Graph PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket.
Ez a cikk az ajánlott konfigurációkat, valamint a különböző beállítások működését és egymással való interakciót ismerteti.
Ajánlott beállítások
Annak érdekében, hogy a felhasználók a megfelelő gyakorisággal jelentkezzenek be, a biztonság és a könnyű használat megfelelő egyensúlyának biztosítása érdekében a következő konfigurációkat javasoljuk:
- Ha Microsoft Entra ID P1 vagy P2-vel rendelkezik:
- Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
- Ha újrahitelesítésre van szükség, használjon egy Microsoft Entra feltételes hozzáférési bejelentkezési gyakorisági szabályzatot.
- Azok a felhasználók, akik nem felügyelt eszközökről vagy mobileszköz-forgatókönyvek esetén jelentkeznek be, előfordulhat, hogy az állandó böngésző munkamenetek nem előnyösek. Vagy feltételes hozzáféréssel engedélyezheti az állandó böngésző munkameneteket a bejelentkezési gyakorisági szabályzattal. A bejelentkezési kockázat alapján korlátozza az időtartamot a megfelelő időpontra, ha egy kisebb kockázattal rendelkező felhasználó hosszabb munkamenet-időtartammal rendelkezik.
- Ha Microsoft 365-alkalmazások licenccel vagy Ingyenes Microsoft Entra-azonosítós licenccel rendelkezik:
- Az egyszeri bejelentkezés engedélyezése az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
- Tartsa az A "Maradjon bejelentkezve" beállítást engedélyezve, és irányítsa a felhasználókat arra, hogy fogadják el a "Maradjon bejelentkezve?" lehetőséget a bejelentkezéskor.
- Mobileszköz-forgatókönyvek esetén győződjön meg arról, hogy a felhasználók a Microsoft Authenticator alkalmazást használják. Ez az alkalmazás más Összevont Microsoft Entra-alkalmazások közvetítője, és csökkenti az eszközön megjelenő hitelesítési kéréseket.
Kutatásunk azt mutatja, hogy ezek a beállítások a legtöbb bérlő számára megfelelőek. Ezeknek a beállításoknak bizonyos kombinációi, mint például a Többtényezős hitelesítés megjegyzése és a Maradjon bejelentkezve opció megjelenítése, azt eredményezhetik, hogy a felhasználóknak túl gyakran kell hitelesíteniük magukat. A rendszeres újrahitelesítési kérések rosszak a felhasználói hatékonyság szempontjából, és sebezhetőbbé tehetik a felhasználókat a támadásokkal szemben.
A Microsoft Entra-munkamenet élettartamának beállításainak konfigurálása
A felhasználók hitelesítési kéréseinek gyakoriságának optimalizálásához konfigurálhatja a Microsoft Entra-munkamenet élettartamának beállításait. Ismerje meg a vállalat és a felhasználók igényeit, és konfiguráljon olyan beállításokat, amelyek a legjobb egyensúlyt biztosítják a környezet számára.
Munkamenet élettartam-szabályzatai
A munkamenet élettartamának beállításai nélkül a böngésző munkamenete nem rendelkezik állandó cookie-kkal. Minden alkalommal, amikor a felhasználók bezárják és megnyitják a böngészőt, újrahitelesítési kérést kapnak. Az Office-ügyfeleknél az alapértelmezett időszak egy 90 napos gördülő időszak. Ebben az alapértelmezett Office-konfigurációban, ha a felhasználó visszaállítja a jelszót, vagy a munkamenet több mint 90 napig inaktív, a felhasználónak újra meg kell adnia a szükséges első és második tényezőt.
A felhasználók több MFA-kérést is láthatnak egy olyan eszközön, amely nem rendelkezik identitással a Microsoft Entra-azonosítóban. Több kérés akkor jelenik meg, ha minden alkalmazás saját OAuth frissítési jogkivonattal rendelkezik, amelyet nem oszt meg más ügyfélalkalmazásokkal. Ebben a forgatókönyvben az MFA többször kéri, mivel minden alkalmazás OAuth frissítési jogkivonatot kér az MFA-val való ellenőrzéshez.
A Microsoft Entra ID-ban a munkamenetek élettartamára vonatkozó legkorlátozóbb szabályzat határozza meg, hogy a felhasználónak mikor kell újrahitelesítenie. Fontolja meg azt a forgatókönyvet, amelyben mindkét beállítást engedélyezi:
- Az állandó böngésző cookie-t használó bejelentkezési lehetőség megjelenítése
- Többtényezős hitelesítés megjegyzése 14 napra
Ebben a példában a felhasználónak 14 naponta kell újrahitelesítenie. Ez a viselkedés a legszigorúbb szabályzatot követi, annak ellenére , hogy a megjelenítési lehetőség önmagában nem követeli meg a felhasználótól, hogy újrahitelesítse a böngészőben.
Felügyelt eszközök
A Microsoft Entra-azonosítóhoz csatlakozó eszközök, akár Microsoft Entra-csatlakozás, akár hibrid csatlakozás útján, egy Elsődleges Frissítési Jogkivonatot (PRT) kapnak, hogy az alkalmazások között egyszeri bejelentkezést használhassanak.
Ez a PRT lehetővé teszi, hogy a felhasználó egyszer jelentkezzen be az eszközön, és lehetővé teszi az informatikai személyzet számára, hogy meggyőződjön arról, hogy az eszköz megfelel a biztonsági és megfelelőségi szabványoknak. Ha meg kell kérnie egy felhasználót, hogy bizonyos alkalmazásokhoz vagy forgatókönyvekhez gyakrabban jelentkezzen be egy csatlakoztatott eszközön, használhatja a feltételes hozzáférés bejelentkezési gyakorisági szabályzatát.
Lehetőség a bejelentkezve maradásra
Amikor egy felhasználó az Igen lehetőséget választja a Bejelentkezéskor? kérdésre, a kijelölés állandó cookie-t állít be a böngészőben. Ez az állandó cookie mind az első, mind a második tényezőre emlékszik, és csak a böngészőben található hitelesítési kérelmekre vonatkozik.
Ha P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, javasoljuk, hogy használjon feltételes hozzáférési szabályzatot az állandó böngésző munkamenetéhez. Ez a szabályzat felülírja a maradjon bejelentkezve beállítás megjelenítésének lehetőségét, és javított felhasználói élményt biztosít. Ha nem rendelkezik Microsoft Entra ID P1 vagy P2 licenccel, javasoljuk, hogy a Továbbra is bejelentkezve maradni beállítást engedélyezze a felhasználók számára.
A felhasználók bejelentkezésének engedélyezésére szolgáló beállítás konfigurálásával kapcsolatos további információkért tekintse meg a "Bejelentkezve maradás?" című témakört.
Többtényezős hitelesítés megjegyzésének lehetősége
A Többtényezős hitelesítés megjegyzése beállítással 1–365 napos értéket konfigurálhat. Állandó cookie-t állít be a böngészőben, amikor egy felhasználó a bejelentkezéskor a Ne kérdezze újra X napig lehetőséget választja.
Bár ez a beállítás csökkenti a webalkalmazások hitelesítéseinek számát, növeli a modern hitelesítési ügyfelek, például az Office-ügyfelek hitelesítéseinek számát. Ezek a kliensek normál esetben csak jelszó-visszaállítás vagy 90 napos inaktivitás után értesítenek. Ha azonban ezt az értéket 90 napnál rövidebbre állítja, azzal lerövidíti az Office-ügyfelek alapértelmezett MFA-kéréseit, és növeli az újrahitelesítés gyakoriságát. Ha ezt a beállítást a Bejelentkezve maradás lehetőség megjelenítésével vagy a feltételes hozzáférési irányelvekkel kombinálja, az növelheti a hitelesítési kérelmek számát.
Ha többtényezős hitelesítést használ, és Microsoft Entra-azonosítójú P1 vagy P2 licenccel rendelkezik, érdemes lehet ezeket a beállításokat feltételes hozzáférési bejelentkezési gyakoriságra migrálni. Ellenkező esetben érdemes lehet a Megjelenítés lehetőséggel bejelentkezve maradni.
További információ: Többtényezős hitelesítés megjegyzése.
Hitelesítési munkamenet-kezelés feltételes hozzáféréssel
A rendszergazda a bejelentkezési gyakorisági szabályzattal olyan bejelentkezési gyakoriságot választhat, amely az ügyfél és a böngésző első és második tényezőjére egyaránt érvényes. Ezeket a beállításokat és a felügyelt eszközök használatát javasoljuk olyan helyzetekben, ahol korlátoznia kell a hitelesítési munkameneteket. Előfordulhat például, hogy a kritikus üzleti alkalmazások hitelesítési munkamenetét korlátoznia kell.
Az állandó böngésző munkamenet lehetővé teszi, hogy a felhasználók bejelentkezve maradjanak a böngészőablak bezárása és újbóli megnyitása után. A Bejelentkezve maradás opció megjelenítése beállításhoz hasonlóan, az is beállít egy állandó cookie-t a böngészőben. Mivel azonban a rendszergazda konfigurálja, nincs szükség arra, hogy a felhasználó az Igen lehetőséget válassza a Bejelentkezés megőrzése lehetőségnél. Így jobb felhasználói élményt nyújt. Ha a Maradjon bejelentkezve opciót használja, javasoljuk, hogy inkább engedélyezze az Állandó böngésző munkamenet házirendet.
További információ: Adaptív munkamenet-élettartam-szabályzatok konfigurálása.
Konfigurálható tokenélettartamok
A Konfigurálható jogkivonat élettartam beállítás lehetővé teszi egy jogkivonat élettartamának konfigurálását, amelyet a Microsoft Entra ID bocsát ki. A hitelesítési munkamenetek feltételes hozzáféréssel történő kezelése felváltja ezt a házirendet. Ha most konfigurálható jogkivonat-élettartamokat használ, javasoljuk, hogy indítsa el a feltételes hozzáférési szabályzatokra való migrálást.
A bérlő konfigurációjának áttekintése
Most, hogy megismerte a különböző beállítások működését és az ajánlott konfigurációt, ideje ellenőrizni a bérlőket. Első lépésként tekintse meg a bejelentkezési naplókat, amelyekből megtudhatja, hogy mely munkamenet-élettartam-szabályzatok lettek alkalmazva a bejelentkezés során.
Az egyes bejelentkezési naplók alatt lépjen a Hitelesítés részletei lapra, és ismerkedjen meg az alkalmazott munkamenet-élettartam-szabályzatokkal. További információ: További információ a bejelentkezési naplótevékenység részleteiről.
A Maradjon bejelentkezve lehetőség konfigurálásához vagy áttekintéséhez:
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez a gyakorlat segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt szerepkör, amelynek vészhelyzetekre kell korlátozódnia, vagy ha nem tud meglévő szerepkört használni.
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
- Keresse meg az Entra ID>Custom Branding webhelyet. Ezután minden területi beállításnál válassza a Megjelenítés lehetőséget a bejelentkezéshez.
- Válassza az Igen, majd a Mentés lehetőséget.
Többtényezős hitelesítési beállítások megjegyzése megbízható eszközökön:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
- Tallózással keresse meg az Entra ID>többtényezős hitelesítést.
- A Konfigurálás csoportban válassza a További felhőalapú MFA-beállítások lehetőséget.
- A Többtényezős hitelesítési szolgáltatás beállításai panelen görgessen a Többtényezős hitelesítés beállításainak megjegyzése gombra, és jelölje be a jelölőnégyzetet.
Feltételes hozzáférési szabályzatok konfigurálása a bejelentkezési gyakorisághoz és az állandó böngésző munkamenetekhez:
- Jelentkezzen be a Microsoft Entra felügyeleti központba, mint legalább egy feltételes hozzáférés adminisztrátor.
- Navigáljon az Entra ID>Feltételes hozzáférés elemhez.
- Konfiguráljon egy szabályzatot a cikk által javasolt munkamenet-kezelési beállítások használatával.
A token élettartamának áttekintéséhez használja a Microsoft Graph PowerShellt bármely Microsoft Entra irányelv lekérdezéséhez. Tiltsa le a érvényben lévő szabályzatokat.
Ha több beállítás is engedélyezve van a bérlőben, javasoljuk, hogy frissítse a beállításokat az Ön számára elérhető licencelés alapján. Ha például P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, csak a bejelentkezési gyakoriság és az állandó böngésző munkamenet feltételes hozzáférési szabályzatait kell használnia. Ha Microsoft 365-alkalmazások licenccel vagy Ingyenes Microsoft Entra-azonosítóval rendelkezik, a Megjelenítés lehetőséggel továbbra is bejelentkezve maradhat a konfigurációban.
Ha engedélyezte a konfigurálható jogkivonatok élettartamát, ne feledje, hogy ez a funkció hamarosan el lesz távolítva. Feltételes hozzáférési szabályzatba való migrálás tervezése.
Az alábbi táblázat a licencek alapján összegzi a javaslatokat:
| Kategória | Microsoft 365-alkalmazások vagy Microsoft Entra ID Free | Microsoft Entra ID P1 vagy P2 |
|---|---|---|
| SSO | Microsoft Entra join vagy Microsoft Entra hybrid join, vagy közvetlen egyszeri bejelentkezés nem felügyelt eszközökhöz | Microsoft Entra csatlakozás vagy Microsoft Entra hibrid csatlakozás |
| Újrahitelesítési beállítások | A bejelentkezett maradás lehetőségének megjelenítése | Feltételes hozzáférési szabályzatok a bejelentkezési gyakorisághoz és az állandó böngésző munkamenetekhez |