Share via

Feltételes hozzáférés: A rugalmasság alapértelmezései

  • Cikk

Ha az elsődleges hitelesítési szolgáltatás kimaradt, a Microsoft Entra Backup Authentication szolgáltatás automatikusan ki tudja adni a hozzáférési jogkivonatokat a meglévő munkamenetek alkalmazásainak. Ez a funkció jelentősen növeli a Microsoft Entra rugalmasságát, mivel a meglévő munkamenetek ismételt hitelesítése a Microsoft Entra ID-hitelesítések több mint 90%-át biztosítja. A Biztonsági mentési hitelesítési szolgáltatás nem támogatja a vendégfelhasználók új munkameneteit vagy hitelesítéseit.

A feltételes hozzáféréssel védett hitelesítések esetében a szabályzatok újraértékelődnek a hozzáférési jogkivonatok kiadása előtt a következők meghatározásához:

  1. Mely feltételes hozzáférési szabályzatok érvényesek?
  2. Az érvényes szabályzatok esetében teljesültek-e a szükséges vezérlők?

A kimaradás során nem minden feltételt lehet valós időben kiértékelni a Biztonsági mentési hitelesítési szolgáltatással annak megállapításához, hogy a feltételes hozzáférési szabályzatnak érvényesnek kell-e lennie. A feltételes hozzáférés rugalmasságának alapértelmezett beállítása egy új munkamenet-vezérlő, amely lehetővé teszi a rendszergazdák számára, hogy a következők között döntsenek:

  • Letilthatja-e a hitelesítéseket a kimaradás során, ha egy szabályzatfeltétel valós időben nem értékelhető ki.
  • A szabályzatok kiértékelésének engedélyezése a felhasználó munkamenetének elején összegyűjtött adatokkal.

Fontos

A rugalmassági alapértelmezett beállítások automatikusan engedélyezve vannak az összes új és meglévő szabályzat esetében, és a Microsoft erősen javasolja, hogy hagyja engedélyezve a rugalmassági alapértelmezett beállításokat a kimaradás hatásainak csökkentése érdekében. Rendszergazda letilthatják az egyes feltételes hozzáférési szabályzatok rugalmassági alapértelmezett beállításait.

Hogyan működik?

A kimaradás során a Biztonsági mentési hitelesítési szolgáltatás automatikusan újra kiadja a hozzáférési jogkivonatokat bizonyos munkamenetekhez:

Munkamenet leírása Hozzáférés biztosítva
Új munkamenet Nem
Meglévő munkamenet – Nincsenek feltételes hozzáférési szabályzatok konfigurálva Igen
Meglévő munkamenet – A feltételes hozzáférési szabályzatok konfigurálva lettek, és a szükséges vezérlők, például az MFA korábban teljesültek Igen
Meglévő munkamenet – Feltételes hozzáférési szabályzatok konfigurálva, és a szükséges vezérlők, például az MFA korábban nem voltak kielégítve A rugalmassági alapértelmezett értékek határozzák meg

Ha egy meglévő munkamenet lejár egy Microsoft Entra-üzemkimaradás során, a rendszer átirányítja az új hozzáférési jogkivonatra vonatkozó kérést a Backup Authentication szolgáltatáshoz, és az összes feltételes hozzáférési szabályzatot újraértékesíti. Ha nincsenek feltételes hozzáférési szabályzatok, vagy az összes szükséges vezérlő (például az MFA) korábban teljesült a munkamenet elején, a Biztonsági másolat hitelesítési szolgáltatás egy új hozzáférési jogkivonatot ad ki a munkamenet meghosszabbításához.

Ha a szabályzatok kötelező vezérlői korábban nem teljesültek, a szabályzat újraértékelésével megállapíthatja, hogy a hozzáférést meg kell-e adni vagy meg kell tagadni. A kimaradás során azonban nem minden feltétel értékelhető újra valós időben. Ezek a feltételek a következők:

  • Csoporttagság
  • Szerepkör-tagság
  • Bejelentkezési kockázat
  • Felhasználói kockázat
  • Ország/régió helye (új IP- vagy GPS-koordináták feloldása)
  • A hitelesítés erősségei

Ha aktív, a Biztonsági mentési hitelesítési szolgáltatás nem értékeli ki a hitelesítési erősségek által megkövetelt hitelesítési módszereket. Ha nem adathalászat-rezisztens hitelesítési módszert használt a kimaradás előtt, a szolgáltatáskimaradás során a rendszer nem kér többtényezős hitelesítést, még akkor sem, ha egy feltételes hozzáférési szabályzat által védett, adathalászatnak ellenálló hitelesítési erősséggel rendelkező erőforráshoz fér hozzá.

A rugalmasság alapértelmezett beállítása engedélyezve

Ha engedélyezve vannak a rugalmassági alapértékek, a biztonsági mentési hitelesítési szolgáltatás a munkamenet elején összegyűjtött adatokat használja annak kiértékelésére, hogy a szabályzatnak valós idejű adatok hiányában kell-e érvényesnek lennie. Alapértelmezés szerint minden szabályzat rendelkezik engedélyezett rugalmassági alapértelmezett beállításokkal. Előfordulhat, hogy a beállítás le van tiltva az egyes szabályzatok esetében, ha valós idejű házirend-értékelésre van szükség a bizalmas alkalmazásokhoz való hozzáféréshez egy kimaradás során.

Példa: A rugalmassági alapértelmezett beállításokkal rendelkező szabályzatok használatához minden olyan felhasználónak rendelkeznie kell jogosultsággal rendelkező szerepkörrel, aki hozzáfér a Microsoft Rendszergazda portálokhoz az MFA elvégzéséhez. Kimaradás előtt, ha egy rendszergazdai szerepkörrel nem rendelkező felhasználó hozzáfér az Azure Portalhoz, a szabályzat nem lesz érvényes, és a felhasználónak az MFA kérése nélkül lesz hozzáférése. A kimaradás során a Biztonsági mentési hitelesítési szolgáltatás újraértékeli a szabályzatot annak megállapításához, hogy a felhasználónak MFA-t kell-e kérnie. Mivel a Biztonsági mentési hitelesítési szolgáltatás nem tudja valós időben kiértékelni a szerepkör-tagságot, a felhasználó munkamenetének elején összegyűjtött adatok alapján állapítsa meg, hogy a szabályzat továbbra sem alkalmazható. Ennek eredményeképpen a felhasználó anélkül kap hozzáférést, hogy MFA-t kérne.

A rugalmasság alapértelmezései le vannak tiltva

Ha a rugalmassági alapértelmezett beállítások le vannak tiltva, a biztonsági mentési hitelesítési szolgáltatás nem fogja használni a munkamenet elején összegyűjtött adatokat a feltételek kiértékeléséhez. Leállás esetén, ha egy szabályzatfeltétel nem értékelhető ki valós időben, a rendszer megtagadja a hozzáférést.

Példa: A letiltott rugalmassági alapértelmezett beállításokkal rendelkező szabályzathoz minden felhasználónak rendelkeznie kell egy kiemelt szerepkörrel, amely hozzáfér a Microsoft Rendszergazda portálokhoz az MFA elvégzéséhez. Kimaradás előtt, ha egy rendszergazdai szerepkörrel nem rendelkező felhasználó hozzáfér az Azure Portalhoz, a szabályzat nem lesz érvényes, és a felhasználónak az MFA kérése nélkül lesz hozzáférése. A kimaradás során a Biztonsági mentési hitelesítési szolgáltatás újraértékeli a szabályzatot annak megállapításához, hogy a felhasználónak MFA-t kell-e kérnie. Mivel a biztonsági mentési hitelesítési szolgáltatás nem tudja valós időben kiértékelni a szerepkör-tagságot, letiltaná a felhasználó számára az Azure Portal elérését.

Figyelmeztetés

A csoportra vagy szerepkörre vonatkozó házirendek rugalmassági alapértelmezett értékeinek letiltása csökkenti a bérlő összes felhasználójának rugalmasságát. Mivel a csoport- és szerepkörtagság nem értékelhető ki valós időben egy kimaradás során, még azok a felhasználók is, akik nem tartoznak a csoporthoz vagy szerepkörhöz a szabályzat-hozzárendelésben, a szabályzat hatókörében megtagadják az alkalmazáshoz való hozzáférést. Annak érdekében, hogy ne csökkenjen a rugalmasság minden olyan felhasználó esetében, aki nem tartozik a szabályzat hatálya alá, fontolja meg a szabályzat egyéni felhasználókra való alkalmazását csoportok vagy szerepkörök helyett.

A rugalmasság alapértelmezett tesztelése

Nem lehet száraz futtatásokat végezni a Backup Authentication szolgáltatással, vagy egy olyan szabályzat eredményét szimulálni, amely jelenleg engedélyezve vagy letiltva van a rugalmassági alapértelmezett beállításokkal. A Microsoft Entra havi gyakorlatokat végez a Backup Authentication Service használatával. A bejelentkezési naplók akkor jelennek meg, ha a biztonsági mentési hitelesítési szolgáltatást használták a hozzáférési jogkivonat kiállításához. Az Identity>Monitoring & Health>Bejelentkezési naplók panelen hozzáadhatja a "Tokenkibocsátó típusa == Microsoft Entra Backup Auth" szűrőt a Microsoft Entra Backup Authentication szolgáltatás által feldolgozott naplók megjelenítéséhez.

A rugalmasság alapértelmezett beállítása

A feltételes hozzáférési rugalmasság alapértelmezett beállításai a Microsoft Entra felügyeleti központból, az MS Graph API-kból vagy a PowerShellből konfigurálhatók.

Microsoft Entra felügyeleti központ

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Új szabályzat létrehozása vagy meglévő szabályzat kiválasztása
  4. A Munkamenet-vezérlés beállításainak megnyitása
  5. Válassza a Rugalmasság alapértelmezett beállításainak letiltása lehetőséget a házirend beállításának letiltásához. A szabályzat hatókörébe tartozó bejelentkezések le lesznek tiltva a Microsoft Entra leállása során
  6. A szabályzat módosításainak mentése

MS Graph API-k

A feltételes hozzáférési szabályzatok rugalmassági alapértelmezett beállításait az MS Graph API és a Microsoft Graph Explorer használatával is kezelheti.

Mintakérés URL-címe:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Mintakérés törzse:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Ez a javításművelet a Microsoft PowerShell használatával telepíthető a Microsoft.Graph.Authentication modul telepítése után. A modul telepítéséhez nyisson meg egy emelt szintű PowerShell-parancssort, és hajtsa végre

Install-Module Microsoft.Graph.Authentication

Csatlakozás a Microsoft Graphhoz a szükséges hatókörök kérésével:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Hitelesítés, amikor a rendszer kéri.

Hozza létre a PATCH-kérelem JSON-törzsét:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Hajtsa végre a javítást:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Ajánlások

A Microsoft javasolja a rugalmasság alapértelmezett beállításának engedélyezését. Bár nincsenek közvetlen biztonsági problémák, az ügyfeleknek meg kell vizsgálniuk, hogy engedélyezik-e a biztonsági mentési hitelesítési szolgáltatás számára a feltételes hozzáférési szabályzatok kiértékelését a munkamenet elején gyűjtött adatok használatával, és nem valós időben.

Lehetséges, hogy a felhasználó szerepköre vagy csoporttagsága a munkamenet kezdete óta megváltozott. A folyamatos hozzáférés-kiértékeléssel (CAE) a hozzáférési jogkivonatok 24 órán át érvényesek, de azonnali visszavonási események érvényesek. A Biztonságimásolat-hitelesítési szolgáltatás ugyanarra a visszavonási eseményre fizet elő. Ha egy felhasználó jogkivonatát a CAE részeként vonják vissza, a felhasználó nem tud bejelentkezni a szolgáltatáskimaradás során. Ha engedélyezve vannak a rugalmassági alapértelmezett beállítások, a kimaradás során lejáró meglévő munkamenetek meghosszabbodiknak. A munkamenetek akkor is meghosszabbodiknak, ha a szabályzat munkamenet-vezérléssel lett konfigurálva a bejelentkezési gyakoriság kényszerítéséhez. Például a rugalmassági alapértelmezett beállításokkal rendelkező szabályzatok megkövetelik, hogy a felhasználók óránként újrahitelesítsenek egy SharePoint-webhelyet. A szolgáltatáskimaradás során a felhasználó munkamenete meghosszabbodik, annak ellenére, hogy a Microsoft Entra-azonosító nem érhető el a felhasználó újbóli hitelesítéséhez.

Következő lépések