Megosztás:

Adaptív munkamenet élettartam-szabályzatok konfigurálása

Figyelmeztetés

Ha jelenleg nyilvános előzetes verzióban használja a konfigurálható jogkivonat élettartam-funkcióját , nem támogatjuk két különböző szabályzat létrehozását ugyanazon felhasználó- vagy alkalmazáskombinációhoz: az egyik ezzel a funkcióval, a másik pedig a konfigurálható jogkivonat élettartam-funkciójával. A Microsoft 2021. január 30-án megszüntette a konfigurálható jogkivonat élettartam-funkcióját a frissítési és munkamenet-jogkivonatok élettartamához, és lecserélte a feltételes hozzáférésű hitelesítési munkamenet-kezelési funkcióra.

A bejelentkezési gyakoriság engedélyezése előtt győződjön meg arról, hogy a bérlő más újrahitelesítési beállításai le vannak tiltva. Ha engedélyezve van az "MFA megjegyzése megbízható eszközökön" beállítás, tiltsa le a bejelentkezési gyakoriság használata előtt, mivel a két beállítás együttes használata váratlanul rákérdezhet a felhasználókra. Az újrahitelesítési kérésekről és a munkamenet élettartamáról további információt a Microsoft Entra többtényezős hitelesítés munkamenet-élettartamának optimalizálása és az újrahitelesítési kérések optimalizálása című cikkben talál.

Politika telepítése

Annak érdekében, hogy a szabályzat a várt módon működjön, tesztelje azt, mielőtt üzembe helyezené az éles környezetben. Teszteljen egy bérlőt annak ellenőrzéséhez, hogy az új szabályzat a kívánt módon működik-e. További információt a feltételes hozzáférés üzembe helyezésének megtervezése című cikkben talál.

1. szabályzat: Bejelentkezési gyakoriság-vezérlés

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.

  2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.

  3. Válassza az Új szabályzat lehetőséget.

  4. Adjon nevet a házirendnek. Hozzon létre egy értelmes szabványt az elnevezési szabályzatokhoz.

  5. Válassza ki az ügyfél környezetéhez szükséges összes feltételt, beleértve a célfelhő-alkalmazásokat is.

    Feljegyzés

    Javasoljuk, hogy a lehető legjobb felhasználói élmény érdekében azonos hitelesítési gyakoriságot állítson be az olyan kulcsfontosságú Microsoft 365-alkalmazásokhoz, mint az Exchange Online és a SharePoint Online.

  6. A Hozzáférés-vezérlési>munkamenet területen.

    1. Válassza ki a bejelentkezési gyakoriságot.
      1. Válassza az Időszakos újrahitelesítés lehetőséget, adja meg az órák vagy napok értékét, vagy válassza a Minden alkalommal lehetőséget.

    Képernyőkép a bejelentkezési gyakoriságra konfigurált feltételes hozzáférési szabályzatról.

  7. Mentse a szabályzatot.

2. szabályzat: Tartós böngésző munkamenet

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.

  2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.

  3. Válassza az Új szabályzat lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. Válassza ki az összes szükséges feltételt.

    Feljegyzés

    Ehhez a vezérlőhöz feltételként a "Minden felhőalkalmazás" lehetőséget kell kiválasztani. A böngésző munkamenet folytatását a hitelesítési munkamenet tokenje szabályozza. A böngésző munkamenetének minden lapja ugyanazzal a session tokennel rendelkezik, ezért mindegyiknek közösen kell használniuk az állapotmegőrzési állapotot.

  6. A Hozzáférés-vezérlési>munkamenet területen.

    1. Válassza az Állandó böngésző munkamenet lehetőséget.

      Feljegyzés

      A Microsoft Entra Feltételes hozzáférés állandó böngésző-munkamenet-konfigurációja felülírja a vállalati védjegyzés panelen található "Bejelentkezve" beállítást, ha mindkét házirend konfigurálva van.

    2. Válasszon ki egy értéket a legördülő listából.

  7. Mentse a szabályzatot.

Feljegyzés

A munkamenetek élettartamának beállításai, beleértve a bejelentkezési gyakoriságot és az állandó böngésző munkameneteket, meghatározzák, hogy a felhasználóknak milyen gyakran kell újrahitelesíteni, és hogy a munkamenetek a böngésző újraindítása során is megmaradnak-e. A rövidebb élettartamok növelik a magas kockázatú alkalmazások biztonságát, míg a hosszabbak növelik a megbízható vagy felügyelt eszközök kényelmét.

3. szabályzat: A bejelentkezés gyakoriságának szabályozása minden kockázatos felhasználó esetén

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.
  2. Keresse meg az Entra ID>Feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza a Felhasználók és csoportok lehetőséget, és jelölje ki a szervezet vészhelyzeti vagy vészelérési fiókjait.
    3. Válassza a Kész lehetőséget.
  6. A Célerőforrások>belefoglalása területen válassza a Minden erőforrás (korábban "Minden felhőalkalmazás") lehetőséget.
  7. Feltételek>Felhasználói kockázat esetén állítsa a KonfigurálásIgen értékre.
    1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. Válassza a Jelszómódosítás megkövetelése lehetőséget.
    3. Válassza a Kiválasztás lehetőséget.
  9. Munkamenet alatt.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a Kiválasztás lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentésalapú módban, helyezze át a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Érvényesítés

A What If eszközzel a célalkalmazásba való bejelentkezést és a szabályzatkonfiguráción alapuló egyéb feltételeket szimulálhatja. A hitelesítési munkamenet-felügyeleti vezérlők megjelennek az eszköz eredményében.

Tűréshatár

Öt percnyi óraeltérést számolunk fel, amikor a szabályzat minden alkalommal kijelöli az órát, ezért öt percenként nem kérünk gyakrabban felhasználókat. Ha a felhasználó az elmúlt 5 percben befejezi az MFA-t, és egy másik feltételes hozzáférési szabályzattal találkozik, amely ismételt hitelesítést igényel, nem kérünk rá a felhasználót. Ha túl gyakran kéri a felhasználókat az újrahitelesítésre, az hatással lehet a hatékonyságukra, és növelheti annak kockázatát, hogy a felhasználók jóváhagyják a nem kezdeményezett MFA-kérelmeket. Csak akkor használja a "Bejelentkezési gyakoriság – minden alkalommal" kifejezést, ha adott üzleti igények vannak.

Ismert problémák

  • Ha mobileszközökhöz konfigurálja a bejelentkezési gyakoriságot: Az egyes bejelentkezési gyakorisági intervallumok után a hitelesítés lassú lehet, és átlagosan 30 másodpercet is igénybe vehet. Ez a probléma a különböző alkalmazásokban is előfordulhat egyszerre.
  • iOS-eszközökön: Ha egy alkalmazás a tanúsítványokat az első hitelesítési tényezőként konfigurálja, és a bejelentkezési gyakoriságot és az Intune mobilalkalmazás-kezelési szabályzatokat is alkalmazza, a szabályzat aktiválásakor a felhasználók nem jelentkezhetnek be az alkalmazásba.
  • A Microsoft Entra Private Access nem támogatja a bejelentkezés gyakoriságának beállítását minden alkalommal.

Következő lépések

  • Last updated on