A feltételes hozzáférés adaptív munkamenetének élettartama

  • Cikk

Összetett környezetek esetén előfordulhat, hogy a szervezeteknek korlátozniuk kell a hitelesítési munkameneteket. Egyes forgatókönyvek a következők lehetnek:

  • Erőforrás-hozzáférés nem felügyelt vagy megosztott eszközről
  • Hozzáférés külső hálózatból származó bizalmas információkhoz
  • Nagy hatással a felhasználókra
  • Kritikus fontosságú üzleti alkalmazások

A feltételes hozzáférés adaptív munkamenet-élettartam-házirend-vezérlőket biztosít, amelyek lehetővé teszik, hogy a szervezeten belül meghatározott használati eseteket célzó szabályzatokat hozzon létre anélkül, hogy az összes felhasználót érintené.

Mielőtt megismerkednénk a szabályzat konfigurálásának részleteiben, vizsgáljuk meg az alapértelmezett konfigurációt.

Felhasználói bejelentkezés gyakorisága

A bejelentkezési gyakoriság meghatározza azt az időtartamot, amelynek eltelte után a felhasználónak újra be kell jelentkeznie, ha hozzá szeretne férni egy erőforráshoz.

A Microsoft Entra ID alapértelmezett konfigurációja a felhasználói bejelentkezési gyakorisághoz 90 napos gördülő időszak. A hitelesítő adatok kérése gyakran ésszerű dolognak tűnik, de visszaüthet: azok a felhasználók, amelyek gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlanul is elküldhetik őket egy rosszindulatú hitelesítőadat-kérésnek.

Riasztónak tűnhet, ha nem kéri a felhasználót, hogy jelentkezzen be, a valóságban az informatikai szabályzatok bármilyen megsértése visszavonja a munkamenetet. Ilyen például a jelszómódosítás, a nem megfelelő eszköz vagy a fiók letiltása. A Microsoft Graph PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket. A Microsoft Entra ID alapértelmezett konfigurációja "ne kérje meg a felhasználókat, hogy adják meg a hitelesítő adataikat, ha a munkamenetek biztonsági helyzetében nem történt változás".

A bejelentkezési gyakoriság beállítása az OAuth2- vagy OIDC-protokollokat a szabványoknak megfelelően implementáló alkalmazásokkal működik. A Windowshoz, Machez és Mobile-hoz készült legtöbb natív Microsoft-alkalmazás, beleértve az alábbi webalkalmazásokat is, megfelelnek a beállításnak.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 Felügyeleti központ portál
  • Exchange Online
  • SharePoint és OneDrive
  • Teams webes ügyfél
  • Dynamics CRM Online
  • Azure Portal

A bejelentkezési gyakoriság (SIF) olyan külső SAML-alkalmazásokkal és alkalmazásokkal működik, amelyek OAuth2- vagy OIDC-protokollokat implementálnak, feltéve, hogy nem dobják el a saját cookie-kat, és rendszeresen vissza lesznek irányítva a Microsoft Entra-azonosítóra hitelesítés céljából.

Felhasználói bejelentkezési gyakoriság és többtényezős hitelesítés

A bejelentkezés gyakorisága korábban csak az első tényező hitelesítésére vonatkozott a Microsoft Entra által csatlakoztatott eszközökön, a Hibrid Microsoft Entra és a Microsoft Entra regisztrált eszközökön. Ügyfeleink számára nem volt könnyű újra kikényszeríteni a többtényezős hitelesítést ezeken az eszközökön. Az ügyfelek visszajelzése alapján a bejelentkezés gyakorisága az MFA-ra is érvényes.

Diagram a bejelentkezés gyakoriságáról és az MFA együttműködéséről.

Felhasználói bejelentkezési gyakoriság és eszközidentitások

A Microsoft Entra csatlakoztatott és a Microsoft Entra hibrid csatlakoztatott eszközökön, az eszköz zárolásának feloldásával vagy interaktív bejelentkezéskor 4 óránként frissíti az elsődleges frissítési jogkivonatot (PRT). Az aktuális időbélyeggel összehasonlítva a PRT-hez rögzített utolsó frissítési időbélyegnek a SIF-házirendben meghatározott időn belül kell lennie ahhoz, hogy a PRT kielégítse a SIF-t, és hozzáférést biztosítson egy meglévő MFA-jogcímmel rendelkező PRT-hez. A Microsoft Entra által regisztrált eszközökön a feloldás/bejelentkezés nem felel meg a SIF-szabályzatnak, mert a felhasználó nem fér hozzá a Microsoft Entra által regisztrált eszközökhöz Egy Microsoft Entra-fiókon keresztül. A Microsoft Entra WAM beépülő modul azonban képes frissíteni a PRT-t a WAM használatával végzett natív alkalmazáshitelesítés során.

Feljegyzés

A felhasználói bejelentkezésből rögzített időbélyeg nem feltétlenül ugyanaz, mint a PRT-frissítés utolsó rögzített időbélyege a 4 órás frissítési ciklus miatt. Ez akkor fordul elő, ha a PRT lejárt, és egy felhasználói bejelentkezés 4 órán keresztül frissíti azt. Az alábbi példákban feltételezzük, hogy a SIF-szabályzat 1 órára van állítva, a PRT pedig 00:00-kor frissül.

1. példa: Ha egy órán át dolgozik ugyanazon a dokumentumon az SPO-ban

  • 00:00-kor a felhasználó bejelentkezik a Windows 11 Microsoft Entra-hoz csatlakoztatott eszközére, és elkezd dolgozni a SharePoint Online-ban tárolt dokumentumon.
  • A felhasználó egy órán át dolgozik ugyanazon a dokumentumon az eszközén.
  • 01:00-kor a rendszer kéri a felhasználót, hogy jelentkezzen be újra. Ez a kérés a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelményén alapul.

2. példa: Ha szünetelteti a böngészőben futó háttérfeladattal való munkát, akkor a SIF-szabályzat eltelte után ismét kommunikáljon

  • 00:00-kor a felhasználó bejelentkezik a Windows 11 Microsoft Entra-hoz csatlakoztatott eszközére, és elkezd feltölteni egy dokumentumot a SharePoint Online-ba.
  • 00:10-kor a felhasználó feláll, és szünetet tart az eszköz zárolása. A háttérfeltöltés továbbra is a SharePoint Online-ba megy.
  • 02:45-kor a felhasználó visszatér a szünetből, és feloldja az eszközt. A háttérfeltöltés a befejezést mutatja.
  • 02:45-kor a rendszer arra kéri a felhasználót, hogy jelentkezzen be, amikor újra interakcióba lép. Ez a kérés a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelményén alapul, mivel az utolsó bejelentkezés 00:00-kor történt.

Ha az ügyfélalkalmazás (a tevékenység részletei alatt) egy böngésző, a következő felhasználói beavatkozásig elhalasztjuk az események/szabályzatok gyakoriságának érvényesítését a háttérszolgáltatásokban. Bizalmas ügyfelek esetén a bejelentkezés gyakoriságának kényszerítése a nem interaktív bejelentkezések esetén a következő interaktív bejelentkezésig halasztható.

3. példa: Az elsődleges frissítési jogkivonat négy órás frissítési ciklusának feloldása

1. forgatókönyv – A felhasználó cikluson belül tér vissza

  • 00:00-kor a felhasználó bejelentkezik a Windows 11 Microsoft Entra-hoz csatlakoztatott eszközére, és megkezdi a munkát a SharePoint Online-ban tárolt dokumentumokon.
  • 00:30-kor a felhasználó feláll, és szünetet tart az eszköz zárolása során.
  • 00:45-kor a felhasználó visszatér a szünetből, és feloldja az eszközt.
  • 01:00-kor a rendszer kéri a felhasználót, hogy jelentkezzen be újra. Ez a kérés a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelményén alapul, a kezdeti bejelentkezés után 1 órával.

2. forgatókönyv – A felhasználó a cikluson kívül tér vissza

  • 00:00-kor a felhasználó bejelentkezik a Windows 11 Microsoft Entra-hoz csatlakoztatott eszközére, és megkezdi a munkát a SharePoint Online-ban tárolt dokumentumokon.
  • 00:30-kor a felhasználó feláll, és szünetet tart az eszköz zárolása során.
  • 04:45-kor a felhasználó visszatér a szünetből, és feloldja az eszközt.
  • 05:45-kor a rendszer kéri a felhasználót, hogy jelentkezzen be újra. Ez a kérés a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelményén alapul. Most 1 órával azután, hogy a PRT 04:45-kor frissült, és több mint 4 óra telt el a kezdeti bejelentkezés óta 00:00-kor.

Minden alkalommal újrahitelesítést igényel

Vannak olyan esetek, amikor az ügyfeleknek friss hitelesítésre van szükségük, minden alkalommal, amikor egy felhasználó bizonyos műveleteket hajt végre, például:

  • Bizalmas alkalmazások elérése.
  • A VPN vagy a Network as a Service (NaaS) szolgáltatók mögötti erőforrások védelme.
  • Emelt szintű szerepkörök biztonságossá tétele a PIM-ben.
  • A felhasználói bejelentkezések védelme az Azure Virtual Desktop-gépekre.
  • A Microsoft Entra ID-védelem által azonosított kockázatos felhasználók és kockázatos bejelentkezések védelme.
  • Bizalmas felhasználói műveletek, például a Microsoft Intune-regisztráció védelme.

A bejelentkezés gyakorisága akkor működik a legjobban, ha az erőforrás logikája szerint az ügyfélnek új jogkivonatot kell beszereznie. Ezek az erőforrások csak a munkamenet lejárta után irányítják vissza a felhasználót a Microsoft Entra-ba.

Rendszergazda istratoroknak korlátozniuk kell azoknak az alkalmazásoknak a számát, amelyek olyan szabályzatot kényszerítenek ki, amely megköveteli a felhasználók számára, hogy minden alkalommal újrahitelesítsék őket. A szabályzatban minden alkalommal öt perc óra eltérést számítunk ki, hogy ne kérjük a felhasználókat öt percenként többször. Az újrahitelesítés túl gyakran történő aktiválása növelheti a biztonsági súrlódást olyan mértékben, hogy a felhasználók MFA-fáradtságot tapasztalnak, és megnyitják az ajtót az adathalász kísérletek előtt. A webalkalmazások általában kevésbé zavaró élményt nyújtanak, mint az asztali társaik, ha minden alkalommal újrahitelesítésre van szükség.

  • A Microsoft 365-ös veremben lévő alkalmazások esetében javasoljuk, hogy időalapú felhasználói bejelentkezési gyakoriságot használjon a jobb felhasználói élmény érdekében.
  • Az Azure Portal és a Microsoft Entra felügyeleti központ esetében azt javasoljuk, hogy használjon idősávos felhasználói bejelentkezési gyakoriságot , vagy követelje meg a PIM-aktiválás újrahitelesítését a hitelesítési környezet használatával a jobb felhasználói élmény érdekében.

Általánosan elérhető támogatott forgatókönyvek:

  • Felhasználói hitelesítés megkövetelése az Intune-eszközregisztráció során az aktuális MFA-állapottól függetlenül.
  • Felhasználói újrahitelesítés megkövetelése olyan kockázatos felhasználók számára, amelyek jelszómódosítási engedélyezési vezérlőt igényelnek.
  • A többtényezős hitelesítés engedélyezését igénylő kockázatos bejelentkezések felhasználói újrahitelesítésének megkövetelése.

A 2024. februári nyilvános előzetes verziójú funkciók lehetővé teszik a rendszergazdák számára, hogy hitelesítést igényeljenek a következőkkel:

Amikor a rendszergazdák a Minden alkalommal lehetőséget választják, a munkamenet kiértékelésekor teljes újrahitelesítésre van szükség.

Böngésző-munkamenetek adatmegőrzése

Az állandó böngésző-munkamenet lehetővé teszi a felhasználó számára, hogy a böngészője bezárása és újbóli megnyitása után is bejelentkezett állapotban maradjon.

A böngésző-munkamenetek megőrzésének alapértelmezett Microsoft Entra-azonosítója lehetővé teszi a személyes eszközökön lévő felhasználók számára, hogy eldönthetik, hogy megtartják-e a munkamenetet a "Bejelentkezve marad?" a sikeres hitelesítés után. Ha a böngészők megőrzése az AD FS-ben van konfigurálva az AD FS egyszeri bejelentkezési beállításai című cikkben található útmutatás alapján, betartjuk ezt a szabályzatot, és a Microsoft Entra-munkamenetet is megőrizzük. Azt is beállíthatja, hogy a bérlő felhasználói lássák-e a "Bejelentkezve marad?" a céges védjegyzés panel megfelelő beállításának módosításával.

Az állandó böngészőkben a cookie-k a felhasználó eszközén maradnak, még akkor is, ha a felhasználó bezárja a böngészőt. Ezek a cookie-k hozzáférhetnek a Microsoft Entra-összetevőkhöz, és ezek az összetevők a jogkivonat lejáratáig használhatók, függetlenül az erőforrás-környezeten elhelyezett feltételes hozzáférési szabályzatoktól. A jogkivonatok gyorsítótárazása tehát közvetlenül megsértheti a hitelesítéshez szükséges biztonsági szabályzatokat. Bár a jogkivonatok az aktuális munkameneten túl is kényelmesnek tűnhetnek, biztonsági rést okozhatnak a Microsoft Entra-összetevőkhöz való jogosulatlan hozzáférés engedélyezésével.

Hitelesítési munkamenet-vezérlők konfigurálása

A feltételes hozzáférés a Microsoft Entra ID P1 vagy P2 képessége, és prémium szintű licencet igényel. Ha szeretne többet megtudni a feltételes hozzáférésről, olvassa el a Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban?

Figyelmeztetés

Ha jelenleg nyilvános előzetes verzióban használja a konfigurálható jogkivonat élettartam funkcióját, vegye figyelembe, hogy nem támogatjuk két különböző szabályzat létrehozását ugyanazon felhasználó- vagy alkalmazáskombinációhoz: az egyik ezzel a funkcióval, a másik pedig konfigurálható jogkivonat-élettartam-funkcióval. A Microsoft 2021. január 30-án megszüntette a frissítési és munkamenet-jogkivonatok élettartamára vonatkozó konfigurálható jogkivonat-élettartam funkciót, és lecserélte a feltételes hozzáférésű hitelesítési munkamenet-kezelési funkcióra.

A bejelentkezési gyakoriság engedélyezése előtt győződjön meg arról, hogy a bérlő más újrahitelesítési beállításai le vannak tiltva. Ha engedélyezve van az "MFA megjegyzése megbízható eszközökön" beállítás, mindenképpen tiltsa le a bejelentkezési gyakoriság használata előtt, mivel a két beállítás együttes használata váratlan kéréshez vezethet a felhasználóktól. Az újrahitelesítési kérésekről és a munkamenet élettartamáról további információt a Microsoft Entra többtényezős hitelesítés munkamenet-élettartamának optimalizálása és az újrahitelesítési kérések optimalizálása című cikkben talál.

Következő lépések