Mengonfigurasi pengelolaan sesi autentikasi dengan akses bersyarat

Dalam penyebaran yang kompleks, organisasi mungkin memiliki kebutuhan untuk membatasi sesi autentikasi. Beberapa skenario mungkin meliputi:

  • Akses sumber daya dari perangkat yang tidak dikelola atau dibagikan
  • Akses ke informasi sensitif dari jaringan eksternal
  • Pengguna berdampak tinggi
  • Aplikasi bisnis penting

Kontrol Akses Bersyarat memungkinkan Anda membuat kebijakan yang menargetkan kasus penggunaan tertentu dalam organisasi Anda tanpa memengaruhi semua pengguna.

Sebelum menyelami detail tentang cara mengonfigurasi kebijakan, mari kita periksa konfigurasi default.

Frekuensi masuk pengguna

Frekuensi masuk menentukan periode waktu sebelum pengguna diminta untuk masuk lagi saat mencoba mengakses sumber daya.

Konfigurasi default Azure Active Directory (Microsoft Azure Active Directory) untuk frekuensi masuk pengguna adalah jendela bergulir selama 90 hari. Meminta info masuk kepada pengguna sering kali tampak seperti hal yang masuk akal untuk dilakukan, tetapi dapat menjadi bumerang: pengguna yang dilatih untuk memasukkan info masuk mereka tanpa berpikir dapat secara tidak sengaja memasok mereka ke prompt info masuk berbahaya.

Mungkin terdengar mengkhawatirkan untuk tidak meminta pengguna untuk masuk kembali, pada kenyataannya setiap pelanggaran kebijakan IT akan mencabut sesi. Beberapa contoh termasuk (tetapi tidak terbatas pada) perubahan kata sandi, perangkat yang tidak sesuai, atau penonaktifan akun. Anda juga dapat secara eksplisit mencabut sesi pengguna menggunakan PowerShell. Konfigurasi default Azure AD turun ke "jangan minta pengguna untuk memberikan informasi masuk mereka jika postur keamanan sesi mereka tidak berubah".

Pengaturan frekuensi kredensial masuk berfungsi dengan aplikasi yang telah menerapkan protokol OAUTH2 atau OIDC sesuai standar. Sebagian besar aplikasi asli Microsoft untuk Windows, Mac, dan Mobile termasuk aplikasi web berikut mematuhi pengaturan.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal admin Microsoft 365
  • Exchange Online
  • SharePoint dan OneDrive
  • Klien web Teams
  • Dynamics CRM Online
  • portal Microsoft Azure

Pengaturan frekuensi kredensial masuk berfungsi dengan aplikasi SAML pihak ketiga dan aplikasi yang telah menerapkan protokol OAuth2 atau OIDC, selama mereka tidak menghapus cookie mereka sendiri dan dialihkan kembali ke Azure AD untuk autentikasi secara teratur.

Frekuensi masuk pengguna dan autentikasi multifaktor

Frekuensi masuk yang sebelumnya diterapkan hanya untuk autentikasi faktor pertama pada perangkat yang bergabung dengan Microsoft Azure Active Directory, bergabung dengan Microsoft Azure Active Directory Hibrid, dan Microsoft Azure Active Directory terdaftar. Tidak ada cara mudah bagi pelanggan kami untuk menerapkan kembali autentikasi multifaktor (MFA) pada perangkat tersebut. Berdasarkan tanggapan pelanggan, frekuensi masuk juga akan berlaku untuk MFA.

Frekuensi masuk dan MFA

Frekuensi masuk pengguna dan identitas perangkat

Di Azure AD yang bergabung, Azure AD hibrid yang bergabung, atau perangkat terdaftar Azure AD, membuka kunci perangkat atau masuk secara interaktif akan memenuhi kebijakan frekuensi masuk. Dalam dua contoh frekuensi masuk pengguna berikut diatur ke 1 jam:

Contoh 1:

  • Pada pukul 00:00, pengguna masuk ke perangkat yang bergabung dengan Windows 10 Microsoft Azure Active Directory mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pengguna terus mengerjakan dokumen yang sama di perangkat mereka selama satu jam.
  • Pada pukul 01:00, pengguna diminta untuk masuk lagi berdasarkan persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka.

Contoh 2:

  • Pada pukul 00:00, pengguna masuk ke perangkat yang bergabung dengan Windows 10 Microsoft Azure Active Directory mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pada pukul 00:30, pengguna bangun dan beristirahat mengunci perangkat mereka.
  • Pada pukul 00:45, pengguna kembali dari istirahat mereka dan membuka kunci perangkat.
  • Pada pukul 01:45, pengguna diminta untuk masuk lagi berdasarkan persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh admin mereka sejak masuk terakhir terjadi pada pukul 00.45.

Mewajibkan autentikasi ulang setiap saat

Ada skenario di mana pelanggan mungkin ingin meminta autentikasi baru, setiap kali sebelum pengguna melakukan tindakan tertentu. Frekuensi masuk memiliki opsi baru untuk Setiap saat selain jam atau hari.

Skenario yang didukung:

Saat administrator memilih Setiap saat, itu akan memerlukan autentikasi ulang penuh saat sesi dievaluasi.

Kegigihan sesi penjelajahan

Sesi browser persisten memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka.

Default AAD untuk persistensi sesi browser memungkinkan pengguna di perangkat pribadi untuk memilih apakah akan mempertahankan sesi dengan menampilkan "Tetap masuk?" prompt setelah autentikasi berhasil. Jika persistensi browser dikonfigurasi di AD FS menggunakan panduan dalam artikel Pengaturan SSO AD FS, kami akan mematuhi kebijakan tersebut dan juga mempertahankan sesi Azure AD. Anda juga dapat mengonfigurasi apakah pengguna di penyewa Anda melihat "Tetap masuk?" perintah dengan mengubah pengaturan yang sesuai dalam panel branding perusahaan.

Mengonfigurasi kontrol sesi autentikasi

Akses Bersyarat adalah kemampuan Microsoft Azure Active Directory Premium dan memerlukan lisensi premium. Jika Anda ingin mempelajari selengkapnya tentang Akses Bersyarat, lihat Apa yang dimaksud dengan Akses Bersyarat di Azure Active Directory?

Peringatan

Jika Anda menggunakan fitur masa pakai token yang dapat dikonfigurasi saat ini dalam pratinjau publik, perhatikan bahwa kami tidak mendukung pembuatan dua kebijakan berbeda untuk pengguna atau kombinasi aplikasi yang sama: satu dengan fitur ini dan satu lagi dengan token yang dapat dikonfigurasi fitur seumur hidup. Microsoft pensiun fitur seumur hidup token yang dapat dikonfigurasi untuk refresh dan masa pakai token sesi pada 30 Januari 2021 dan menggantinya dengan fitur manajemen sesi autentikasi Akses Bersyarat.

Sebelum mengaktifkan Frekuensi Masuk, pastikan pengaturan re-autentikasi lainnya dinonaktifkan di penyewa Anda. Jika "Ingat MFA pada perangkat tepercaya" diaktifkan, pastikan untuk menonaktifkannya sebelum menggunakan frekuensi Masuk, karena menggunakan kedua pengaturan ini bersama-sama dapat menyebabkan pengguna bertanya secara tiba-tiba. Untuk mempelajari selengkapnya perintah autentikasi ulang dan masa pakai sesi, lihat artikel, Mengoptimalkan permintaan autentikasi ulang dan memahami masa pakai sesi untuk Azure AD Multifactor Authentication.

Penyebaran kebijakan

Untuk memastikan bahwa kebijakan Anda bekerja seperti yang diharapkan, praktik terbaik yang direkomendasikan adalah mengujinya sebelum meluncurkannya ke produksi. Idealnya, gunakan penyewa pengujian untuk memverifikasi apakah kebijakan baru Anda berfungsi sebagaimana mestinya. Untuk mengetahui informasi selengkapnya, lihat artikel Merencanakan penyebaran Akses Bersyarat.

Kebijakan 1: Kontrol frekuensi masuk

  1. Masuk ke portal Microsoft Azure sebagai Administrator Global, Administrator Keamanan, atau Admin Akses Bersyarat.

  2. Telusuri ke Azure Active Directory>Keamanan>Akses Bersyarat.

  3. Pilih Kebijakan baru.

  4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.

  5. Pilih semua kondisi yang diperlukan untuk lingkungan pelanggan, termasuk aplikasi cloud target.

    Catatan

    Disarankan untuk mengatur frekuensi permintaan autentikasi yang sama untuk aplikasi kunci Microsoft Office seperti Exchange Online dan SharePoint Online untuk pengalaman pengguna terbaik.

  6. Di bawah Kontrol akses>Sesi.

    1. Pilih Frekuensi kredensial masuk.
      1. Pilih Autentikasi ulang berkala dan masukkan nilai jam atau hari atau pilih Setiap saat.
  7. Simpan kebijakan Anda.

    Kebijakan Akses Bersyarat dikonfigurasi untuk frekuensi masuk

Kebijakan 2: Sesi browser persisten

  1. Masuk ke portal Microsoft Azure sebagai Administrator Global, Administrator Keamanan, atau Admin Akses Bersyarat.

  2. Telusuri ke Azure Active Directory>Keamanan>Akses Bersyarat.

  3. Pilih Kebijakan baru.

  4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.

  5. Pilih semua kondisi yang diperlukan.

    Catatan

    Harap dicatat bahwa kontrol ini mengharuskan untuk memilih "Semua Aplikasi Cloud" sebagai syarat. Kegigihan sesi browser dikendalikan oleh token sesi autentikasi. Semua tab dalam sesi browser berbagi token sesi tunggal dan oleh karena itu mereka semua harus berbagi status kegigihan.

  6. Di bawah Kontrol akses>Sesi.

    1. Pilih Sesi browser persisten.

      Catatan

      Konfigurasi Sesi Browser Persisten di Akses Bersyarat Azure AD akan mengambil alih pesan "Tetap masuk?" di panel pencitraan merek perusahaan di portal Microsoft Azure untuk pengguna yang sama jika Anda telah mengonfigurasi kedua kebijakan tersebut.

    2. Memilih nilai dari dropdown.

  7. Simpan kebijakan Anda.

Kebijakan 3: Kontrol frekuensi kredensial masuk setiap saat pengguna berisiko

  1. Masuk ke portal Microsoft Azure sebagai Administrator Global, Administrator Keamanan, atau Admin Akses Bersyarat.
  2. Telusuri ke Azure Active Directory>Keamanan>Akses Bersyarat.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Di Sertakan, pilih Semua pengguna.
    2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
    3. Pilih Selesai.
  6. Di Aplikasi atau tindakan cloud>Sertakan, pilih Semua aplikasi cloud.
  7. Di Kondisi>Risiko pengguna, atur Konfigurasikan ke Ya. Di Konfigurasikan tingkat risiko pengguna yang diperlukan agar kebijakan diberlakukan pilih Tinggi, lalu pilih Selesai.
  8. Di Kontrol akses>Pemberian Izin, pilih Berikan akses, Perlu perubahan sandi, dan pilih Pilih.
  9. Di Kontrol sesi>Frekuensi masuk, pilih Setiap saat.
  10. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
  11. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan Anda menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Validasi

Gunakan Alat What-If untuk mensimulasikan upaya masuk dari pengguna ke aplikasi target dan kondisi lain berdasarkan cara Anda mengonfigurasi kebijakan Anda. Kontrol manajemen sesi autentikasi muncul dalam hasil alat.

Toleransi permintaan

Kami memperhitungkan selama lima menit kemiringan jam, sehingga kami tidak meminta pengguna lebih dari sekali setiap lima menit. Jika pengguna telah melakukan MFA dalam 5 menit terakhir, dan mereka mencapai kebijakan Akses Bersyarat lain yang memerlukan autentikasi ulang, kami tidak akan meminta pengguna. Mempromosikan pengguna secara berlebihan untuk autentikasi ulang dapat memengaruhi produktivitas mereka dan meningkatkan risiko pengguna menyetujui permintaan MFA yang tidak mereka mulai. Gunakan “Frekuensi masuk – setiap saat” hanya untuk kebutuhan bisnis tertentu.

Masalah yang diketahui

  • Jika Anda mengonfigurasi frekuensi masuk untuk perangkat seluler: Autentikasi setelah setiap interval frekuensi masuk bisa menjadi lambat, rata-rata dapat memakan waktu 30 detik. Juga, itu bisa terjadi di berbagai aplikasi pada saat yang sama.
  • Di perangkat iOS: Jika aplikasi mengonfigurasi sertifikat sebagai faktor autentikasi pertama dan aplikasi memiliki frekuensi Masuk dan Kebijakan manajemen aplikasi seluler Intune diterapkan, pengguna akhir akan diblokir untuk masuk ke aplikasi saat kebijakan dipicu.

Langkah berikutnya