Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ikhtisar
Jika layanan autentikasi utama tidak tersedia, Layanan Autentikasi Microsoft Entra Backup secara otomatis mengeluarkan token akses ke aplikasi untuk sesi yang ada. Fungsionalitas ini secara signifikan meningkatkan ketahanan Microsoft Entra karena autentikasi ulang untuk sesi yang ada mencakup lebih dari 90% dari seluruh autentikasi ke Microsoft Entra ID. Layanan Autentikasi Cadangan tidak mendukung sesi atau autentikasi baru oleh pengguna tamu.
Untuk autentikasi yang dilindungi oleh Akses Bersyarat, kebijakan dievaluasi ulang sebelum token akses dikeluarkan untuk menentukan:
- Kebijakan Akses Bersyarat mana yang diterapkan?
- Untuk kebijakan yang berlaku, apakah kontrol yang diperlukan terpenuhi?
Selama pemadaman, Layanan Autentikasi Pencadangan tidak dapat mengevaluasi semua kondisi secara real time untuk menentukan apakah kebijakan Akses Bersyarah berlaku. Default resiliensi Conditional Access adalah kontrol sesi baru yang memungkinkan admin memutuskan antara:
- Apakah akan memblokir autentikasi selama pemadaman setiap kali kondisi kebijakan tidak dapat dievaluasi secara real-time.
- Izinkan kebijakan dievaluasi menggunakan data yang dikumpulkan di awal sesi pengguna.
Penting
Pengaturan default ketahanan diaktifkan secara otomatis untuk semua kebijakan baru dan yang berlaku. Microsoft merekomendasikan agar default ketahanan tetap diaktifkan untuk mengurangi dampak pemadaman. Para admin dapat menonaktifkan pengaturan resiliensi untuk masing-masing kebijakan Akses Kondisional.
Bagaimana cara kerjanya
Selama pemadaman, Layanan Autentikasi Cadangan menerbitkan kembali token akses untuk sesi tertentu:
| Deskripsi sesi | Akses diberikan |
|---|---|
| Sesi baru | Tidak |
| Sesi yang ada – Tidak ada kebijakan Akses Bersyarat yang dikonfigurasi | Ya |
| Sesi yang ada – Kebijakan Akses Bersyarat dikonfigurasi dan kontrol yang diperlukan, seperti MFA, sebelumnya telah dipenuhi | Ya |
| Sesi yang ada – Kebijakan Akses Bersyarat dikonfigurasi dan kontrol yang diperlukan, seperti MFA, sebelumnya tidak dipenuhi | Ditentukan oleh pengaturan default ketahanan |
Ketika sesi yang ada kedaluwarsa selama gangguan Microsoft Entra, permintaan token akses baru dialihkan ke Layanan Autentikasi Cadangan, dan semua kebijakan akses bersyarat dievaluasi kembali. Jika tidak ada kebijakan Akses Bersyarat, atau jika semua kontrol yang diperlukan, seperti MFA, terpenuhi di awal sesi, Layanan Autentikasi Cadangan mengeluarkan token akses baru untuk memperpanjang sesi.
Jika kontrol yang diperlukan dari suatu kebijakan sebelumnya tidak terpenuhi, kebijakan tersebut dievaluasi kembali untuk menentukan apakah akses harus diberikan atau ditolak. Tidak semua kondisi dapat dievaluasi kembali secara real time selama pemadaman. Kondisi ini meliputi:
- Keanggotaan grup
- Peran Keanggotaan
- Risiko saat masuk
- Risiko pengguna
- Lokasi negara/wilayah (menyelesaikan koordinat IP atau GPS baru)
- Kekuatan autentikasi
Saat aktif, Layanan Autentikasi Cadangan tidak mengevaluasi metode autentikasi yang diperlukan oleh kekuatan autentikasi. Jika Anda menggunakan metode autentikasi non-phishing-resistant sebelum pemadaman, selama pemadaman, Anda tidak diminta untuk autentikasi multifaktor meskipun mengakses sumber daya yang dilindungi oleh kebijakan Akses Bersyarkat dengan kekuatan autentikasi tahan phishing.
Pengaturan ketahanan diaktifkan secara default
Ketika default ketahanan diaktifkan, Layanan Autentikasi Cadangan menggunakan data yang dikumpulkan pada awal sesi untuk mengevaluasi apakah kebijakan berlaku tanpa data real-time. Secara default, default ketahanan diaktifkan untuk semua kebijakan. Anda dapat menonaktifkan pengaturan untuk kebijakan individual saat evaluasi kebijakan real time diperlukan untuk mengakses aplikasi sensitif selama pemadaman.
Contoh: Kebijakan dengan default ketahanan yang diaktifkan mengharuskan semua pengguna menetapkan peran istimewa yang mengakses portal Admin Microsoft untuk melakukan MFA. Sebelum pemadaman, jika pengguna tanpa peran administrator mengakses portal Microsoft Azure, kebijakan tidak berlaku, dan pengguna mendapatkan akses tanpa perintah MFA. Selama pemadaman, Layanan Autentikasi Cadangan merevalidasi kebijakan untuk memutuskan apakah pengguna memerlukan permintaan MFA. Karena Layanan Autentikasi Cadangan tidak dapat mengevaluasi keanggotaan peran secara real time, layanan ini menggunakan data yang dikumpulkan pada awal sesi pengguna untuk memutuskan bahwa kebijakan masih tidak berlaku. Akibatnya, pengguna diberikan akses tanpa diminta memasukkan MFA.
Pengaturan ketahanan dinonaktifkan
Saat default ketahanan dinonaktifkan, Layanan Autentikasi Cadangan tidak menggunakan data yang dikumpulkan di awal sesi untuk mengevaluasi kondisi. Selama pemadaman, jika kondisi kebijakan tidak dapat dievaluasi secara real time, akses ditolak.
Contoh: Kebijakan dengan default ketahanan yang dinonaktifkan mengharuskan semua pengguna yang diberikan peran istimewa yang mengakses portal Admin Microsoft untuk menyelesaikan proses MFA. Sebelum pemadaman, jika pengguna yang tidak diberi peran administrator mengakses portal Microsoft Azure, kebijakan tidak berlaku, dan pengguna diberikan akses tanpa diminta untuk MFA. Selama pemadaman, Layanan Autentikasi Cadangan akan mengevaluasi kembali kebijakan untuk menentukan apakah pengguna harus diminta untuk MFA. Karena Layanan Autentikasi Cadangan tidak dapat mengevaluasi keanggotaan peran secara real time, layanan ini memblokir pengguna untuk mengakses portal Microsoft Azure.
Peringatan
Menonaktifkan pengaturan default resiliensi untuk kebijakan yang diterapkan pada grup atau peran akan mengurangi resiliensi bagi semua pengguna dalam penyewa. Karena keanggotaan grup dan peran tidak dapat dievaluasi secara real time selama pemadaman, bahkan pengguna yang tidak termasuk dalam grup atau peran dalam penetapan kebijakan ditolak akses ke aplikasi dalam cakupan kebijakan. Untuk menghindari pengurangan ketahanan bagi semua pengguna yang tidak berada dalam cakupan kebijakan, terapkan kebijakan ke pengguna individual, bukan grup atau peran.
Menguji pengaturan ketahanan default
Anda tidak dapat melakukan dry run menggunakan Layanan Autentikasi Cadangan atau mensimulasikan hasil kebijakan dengan default ketahanan diaktifkan atau dinonaktifkan. Microsoft Entra menjalankan pengujian bulanan menggunakan Layanan Autentikasi Cadangan. Cakupan pengujian ini bervariasi. Kami tidak menguji setiap penyewa setiap bulan. Untuk melihat apakah token dikeluarkan melalui Layanan Autentikasi Cadangan dalam tenant Anda, Anda dapat menggunakan log aktivitas masuk. Di
Mengonfigurasi default ketahanan
Siapkan default resiliensi Akses Bersyarat menggunakan pusat admin Microsoft Entra, Microsoft Graph API, atau PowerShell.
pusat admin Microsoft Entra
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
- Telusuri Entra ID>Kebijakan Akses Bersyarat>.
- Buat kebijakan baru atau pilih kebijakan yang sudah ada.
- Buka pengaturan kontrol sesi.
- Pilih Nonaktifkan default ketahanan untuk menonaktifkan pengaturan untuk kebijakan ini. Masuk dalam cakupan kebijakan diblokir selama pemadaman Microsoft Entra.
- Simpan perubahan pada kebijakan.
API Microsoft Graph
Kelola pengaturan ketahanan standar untuk kebijakan Conditional Access Anda menggunakan MS Graph API dan Microsoft Graph Explorer.
URL Sampel Permintaan:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Isi permintaan sampel:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Sebarkan operasi patch ini menggunakan Microsoft PowerShell setelah menginstal modul Microsoft.Graph.Authentication. Instal modul ini dengan membuka prompt PowerShell yang ditingkatkan dan berjalan
Install-Module Microsoft.Graph.Authentication
Sambungkan ke Microsoft Graph dan minta cakupan yang diperlukan:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Masuk saat diminta.
Buat isi JSON untuk permintaan PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Jalankan operasi patch:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Rekomendasi
Microsoft merekomendasikan untuk mengaktifkan pengaturan default ketahanan. Meskipun tidak ada masalah keamanan langsung, pertimbangkan untuk membiarkan Layanan Autentikasi Cadangan mengevaluasi kebijakan Akses Bersyarat selama pemadaman dengan menggunakan data yang dikumpulkan di awal sesi, bukan secara real time.
Ada kemungkinan peran pengguna atau keanggotaan grup berubah sejak awal sesi. Dengan Evaluasi Akses Berkelanjutan (CAE), token akses tetap berlaku selama 24 jam tetapi tunduk pada peristiwa pencabutan instan. Layanan Autentikasi Cadangan mengikuti peristiwa pencabutan CAE yang sama. Jika token pengguna dicabut sebagai bagian dari CAE, pengguna tidak dapat masuk selama pemadaman. Ketika default ketangguhan diaktifkan, sesi yang kedaluwarsa selama gangguan layanan diperpanjang. Sesi diperpanjang bahkan jika kebijakan dikonfigurasi dengan kontrol sesi untuk memberlakukan frekuensi masuk ke sistem. Misalnya, kebijakan dengan default ketahanan yang diaktifkan mungkin mengharuskan pengguna mengotoris ulang setiap jam untuk mengakses situs SharePoint. Selama pemadaman, sesi pengguna diperpanjang meskipun ID Microsoft Entra mungkin tidak tersedia untuk mengautentikasi ulang pengguna.
Langkah berikutnya
- Pelajari selengkapnya tentang Evaluasi Akses Berkelanjutan (CAE)