Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ikhtisar
Kebijakan masa hidup sesi adaptif Akses Bersyarat memungkinkan organisasi membatasi sesi autentikasi dalam implementasi yang kompleks. Skenario ini meliputi:
- Akses sumber daya dari perangkat yang tidak dikelola atau dibagikan
- Akses ke informasi sensitif dari jaringan eksternal
- Pengguna yang berpengaruh besar
- Aplikasi bisnis penting
Akses Bersyarat menyediakan kontrol kebijakan masa aktif sesi adaptif, sehingga Anda dapat membuat kebijakan yang menargetkan kasus penggunaan tertentu dalam organisasi Anda tanpa mempengaruhi semua pengguna.
Sebelum menjelajahi cara mengonfigurasi kebijakan, periksa konfigurasi default.
Frekuensi masuk pengguna
Frekuensi masuk menentukan berapa lama pengguna dapat mengakses sumber daya sebelum diminta untuk masuk lagi.
Konfigurasi default ID Microsoft Entra untuk frekuensi masuk pengguna adalah jendela bergulir selama 90 hari. Mungkin tampak masuk akal untuk sering meminta kredensial kepada pengguna, tetapi pendekatan ini dapat menjadi bumerang. Pengguna yang biasanya memasukkan kredensial tanpa berpikir mungkin tanpa sengaja memberikan mereka kepada pesan berbahaya.
Tidak meminta pengguna untuk masuk kembali mungkin tampak mengkhawatirkan, tetapi pelanggaran kebijakan TI apa pun mencabut sesi. Contohnya termasuk perubahan kata sandi, perangkat yang tidak patuh, atau akun yang dinonaktifkan. Anda juga dapat secara eksplisit mencabut sesi pengguna menggunakan Microsoft Graph PowerShell. Konfigurasi default ID Microsoft Entra adalah: jangan minta pengguna untuk memberikan kredensial mereka jika postur keamanan sesi mereka tidak berubah.
Pengaturan frekuensi masuk berfungsi dengan aplikasi yang menerapkan protokol OAuth2 atau OIDC sesuai dengan standar. Sebagian besar aplikasi asli Microsoft, seperti untuk Windows, Mac, dan Mobile termasuk aplikasi web berikut mematuhi pengaturan.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- Portal Admin Microsoft 365
- Pertukaran Online
- SharePoint dan OneDrive
- Aplikasi web Teams
- Dinamika CRM Online
- portal Azure
Frekuensi masuk (SIF) berfungsi dengan aplikasi dan aplikasi SAML non-Microsoft yang menggunakan protokol OAuth2 atau OIDC, selama mereka tidak menghilangkan cookie mereka sendiri dan secara teratur mengalihkan kembali ke ID Microsoft Entra untuk autentikasi.
Frekuensi masuk pengguna dan autentikasi multifaktor
Sebelumnya, frekuensi masuk hanya diterapkan pada autentikasi faktor pertama di perangkat yang terhubung dengan Microsoft Entra, terhubung secara hibrid, dan yang terdaftar. Anda tidak dapat dengan mudah memperkuat autentikasi multifaktor pada perangkat tersebut. Berdasarkan umpan balik pelanggan, frekuensi masuk sekarang berlaku untuk autentikasi multifaktor (MFA) juga.
Frekuensi masuk pengguna dan identitas perangkat
Pada perangkat yang tergabung dengan Microsoft Entra dan perangkat yang tergabung secara hibrid, membuka kunci perangkat atau masuk secara interaktif akan me-refresh Token Penyegar Utama (PRT) setiap empat jam. Tanda waktu refresh terakhir yang dicatat untuk PRT dibandingkan dengan tanda waktu saat ini harus dalam waktu yang dialokasikan dalam kebijakan SIF agar PRT memenuhi SIF dan memberikan akses ke PRT yang memiliki klaim MFA yang ada. Di perangkat terdaftar Microsoft Entra, membuka kunci atau masuk tidak memenuhi kebijakan SIF karena pengguna tidak mengakses perangkat terdaftar Microsoft Entra melalui akun Microsoft Entra. Namun, plugin Microsoft Entra WAM dapat me-refresh PRT selama autentikasi aplikasi asli dengan menggunakan WAM.
Catatan
Tanda waktu yang diambil saat pengguna masuk tidak selalu sama dengan tanda waktu terakhir yang direkam dari refresh PRT karena siklus penyegaran setiap empat jam. Situasi ketika ini terjadi adalah saat PRT kedaluwarsa dan masuk pengguna memperbaruinya selama empat jam. Dalam contoh berikut, anggap kebijakan SIF ditetapkan selama satu jam dan PRT diperbarui pada pukul 00.00.
Contoh 1: Saat Anda terus mengerjakan dokumen yang sama di SPO selama satu jam
- Pada pukul 00.00, pengguna masuk ke perangkat yang bergabung dengan Windows 11 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
- Pengguna terus mengerjakan dokumen yang sama di perangkat mereka selama satu jam.
- Pada pukul 01.00, pengguna diminta untuk masuk lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka.
Contoh 2: Saat Anda menjeda pekerjaan dengan tugas latar belakang yang berjalan di browser, lalu berinteraksi lagi setelah waktu kebijakan SIF berlalu
- Pada pukul 00.00, pengguna masuk ke perangkat yang bergabung dengan Windows 11 Microsoft Entra mereka dan mulai mengunggah dokumen ke SharePoint Online.
- Pada pukul 00:10, pengguna mengunci perangkat mereka. Unggahan latar belakang berlanjut ke SharePoint Online.
- Pada pukul 02:45, pengguna membuka kunci perangkat. Unggahan latar belakang menunjukkan selesai.
- Pada pukul 02:45, pengguna diminta untuk masuk saat berinteraksi lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka sejak masuk terakhir terjadi pada pukul 00.00.
Jika aplikasi klien (di bawah detail aktivitas) adalah browser, sistem menunda penegakan aturan frekuensi login terhadap peristiwa dan kebijakan pada layanan latar belakang hingga interaksi pengguna berikutnya. Pada klien rahasia, sistem menuangkan penerapan frekuensi masuk pada masuk non-interaktif hingga masuk interaktif berikutnya.
Contoh 3: Dengan siklus pembaruan empat jam token pembaruan utama setelah buka kunci
Skenario 1 - Pengguna kembali dalam siklus
- Pada pukul 00.00, pengguna masuk ke perangkat gabungan Windows 11 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
- Pada pukul 00.30, pengguna mengunci perangkat mereka.
- Pada pukul 00:45, pengguna membuka kunci perangkat.
- Pada pukul 01.00, pengguna diminta untuk masuk lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka, satu jam setelah masuk awal.
Skenario 2 - Pengguna kembali di luar siklus
- Pada pukul 00.00, pengguna masuk ke perangkat gabungan Windows 11 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
- Pada pukul 00.30, pengguna mengunci perangkat mereka.
- Pada pukul 04:45, pengguna membuka kunci perangkat.
- Pada pukul 05:45, pengguna diminta untuk masuk lagi. Perintah ini didasarkan pada persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka. Sekarang satu jam setelah PRT disegarkan pada pukul 04:45, dan lebih dari empat jam sejak masuk awal pada pukul 00:00.
Mewajibkan autentikasi ulang setiap saat
Dalam beberapa skenario, Anda mungkin ingin memerlukan autentikasi baru setiap kali pengguna melakukan tindakan tertentu, seperti:
- Mengakses aplikasi sensitif.
- Mengamankan sumber daya di belakang penyedia VPN atau Network as a Service (NaaS).
- Mengamankan kenaikan peran istimewa di PIM.
- Melindungi masuk pengguna ke komputer Azure Virtual Desktop.
- Melindungi pengguna berisiko dan proses masuk berisiko yang diidentifikasi oleh Microsoft Entra ID Protection.
- Mengamankan tindakan pengguna sensitif seperti pendaftaran Microsoft Intune.
Saat Anda memilih Setiap kali, kebijakan memerlukan aauthentikasi ulang penuh saat sesi dievaluasi. Persyaratan ini berarti bahwa jika pengguna menutup dan membuka browser mereka selama masa pakai sesi, mereka mungkin tidak diminta untuk autentikasi ulang. Mengatur frekuensi masuk ke setiap kali berfungsi paling baik ketika sumber daya memiliki logika untuk mengidentifikasi kapan klien harus mendapatkan token baru. Sumber daya ini mengalihkan pengguna kembali ke Microsoft Entra hanya setelah sesi kedaluwarsa.
Batasi jumlah aplikasi yang memberlakukan kebijakan yang mengharuskan pengguna untuk mengautentikasi ulang setiap saat. Memicu autentikasi ulang terlalu sering dapat meningkatkan gesekan keamanan ke titik yang menyebabkan pengguna mengalami kelelahan MFA dan membuka pintu untuk phishing. Aplikasi web biasanya memberikan pengalaman yang kurang mengganggu daripada rekan-rekan desktop mereka ketika memerlukan aatentikasi ulang setiap kali diaktifkan. Kebijakan mempertimbangkan perbedaan waktu lima menit setiap kali waktu dipilih, sehingga tidak meminta pengguna lebih sering dari sekali setiap lima menit.
Peringatan
Menggunakan frekuensi masuk untuk memerlukan autentikasi ulang pada setiap kali masuk, tanpa autentikasi multifaktor, dapat mengakibatkan pengguna Anda mungkin mengalami berulang kali proses masuk.
- Untuk aplikasi di tumpukan Microsoft 365, gunakan frekuensi masuk pengguna berbasis waktu untuk pengalaman pengguna yang lebih baik.
- Untuk portal Microsoft Azure dan pusat admin Microsoft Entra, gunakan frekuensi masuk pengguna berbasis waktu atau memerlukan autentikasi ulang pada aktivasi PIM dengan menggunakan konteks autentikasi untuk pengalaman pengguna yang lebih baik.
Ketahanan sesi penelusuran
Sesi browser persisten memungkinkan pengguna tetap masuk setelah menutup dan membuka kembali jendela browser mereka.
Default ID Microsoft Entra untuk persistensi sesi browser memungkinkan pengguna di perangkat pribadi memutuskan apakah akan mempertahankan sesi dengan menampilkan permintaan Tetap masuk? setelah autentikasi berhasil. Jika Anda menyiapkan persistensi browser di AD FS dengan mengikuti panduan dalam pengaturan single sign-on AD FS, kebijakan akan diikuti, dan sesi Microsoft Entra juga dipertahankan. Anda mengonfigurasi apakah pengguna di penyewa Anda melihat perintah Tetap masuk? dengan mengubah pengaturan yang sesuai di panel merek perusahaan.
Di browser persisten, cookie tetap disimpan di perangkat pengguna bahkan setelah browser ditutup. Cookie ini dapat mengakses artefak Microsoft Entra, yang tetap dapat digunakan sampai token kedaluwarsa, terlepas dari kebijakan Akses Bersyarat yang diterapkan ke lingkungan sumber daya. Jadi, penyimpanan sementara token dapat bertentangan secara langsung dengan kebijakan keamanan yang telah ditetapkan untuk autentikasi. Menyimpan token di luar sesi saat ini mungkin tampak nyaman, tetapi dapat menciptakan kerentanan keamanan dengan memungkinkan akses tidak sah ke artefak Microsoft Entra.
Mengonfigurasi kontrol sesi autentikasi
Akses Bersyarat adalah kemampuan Microsoft Entra ID P1 atau P2 yang memerlukan lisensi premium. Untuk informasi selengkapnya tentang Akses Kondisional, lihatlah Apa itu Akses Kondisional di ID Microsoft Entra?.
Peringatan
Jika Anda menggunakan fitur masa pakai token yang dapat dikonfigurasi saat ini dalam pratinjau publik, jangan membuat dua kebijakan berbeda untuk kombinasi pengguna atau aplikasi yang sama: satu dengan fitur ini dan yang lain dengan fitur masa pakai token yang dapat dikonfigurasi. Microsoft menghentikan fitur masa pakai token yang dapat dikonfigurasi untuk masa pakai token refresh dan sesi pada 30 Januari 2021, dan menggantinya dengan fitur pengelolaan sesi autentikasi Akses Bersyarat.
Sebelum mengaktifkan frekuensi masuk, pastikan pengaturan aautentikasi ulang lainnya dinonaktifkan di penyewa Anda. Jika "Ingat MFA pada perangkat tepercaya" diaktifkan, nonaktifkan sebelum menggunakan pengaturan frekuensi masuk, karena penggunaan kedua pengaturan ini secara bersamaan dapat menyebabkan permintaan yang tidak terduga kepada pengguna. Untuk informasi selengkapnya tentang perintah autentikasi ulang dan masa pakai sesi, lihat Mengoptimalkan permintaan autentikasi ulang dan memahami masa pakai sesi untuk autentikasi multifaktor Microsoft Entra.