Feltételes hozzáférés: A rugalmasság alapértelmezései
Ha az elsődleges hitelesítési szolgáltatás kimaradt, a Microsoft Entra Backup Authentication szolgáltatás automatikusan ki tudja adni a hozzáférési jogkivonatokat a meglévő munkamenetek alkalmazásainak. Ez a funkció jelentősen növeli a Microsoft Entra rugalmasságát, mivel a meglévő munkamenetek ismételt hitelesítése a Microsoft Entra ID-hitelesítések több mint 90%-át biztosítja. A Biztonsági mentési hitelesítési szolgáltatás nem támogatja a vendégfelhasználók új munkameneteit vagy hitelesítéseit.
A feltételes hozzáféréssel védett hitelesítések esetében a szabályzatok újraértékelődnek a hozzáférési jogkivonatok kiadása előtt a következők meghatározásához:
- Mely feltételes hozzáférési szabályzatok érvényesek?
- Az érvényes szabályzatok esetében teljesültek-e a szükséges vezérlők?
A kimaradás során nem minden feltételt lehet valós időben kiértékelni a Biztonsági mentési hitelesítési szolgáltatással annak megállapításához, hogy a feltételes hozzáférési szabályzatnak érvényesnek kell-e lennie. A feltételes hozzáférés rugalmasságának alapértelmezett beállítása egy új munkamenet-vezérlő, amely lehetővé teszi a rendszergazdák számára, hogy a következők között döntsenek:
- Letilthatja-e a hitelesítéseket a kimaradás során, ha egy szabályzatfeltétel valós időben nem értékelhető ki.
- A szabályzatok kiértékelésének engedélyezése a felhasználó munkamenetének elején összegyűjtött adatokkal.
Fontos
A rugalmassági alapértelmezett beállítások automatikusan engedélyezve vannak az összes új és meglévő szabályzat esetében, és a Microsoft erősen javasolja, hogy hagyja engedélyezve a rugalmassági alapértelmezett beállításokat a kimaradás hatásainak csökkentése érdekében. Rendszergazda letilthatják az egyes feltételes hozzáférési szabályzatok rugalmassági alapértelmezett beállításait.
Hogyan működik?
A kimaradás során a Biztonsági mentési hitelesítési szolgáltatás automatikusan újra kiadja a hozzáférési jogkivonatokat bizonyos munkamenetekhez:
Munkamenet leírása | Hozzáférés biztosítva |
---|---|
Új munkamenet | Nem |
Meglévő munkamenet – Nincsenek feltételes hozzáférési szabályzatok konfigurálva | Igen |
Meglévő munkamenet – A feltételes hozzáférési szabályzatok konfigurálva lettek, és a szükséges vezérlők, például az MFA korábban teljesültek | Igen |
Meglévő munkamenet – Feltételes hozzáférési szabályzatok konfigurálva, és a szükséges vezérlők, például az MFA korábban nem voltak kielégítve | A rugalmassági alapértelmezett értékek határozzák meg |
Ha egy meglévő munkamenet lejár egy Microsoft Entra-üzemkimaradás során, a rendszer átirányítja az új hozzáférési jogkivonatra vonatkozó kérést a Backup Authentication szolgáltatáshoz, és az összes feltételes hozzáférési szabályzatot újraértékesíti. Ha nincsenek feltételes hozzáférési szabályzatok, vagy az összes szükséges vezérlő (például az MFA) korábban teljesült a munkamenet elején, a Biztonsági másolat hitelesítési szolgáltatás egy új hozzáférési jogkivonatot ad ki a munkamenet meghosszabbításához.
Ha a szabályzatok kötelező vezérlői korábban nem teljesültek, a szabályzat újraértékelésével megállapíthatja, hogy a hozzáférést meg kell-e adni vagy meg kell tagadni. A kimaradás során azonban nem minden feltétel értékelhető újra valós időben. Ezek a feltételek a következők:
- Csoporttagság
- Szerepkör-tagság
- Bejelentkezési kockázat
- Felhasználói kockázat
- Ország/régió helye (új IP- vagy GPS-koordináták feloldása)
- A hitelesítés erősségei
Ha aktív, a Biztonsági mentési hitelesítési szolgáltatás nem értékeli ki a hitelesítési erősségek által megkövetelt hitelesítési módszereket. Ha nem adathalászat-rezisztens hitelesítési módszert használt a kimaradás előtt, a szolgáltatáskimaradás során a rendszer nem kér többtényezős hitelesítést, még akkor sem, ha egy feltételes hozzáférési szabályzat által védett, adathalászatnak ellenálló hitelesítési erősséggel rendelkező erőforráshoz fér hozzá.
A rugalmasság alapértelmezett beállítása engedélyezve
Ha engedélyezve vannak a rugalmassági alapértékek, a biztonsági mentési hitelesítési szolgáltatás a munkamenet elején összegyűjtött adatokat használja annak kiértékelésére, hogy a szabályzatnak valós idejű adatok hiányában kell-e érvényesnek lennie. Alapértelmezés szerint minden szabályzat rendelkezik engedélyezett rugalmassági alapértelmezett beállításokkal. Előfordulhat, hogy a beállítás le van tiltva az egyes szabályzatok esetében, ha valós idejű házirend-értékelésre van szükség a bizalmas alkalmazásokhoz való hozzáféréshez egy kimaradás során.
Példa: A rugalmassági alapértelmezett beállításokkal rendelkező szabályzatok használatához minden olyan felhasználónak rendelkeznie kell jogosultsággal rendelkező szerepkörrel, aki hozzáfér a Microsoft Rendszergazda portálokhoz az MFA elvégzéséhez. Kimaradás előtt, ha egy rendszergazdai szerepkörrel nem rendelkező felhasználó hozzáfér az Azure Portalhoz, a szabályzat nem lesz érvényes, és a felhasználónak az MFA kérése nélkül lesz hozzáférése. A kimaradás során a Biztonsági mentési hitelesítési szolgáltatás újraértékeli a szabályzatot annak megállapításához, hogy a felhasználónak MFA-t kell-e kérnie. Mivel a Biztonsági mentési hitelesítési szolgáltatás nem tudja valós időben kiértékelni a szerepkör-tagságot, a felhasználó munkamenetének elején összegyűjtött adatok alapján állapítsa meg, hogy a szabályzat továbbra sem alkalmazható. Ennek eredményeképpen a felhasználó anélkül kap hozzáférést, hogy MFA-t kérne.
A rugalmasság alapértelmezései le vannak tiltva
Ha a rugalmassági alapértelmezett beállítások le vannak tiltva, a biztonsági mentési hitelesítési szolgáltatás nem fogja használni a munkamenet elején összegyűjtött adatokat a feltételek kiértékeléséhez. Leállás esetén, ha egy szabályzatfeltétel nem értékelhető ki valós időben, a rendszer megtagadja a hozzáférést.
Példa: A letiltott rugalmassági alapértelmezett beállításokkal rendelkező szabályzathoz minden felhasználónak rendelkeznie kell egy kiemelt szerepkörrel, amely hozzáfér a Microsoft Rendszergazda portálokhoz az MFA elvégzéséhez. Kimaradás előtt, ha egy rendszergazdai szerepkörrel nem rendelkező felhasználó hozzáfér az Azure Portalhoz, a szabályzat nem lesz érvényes, és a felhasználónak az MFA kérése nélkül lesz hozzáférése. A kimaradás során a Biztonsági mentési hitelesítési szolgáltatás újraértékeli a szabályzatot annak megállapításához, hogy a felhasználónak MFA-t kell-e kérnie. Mivel a biztonsági mentési hitelesítési szolgáltatás nem tudja valós időben kiértékelni a szerepkör-tagságot, letiltaná a felhasználó számára az Azure Portal elérését.
Figyelmeztetés
A csoportra vagy szerepkörre vonatkozó házirendek rugalmassági alapértelmezett értékeinek letiltása csökkenti a bérlő összes felhasználójának rugalmasságát. Mivel a csoport- és szerepkörtagság nem értékelhető ki valós időben egy kimaradás során, még azok a felhasználók is, akik nem tartoznak a csoporthoz vagy szerepkörhöz a szabályzat-hozzárendelésben, a szabályzat hatókörében megtagadják az alkalmazáshoz való hozzáférést. Annak érdekében, hogy ne csökkenjen a rugalmasság minden olyan felhasználó esetében, aki nem tartozik a szabályzat hatálya alá, fontolja meg a szabályzat egyéni felhasználókra való alkalmazását csoportok vagy szerepkörök helyett.
A rugalmasság alapértelmezett tesztelése
Nem lehet száraz futtatásokat végezni a Backup Authentication szolgáltatással, vagy egy olyan szabályzat eredményét szimulálni, amely jelenleg engedélyezve vagy letiltva van a rugalmassági alapértelmezett beállításokkal. A Microsoft Entra havi gyakorlatokat végez a Backup Authentication Service használatával. A bejelentkezési naplók akkor jelennek meg, ha a biztonsági mentési hitelesítési szolgáltatást használták a hozzáférési jogkivonat kiállításához. Az Identity>Monitoring & Health>Bejelentkezési naplók panelen hozzáadhatja a "Tokenkibocsátó típusa == Microsoft Entra Backup Auth" szűrőt a Microsoft Entra Backup Authentication szolgáltatás által feldolgozott naplók megjelenítéséhez.
A rugalmasság alapértelmezett beállítása
A feltételes hozzáférési rugalmasság alapértelmezett beállításai a Microsoft Entra felügyeleti központból, az MS Graph API-kból vagy a PowerShellből konfigurálhatók.
Microsoft Entra felügyeleti központ
- Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Új szabályzat létrehozása vagy meglévő szabályzat kiválasztása
- A Munkamenet-vezérlés beállításainak megnyitása
- Válassza a Rugalmasság alapértelmezett beállításainak letiltása lehetőséget a házirend beállításának letiltásához. A szabályzat hatókörébe tartozó bejelentkezések le lesznek tiltva a Microsoft Entra leállása során
- A szabályzat módosításainak mentése
MS Graph API-k
A feltételes hozzáférési szabályzatok rugalmassági alapértelmezett beállításait az MS Graph API és a Microsoft Graph Explorer használatával is kezelheti.
Mintakérés URL-címe:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Mintakérés törzse:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Ez a javításművelet a Microsoft PowerShell használatával telepíthető a Microsoft.Graph.Authentication modul telepítése után. A modul telepítéséhez nyisson meg egy emelt szintű PowerShell-parancssort, és hajtsa végre
Install-Module Microsoft.Graph.Authentication
Csatlakozás a Microsoft Graphhoz a szükséges hatókörök kérésével:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Hitelesítés, amikor a rendszer kéri.
Hozza létre a PATCH-kérelem JSON-törzsét:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Hajtsa végre a javítást:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Ajánlások
A Microsoft javasolja a rugalmasság alapértelmezett beállításának engedélyezését. Bár nincsenek közvetlen biztonsági problémák, az ügyfeleknek meg kell vizsgálniuk, hogy engedélyezik-e a biztonsági mentési hitelesítési szolgáltatás számára a feltételes hozzáférési szabályzatok kiértékelését a munkamenet elején gyűjtött adatok használatával, és nem valós időben.
Lehetséges, hogy a felhasználó szerepköre vagy csoporttagsága a munkamenet kezdete óta megváltozott. A folyamatos hozzáférés-kiértékeléssel (CAE) a hozzáférési jogkivonatok 24 órán át érvényesek, de azonnali visszavonási események érvényesek. A Biztonságimásolat-hitelesítési szolgáltatás ugyanarra a visszavonási eseményre fizet elő. Ha egy felhasználó jogkivonatát a CAE részeként vonják vissza, a felhasználó nem tud bejelentkezni a szolgáltatáskimaradás során. Ha engedélyezve vannak a rugalmassági alapértelmezett beállítások, a kimaradás során lejáró meglévő munkamenetek meghosszabbodiknak. A munkamenetek akkor is meghosszabbodiknak, ha a szabályzat munkamenet-vezérléssel lett konfigurálva a bejelentkezési gyakoriság kényszerítéséhez. Például a rugalmassági alapértelmezett beállításokkal rendelkező szabályzatok megkövetelik, hogy a felhasználók óránként újrahitelesítsenek egy SharePoint-webhelyet. A szolgáltatáskimaradás során a felhasználó munkamenete meghosszabbodik, annak ellenére, hogy a Microsoft Entra-azonosító nem érhető el a felhasználó újbóli hitelesítéséhez.