Bagikan melalui

Masa pakai sesi adaptif Akses Bersyariah

  • Artikel

Dalam penyebaran yang kompleks, organisasi mungkin memiliki kebutuhan untuk membatasi sesi autentikasi. Beberapa skenario mungkin termasuk:

  • Akses sumber daya dari perangkat yang tidak dikelola atau dibagikan
  • Akses ke informasi sensitif dari jaringan eksternal
  • Pengguna berdampak tinggi
  • Aplikasi bisnis penting

Akses Bersyariah menyediakan kontrol kebijakan masa pakai sesi adaptif yang memungkinkan Anda membuat kebijakan yang menargetkan kasus penggunaan tertentu dalam organisasi Anda tanpa memengaruhi semua pengguna.

Sebelum menyelami detail tentang cara mengonfigurasi kebijakan, mari kita periksa konfigurasi default.

Frekuensi masuk pengguna

Frekuensi masuk menentukan periode waktu sebelum pengguna diminta untuk masuk lagi saat mencoba mengakses sumber daya.

Konfigurasi default ID Microsoft Entra untuk frekuensi masuk pengguna adalah jendela bergulir selama 90 hari. Meminta kredensial kepada pengguna sering kali tampak seperti hal yang masuk akal untuk dilakukan, tetapi dapat menjadi bumerang: pengguna yang dilatih untuk memasukkan kredensial mereka tanpa berpikir dapat secara tidak sengaja memasok mereka ke permintaan kredensial berbahaya.

Mungkin terdengar mengkhawatirkan untuk tidak meminta pengguna untuk masuk kembali, pada kenyataannya setiap pelanggaran kebijakan IT akan mencabut sesi. Beberapa contoh termasuk (tetapi tidak terbatas pada) perubahan kata sandi, perangkat yang tidak sesuai, atau penonaktifan akun. Anda juga dapat secara eksplisit mencabut sesi pengguna menggunakan Microsoft Graph PowerShell. Konfigurasi default ID Microsoft Entra turun ke "jangan minta pengguna untuk memberikan kredensial mereka jika postur keamanan sesi mereka tidak berubah."

Pengaturan frekuensi masuk berfungsi dengan aplikasi yang menerapkan protokol OAuth2 atau OIDC sesuai dengan standar. Sebagian besar aplikasi asli Microsoft untuk Windows, Mac, dan Mobile termasuk aplikasi web berikut mematuhi pengaturan.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • portal Admin Microsoft 365
  • Exchange Online
  • SharePoint dan OneDrive
  • Klien web Teams
  • Dynamics CRM Online
  • portal Azure

Frekuensi masuk (SIF) berfungsi dengan aplikasi dan aplikasi SAML pihak ketiga yang menerapkan protokol OAuth2 atau OIDC, selama mereka tidak menghilangkan cookie mereka sendiri dan dialihkan kembali ke ID Microsoft Entra untuk autentikasi secara teratur.

Frekuensi masuk pengguna dan autentikasi multifaktor

Frekuensi masuk sebelumnya hanya diterapkan ke autentikasi faktor pertama pada perangkat yang bergabung dengan Microsoft Entra, gabungan hibrid Microsoft Entra, dan Microsoft Entra terdaftar. Tidak ada cara mudah bagi pelanggan kami untuk menerapkan kembali autentikasi multifaktor pada perangkat tersebut. Berdasarkan umpan balik pelanggan, frekuensi masuk juga berlaku untuk MFA.

Diagram yang menunjukkan cara frekuensi Masuk dan MFA bekerja sama.

Frekuensi masuk pengguna dan identitas perangkat

Pada perangkat gabungan microsoft Entra dan Microsoft Entra hybrid joined, membuka kunci perangkat, atau masuk secara interaktif me-refresh Token Refresh Utama (PRT) setiap 4 jam. Tanda waktu refresh terakhir yang dicatat untuk PRT dibandingkan dengan tanda waktu saat ini harus dalam waktu yang dialokasikan dalam kebijakan SIF agar PRT memenuhi SIF dan memberikan akses ke PRT yang memiliki klaim MFA yang ada. Di perangkat terdaftar Microsoft Entra, buka kunci/masuk tidak akan memenuhi kebijakan SIF karena pengguna tidak mengakses perangkat terdaftar Microsoft Entra melalui akun Microsoft Entra. Namun, plugin Microsoft Entra WAM dapat me-refresh PRT selama autentikasi aplikasi asli menggunakan WAM.

Nota

Tanda waktu yang diambil dari masuk pengguna tidak selalu sama dengan tanda waktu terakhir yang direkam dari refresh PRT karena siklus refresh 4 jam. Kasus ketika sama adalah ketika PRT kedaluwarsa dan log-in pengguna me-refreshnya selama 4 jam. Dalam contoh berikut, asumsikan kebijakan SIF diatur ke 1 jam dan PRT di-refresh pada pukul 00.00.

Contoh 1: Saat Anda terus mengerjakan dokumen yang sama di SPO selama satu jam

  • Pada pukul 00.00, pengguna masuk ke perangkat yang bergabung dengan Windows 11 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pengguna terus mengerjakan dokumen yang sama di perangkat mereka selama satu jam.
  • Pada pukul 01.00, pengguna diminta untuk masuk lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka.

Contoh 2: Saat Anda menjeda pekerjaan dengan tugas latar belakang yang berjalan di browser, lalu berinteraksi lagi setelah waktu kebijakan SIF berlalu

  • Pada pukul 00.00, pengguna masuk ke perangkat yang bergabung dengan Windows 11 Microsoft Entra mereka dan mulai mengunggah dokumen ke SharePoint Online.
  • Pada pukul 00:10, pengguna bangun dan mengambil istirahat mengunci perangkat mereka. Unggahan latar belakang berlanjut ke SharePoint Online.
  • Pada pukul 02:45, pengguna kembali dari jeda mereka dan membuka kunci perangkat. Unggahan latar belakang menunjukkan penyelesaian.
  • Pada pukul 02:45, pengguna diminta untuk masuk saat berinteraksi lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka sejak masuk terakhir terjadi pada pukul 00.00.

Jika aplikasi klien (di bawah detail aktivitas) adalah browser, kami menunda penegakan frekuensi masuk peristiwa/kebijakan pada layanan latar belakang hingga interaksi pengguna berikutnya. Pada klien rahasia, penerapan frekuensi masuk pada rincian masuk non-interaktif ditangguhkan hingga masuk interaktif berikutnya.

Contoh 3: Dengan siklus refresh empat jam token refresh utama dari buka kunci

Skenario 1 - Pengguna kembali dalam siklus

  • Pada pukul 00.00, pengguna masuk ke perangkat gabungan Windows 11 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pada pukul 00:30, pengguna bangun dan mengambil istirahat mengunci perangkat mereka.
  • Pada pukul 00:45, pengguna kembali dari jeda mereka dan membuka kunci perangkat.
  • Pada pukul 01.00, pengguna diminta untuk masuk lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka, 1 jam setelah masuk awal.

Skenario 2 - Pengguna mengembalikan siklus luar

  • Pada pukul 00.00, pengguna masuk ke perangkat gabungan Windows 11 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pada pukul 00:30, pengguna bangun dan mengambil istirahat mengunci perangkat mereka.
  • Pada pukul 04:45, pengguna kembali dari jeda mereka dan membuka kunci perangkat.
  • Pada pukul 05:45, pengguna diminta untuk masuk lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka. Sekarang 1 jam setelah PRT disegarkan pada pukul 04:45, dan lebih dari 4 jam sejak masuk awal pukul 00:00.

Memerlukan aatentikasi ulang setiap kali

Ada skenario di mana pelanggan mungkin ingin memerlukan autentikasi baru, setiap kali pengguna melakukan tindakan tertentu seperti:

  • Mengakses aplikasi sensitif.
  • Mengamankan sumber daya di belakang penyedia VPN atau Network as a Service (NaaS).
  • Mengamankan elevasi peran istimewa di PIM.
  • Melindungi masuk pengguna ke komputer Azure Virtual Desktop.
  • Melindungi pengguna berisiko dan proses masuk berisiko yang diidentifikasi oleh Microsoft Entra ID Protection.
  • Mengamankan tindakan pengguna sensitif seperti pendaftaran Microsoft Intune.

Frekuensi masuk diatur ke setiap kali berfungsi paling baik ketika sumber daya memiliki logika kapan klien harus mendapatkan token baru. Sumber daya ini mengalihkan pengguna kembali ke Microsoft Entra-only setelah sesi kedaluwarsa.

Administrator harus membatasi jumlah aplikasi yang mereka terapkan kebijakan yang mengharuskan pengguna untuk mengautentikasi ulang setiap saat. Kami memperhitungkan ke condong jam selama lima menit ketika setiap kali dipilih dalam kebijakan, sehingga kami tidak meminta pengguna lebih sering daripada sekali setiap lima menit. Memicu autentikasi ulang terlalu sering dapat meningkatkan gesekan keamanan ke titik yang menyebabkan pengguna mengalami kelelahan MFA dan membuka pintu untuk upaya pengelabuan. Aplikasi web biasanya memberikan pengalaman yang kurang mengganggu daripada rekan-rekan desktop mereka ketika memerlukan aatentikasi ulang setiap kali diaktifkan.

  • Untuk aplikasi di tumpukan Microsoft 365, sebaiknya gunakan frekuensi masuk pengguna berbasis waktu untuk pengalaman pengguna yang lebih baik.
  • Untuk portal Azure dan pusat admin Microsoft Entra, sebaiknya gunakan frekuensi masuk pengguna yang di-bass waktu atau untuk memerlukan autentikasi ulang pada aktivasi PIM menggunakan konteks autentikasi untuk pengalaman pengguna yang lebih baik.

Skenario yang didukung secara umum tersedia:

  • Memerlukan autentikasi ulang pengguna selama pendaftaran perangkat Intune, terlepas dari status MFA mereka saat ini.
  • Memerlukan autentikasi ulang pengguna untuk pengguna berisiko dengan kontrol pemberian perubahan kata sandi yang diperlukan.
  • Memerlukan autentikasi ulang pengguna untuk masuk berisiko dengan kontrol pemberian autentikasi multifaktor yang diperlukan.

Kemampuan pratinjau publik Februari 2024 memungkinkan administrator untuk mewajibkan autentikasi dengan:

Saat administrator memilih Setiap kali, diperlukan aautotikasi ulang penuh saat sesi dievaluasi.

Persistensi sesi penjelajahan

Sesi browser persisten memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka.

Default ID Microsoft Entra untuk persistensi sesi browser memungkinkan pengguna di perangkat pribadi untuk memilih apakah akan mempertahankan sesi dengan menampilkan permintaan "Tetap masuk?" setelah autentikasi berhasil. Jika persistensi browser dikonfigurasi di Layanan Federasi Direktori Aktif menggunakan panduan dalam artikel pengaturan akses menyeluruh Layanan Federasi Direktori Aktif, kami mematuhi kebijakan tersebut dan mempertahankan sesi Microsoft Entra juga. Anda juga dapat mengonfigurasi apakah pengguna di penyewa Anda melihat perintah "Tetap masuk?" dengan mengubah pengaturan yang sesuai di panel merek perusahaan.

Di browser persisten, cookie tetap disimpan di perangkat pengguna bahkan setelah pengguna menutup browser. Cookie ini dapat memiliki akses ke artefak Microsoft Entra, dan artefak tersebut dapat digunakan sampai token kedaluwarsa terlepas dari kebijakan Akses Bersyarkat yang ditempatkan pada lingkungan sumber daya. Jadi, penembolokan token dapat melanggar kebijakan keamanan yang diinginkan secara langsung untuk autentikasi. Meskipun mungkin tampak nyaman untuk menyimpan token di luar sesi saat ini, melakukannya dapat menciptakan kerentanan keamanan dengan memungkinkan akses tidak sah ke artefak Microsoft Entra.

Mengonfigurasi kontrol sesi autentikasi

Akses Bersyarat adalah kemampuan Microsoft Entra ID P1 atau P2 dan memerlukan lisensi premium. Jika Anda ingin mempelajari selengkapnya tentang Akses Bersyarah, lihat Apa itu Akses Bersyar di ID Microsoft Entra?

Peringatan

Jika Anda menggunakan fitur masa pakai token yang dapat dikonfigurasi saat ini dalam pratinjau publik, harap dicatat bahwa kami tidak mendukung pembuatan dua kebijakan berbeda untuk kombinasi pengguna atau aplikasi yang sama: satu dengan fitur ini dan satu lagi dengan fitur masa pakai token yang dapat dikonfigurasi. Microsoft menghentikan fitur masa pakai token yang dapat dikonfigurasi untuk masa pakai token refresh dan sesi pada 30 Januari 2021 dan menggantinya dengan fitur manajemen sesi autentikasi Akses Bersyariah.

Sebelum mengaktifkan Frekuensi Masuk, pastikan pengaturan aautentikasi ulang lainnya dinonaktifkan di penyewa Anda. Jika "Ingat MFA pada perangkat tepercaya" diaktifkan, pastikan untuk menonaktifkannya sebelum menggunakan frekuensi Masuk, karena menggunakan kedua pengaturan ini bersama-sama dapat menyebabkan meminta pengguna secara tidak terduga. Untuk mempelajari selengkapnya tentang perintah autentikasi ulang dan masa pakai sesi, lihat artikel, Mengoptimalkan permintaan autentikasi ulang dan memahami masa pakai sesi untuk autentikasi multifaktor Microsoft Entra.

Langkah berikutnya