Munkamenet-kezelés és folyamatos hozzáférés kiértékelése

  • 3 perc

Összetett környezetek esetén előfordulhat, hogy a szervezeteknek korlátozniuk kell a hitelesítési munkameneteket. Egyes forgatókönyvek a következők lehetnek:

  • Erőforrás-hozzáférés nem felügyelt vagy megosztott eszközről.
  • Hozzáférés külső hálózatból származó bizalmas információkhoz.
  • Magas prioritású vagy vezető felhasználók.
  • Kritikus fontosságú üzleti alkalmazások.

A feltételes hozzáférés vezérlői lehetővé teszik olyan szabályzatok létrehozását, amelyek a szervezeten belül meghatározott használati eseteket céloznak meg anélkül, hogy az összes felhasználót érintené.

Mielőtt megismerkednénk a szabályzat konfigurálásának részleteiben, vizsgáljuk meg az alapértelmezett konfigurációt.

Felhasználói bejelentkezés gyakorisága

A bejelentkezési gyakoriság meghatározza azt az időtartamot, amelynek eltelte után a felhasználónak újra be kell jelentkeznie, ha hozzá szeretne férni egy erőforráshoz.

A Microsoft Entra ID alapértelmezett beállítása a felhasználói bejelentkezés gyakoriságára vonatkozóan egy 90 napos gördülő ablak. A felhasználók hitelesítő adatainak kérése gyakran ésszerű dolognak tűnik, de visszaüthet: Azok a felhasználók, akik gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlanul is elküldhetik őket egy rosszindulatú hitelesítőadat-kérésnek.

Riasztónak tűnhet, ha nem kéri a felhasználót, hogy jelentkezzen be; a valóságban az informatikai szabályzatok bármilyen megsértése visszavonja a munkamenetet. Ilyen például a jelszó módosítása, a nem megfelelő eszköz vagy a fiók letiltása. A PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket. A Microsoft Entra ID alapértelmezett konfigurációja "ne kérje meg a felhasználókat, hogy adják meg a hitelesítő adataikat, ha a munkamenetek biztonsági helyzetében nem változott."

A bejelentkezési gyakoriság beállítása azokkal az alkalmazásokkal működik, amelyek az OAUTH2- vagy OIDC-protokollokat a szabványoknak megfelelően implementálták. A Windows, Mac és mobil alkalmazások többsége, beleértve az alábbi webalkalmazásokat is, megfelel a beállításnak.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 Felügyeleti központ portál
  • Exchange Online
  • SharePoint és OneDrive
  • Teams webes felület
  • Dynamics CRM Online
  • Azure Portal

A bejelentkezési gyakoriság beállítása az SAML-alkalmazásokkal is működik, amennyiben nem dobják le a saját cookie-kat, és rendszeresen vissza lesznek irányítva a Microsoft Entra-azonosítóra hitelesítés céljából.

Felhasználói bejelentkezési gyakoriság és többtényezős hitelesítés

A bejelentkezés gyakorisága korábban csak az első tényező hitelesítésére vonatkozott a Microsoft Entra által csatlakoztatott eszközökön, a Hibrid Microsoft Entra csatlakoztatott és a Microsoft Entra által regisztrált eszközökön. Ügyfeleink számára nem volt könnyű újra kikényszeríteni a többtényezős hitelesítést (MFA) ezeken az eszközökön. Az ügyfelek visszajelzése alapján a bejelentkezés gyakorisága az MFA-ra is érvényes lesz.

A többtényezős hitelesítési bejelentkezési folyamat diagramja a bejelentkezési gyakorisággal.

Felhasználói bejelentkezési gyakoriság és eszközidentitások

Ha csatlakozik a Microsoft Entra, a hibrid Microsoft Entra vagy a Microsoft Entra regisztrált eszközökhöz, amikor egy felhasználó feloldja az eszköz zárolását, vagy interaktív módon jelentkezik be, ez az esemény megfelel a bejelentkezési gyakorisági szabályzatnak is. Az alábbi két példában a felhasználói bejelentkezés gyakorisága egy órára van állítva:

1. példa:

  • 00:00-kor a felhasználó bejelentkezik a Windows 10 Microsoft Entra-hoz csatlakoztatott eszközére, és megkezdi a munkát a SharePoint Online-ban tárolt dokumentumokon.
  • A felhasználó egy órán át dolgozik ugyanazon a dokumentumon az eszközén.
  • 01:00-kor a rendszer arra kéri a felhasználót, hogy jelentkezzen be újra a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelménye alapján.

2. példa:

  • 00:00-kor a felhasználó bejelentkezik a Windows 10 Microsoft Entra-hoz csatlakoztatott eszközére, és megkezdi a munkát a SharePoint Online-ban tárolt dokumentumokon.
  • 00:30-kor a felhasználó feláll, és szünetet tart, és zárolja az eszközt.
  • 00:45-kor a felhasználó visszatér a szünetből, és feloldja az eszközt.
  • 01:45-kor a rendszer arra kéri a felhasználót, hogy jelentkezzen be újra a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelménye alapján, mivel az utolsó bejelentkezés 00:45-kor történt.

Böngésző-munkamenetek adatmegőrzése

Az állandó böngésző-munkamenet lehetővé teszi a felhasználó számára, hogy a böngészője bezárása és újbóli megnyitása után is bejelentkezett állapotban maradjon. A böngésző-munkamenetek megőrzésének alapértelmezett Microsoft Entra-azonosítója lehetővé teszi a személyes eszközökön lévő felhasználók számára, hogy eldönthetik, hogy a munkamenet megmarad-e egy "Bejelentkezve marad?" beállítással. a sikeres hitelesítés után.

Érvényesítés

A What-If eszközzel szimulálhatja a felhasználótól a célalkalmazásba való bejelentkezést, valamint a szabályzat konfigurálásához szükséges egyéb feltételeket. A hitelesítési munkamenet-felügyeleti vezérlők megjelennek az eszköz eredményében.

Képernyőkép a feltételes hozzáférés Mi lenne, ha eszköz eredményeiről.

Házirend üzembe helyezése

Annak érdekében, hogy a szabályzat a várt módon működjön, ajánlott tesztelni, mielőtt éles környezetben üzembe helyeznénk. Ideális esetben használjon teszt bérlőt annak ellenőrzéséhez, hogy az új szabályzat a kívánt módon működik-e.

Folyamatos hozzáférés kiértékelése (CAE)

A jogkivonatok lejárata és frissítése szabványos mechanizmus az iparágban. Amikor egy ügyfélalkalmazás, például az Outlook csatlakozik egy olyan szolgáltatáshoz, mint az Exchange Online, az API-kérések OAuth 2.0 hozzáférési jogkivonatokkal vannak engedélyezve. Alapértelmezés szerint a hozzáférési jogkivonatok egy órán át érvényesek, amikor lejárnak, a rendszer átirányítja az ügyfelet a Microsoft Entra-azonosítóra a frissítéshez. Ez a frissítési időszak lehetőséget nyújt a felhasználói hozzáférésre vonatkozó szabályzatok újraértékelésére. Előfordulhat például, hogy feltételes hozzáférési szabályzat miatt nem frissítjük a jogkivonatot, vagy mert a felhasználó le van tiltva a címtárban.

A felhasználó feltételeinek változása és a szabályzatmódosítások kikényszerítése között azonban eltérés van. A szabályzatsértésekre vagy biztonsági problémákra való időben történő válaszadáshoz valóban "beszélgetésre" van szükség a jogkivonat-kiállító és a függő entitás (felvilágosított alkalmazás) között. Ez a kétirányú beszélgetés két fontos képességet biztosít számunkra. A megbízható fél láthatja, hogy mikor változnak a tulajdonságok, például a hálózati hely, és tájékoztathatja a token kibocsátót. Emellett lehetővé teszi a jogkivonat-kiállító számára, hogy értesítse a függő felet, hogy egy adott felhasználó miatt ne vegye figyelembe a jogkivonatokat a fiók feltörése, letiltása vagy más okok miatt. A beszélgetés mechanizmusa a folyamatos hozzáférés-kiértékelés (CAE).

Előnyök

A folyamatos hozzáférés kiértékelése számos fontos előnnyel jár.

  • Felhasználói megszüntetés vagy jelszómódosítás/visszaállítás: A felhasználói munkamenet visszavonását közel valós időben kényszerítjük ki.
  • Hálózati hely módosítása: A feltételes hozzáférési hely szabályzatai közel valós időben lesznek kényszerítve.
  • A jogkivonatok megbízható hálózaton kívüli gépre való exportálása feltételes hozzáférési helyszabályzatokkal megakadályozható.

Kiértékelési és visszavonási folyamat

A hozzáférési jogkivonat visszavonása és az ügyfél hozzáférés-ismétlésének folyamatábra.

  1. A folyamatos hozzáférés-kiértékelésre (CAE) képes ügyfél hitelesítő adatokat vagy frissítési jogkivonatot jelenít meg a Microsoft Entra-azonosítónak, és hozzáférési jogkivonatot kér bizonyos erőforrásokhoz.
  2. A rendszer a hozzáférési jogkivonatot más összetevőkkel együtt adja vissza az ügyfélnek.
  3. A rendszergazda visszavonja a felhasználó összes frissítési tokenét. A rendszer egy visszavonási eseményt küld az erőforrás-szolgáltatónak a Microsoft Entra-azonosítóból.
  4. Átadnak egy hozzáférési jogkivonatot az erőforrás-szolgáltatónak. Az erőforrás-szolgáltató kiértékeli a jogkivonat érvényességét, és ellenőrzi, hogy van-e visszavonási esemény a felhasználó számára. Az erőforrás-szolgáltató ezen információk alapján dönti el, hogy hozzáférést biztosít-e az erőforráshoz.
  5. A diagram esetében az erőforrás-szolgáltató tagadja a hozzáférést, és 401-nél több jogcímre vonatkozó kihívást küld vissza az ügyfélnek.
  6. A CAE-kompatibilis ügyfél megérti a 401+ követelés kihívását. Kikerüli a gyorsítótárakat, majd visszatér az 1. lépéshez, és elküldi a frissítési jogkivonatot a jogcím-kihívással együtt a Microsoft Entra ID-hez. A Microsoft Entra ID ezután újraértékeli az összes feltételt, és felkéri a felhasználót, hogy ebben az esetben újrahitelesítse a feltételeket.