Menerapkan manajemen sesi

  • 3 menit

Dalam penyebaran yang kompleks, organisasi mungkin memiliki kebutuhan untuk membatasi sesi autentikasi. Beberapa skenario mungkin meliputi:

  • Akses sumber daya dari perangkat yang tidak dikelola atau dibagikan.
  • Akses ke informasi sensitif dari jaringan eksternal.
  • Prioritas paling utama atau pengguna eksekutif.
  • Aplikasi bisnis penting.

Kontrol Akses Bersyarat memungkinkan Anda membuat kebijakan yang menargetkan kasus penggunaan tertentu dalam organisasi Anda tanpa memengaruhi semua pengguna.

Sebelum menyelami detail tentang cara mengonfigurasi kebijakan, mari kita periksa konfigurasi default.

Frekuensi masuk pengguna

Frekuensi masuk menentukan periode waktu sebelum pengguna diminta untuk masuk lagi saat mencoba mengakses sumber daya.

Konfigurasi default ID Microsoft Entra untuk frekuensi masuk pengguna adalah jendela bergulir selama 90 hari. Meminta info masuk kepada pengguna sering kali tampak seperti hal yang masuk akal untuk dilakukan, tetapi dapat menjadi masalah nantinya: Pengguna yang dilatih untuk memasukkan info masuk mereka tanpa berpikir dapat secara tidak sengaja mengarahkan mereka ke permintaan info masuk yang berbahaya.

Mungkin terdengar mengkhawatirkan untuk tidak meminta pengguna masuk kembali; pada kenyataannya setiap pelanggaran kebijakan TI akan mencabut sesi. Beberapa contoh termasuk perubahan kata sandi, perangkat yang tidak sesuai, atau penonaktifan akun. Anda juga dapat secara eksplisit mencabut sesi pengguna menggunakan PowerShell. Konfigurasi default ID Microsoft Entra turun ke "jangan minta pengguna untuk memberikan kredensial mereka jika postur keamanan sesi mereka tidak berubah."

Pengaturan frekuensi masuk berfungsi dengan aplikasi yang telah menerapkan protokol OAUTH2 atau OIDC sesuai standar. Sebagian besar aplikasi asli Microsoft untuk Windows, Mac, dan seluler, termasuk aplikasi web berikut, mematuhi pengaturan.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal admin Microsoft 365
  • Exchange Online
  • SharePoint dan OneDrive
  • Klien web Teams
  • Dynamics CRM Online
  • Portal Azure

Pengaturan frekuensi masuk juga berfungsi dengan aplikasi SAML, selama mereka tidak menghilangkan cookie mereka sendiri dan dialihkan kembali ke ID Microsoft Entra untuk autentikasi secara teratur.

Frekuensi masuk pengguna dan autentikasi multifaktor

Frekuensi masuk sebelumnya hanya diterapkan ke autentikasi faktor pertama pada perangkat yang bergabung dengan Microsoft Entra, Gabungan Hybrid Microsoft Entra, dan Microsoft Entra terdaftar. Tidak ada cara mudah bagi pelanggan kami untuk menerapkan kembali autentikasi multifaktor (MFA) pada perangkat tersebut. Berdasarkan tanggapan pelanggan, frekuensi masuk juga akan berlaku untuk MFA.

Diagram proses masuk autentikasi multifaktor dengan frekuensi masuk.

Frekuensi masuk pengguna dan identitas perangkat

Jika Anda telah bergabung dengan Microsoft Entra, gabungan Microsoft Entra hibrid, atau perangkat terdaftar Microsoft Entra, ketika pengguna membuka kunci perangkat mereka atau masuk secara interaktif, peristiwa ini juga akan memenuhi kebijakan frekuensi masuk. Dalam dua contoh berikut, frekuensi masuk pengguna diatur ke satu jam:

Contoh 1:

  • Pada pukul 00.00, pengguna masuk ke perangkat gabungan Windows 10 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pengguna terus mengerjakan dokumen yang sama di perangkat mereka selama satu jam.
  • Pada pukul 01:00, pengguna diminta untuk masuk lagi berdasarkan persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh administrator mereka.

Contoh 2:

  • Pada pukul 00.00, pengguna masuk ke perangkat gabungan Windows 10 Microsoft Entra mereka dan mulai mengerjakan dokumen yang disimpan di SharePoint Online.
  • Pada 00:30, pengguna bangun dan istirahat, mengunci perangkat mereka.
  • Pada pukul 00:45, pengguna kembali dari istirahat mereka dan membuka kunci perangkat.
  • Pada pukul 01:45, pengguna diminta untuk masuk lagi berdasarkan persyaratan frekuensi masuk dalam kebijakan Akses Bersyarat yang dikonfigurasi oleh admin mereka sejak masuk terakhir terjadi pada pukul 00.45.

Kegigihan sesi penjelajahan

Sesi browser tetap memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka. Default ID Microsoft Entra untuk persistensi sesi browser memungkinkan pengguna di perangkat pribadi untuk memilih apakah akan mempertahankan sesi dengan menampilkan "Tetap masuk?" prompt setelah autentikasi berhasil.

Validasi

Gunakan alat Bagaimana-Jika untuk menyimulasikan proses masuk dari pengguna ke aplikasi yang dituju dan kondisi lain berdasarkan cara Anda mengonfigurasi kebijakan. Kontrol manajemen sesi autentikasi muncul dalam hasil alat.

Cuplikan layar dari hasil alat Akses Bersyarat Bagaimana Jika.

Penerapan kebijakan

Untuk memastikan bahwa kebijakan Anda bekerja seperti yang diharapkan, praktik terbaik yang direkomendasikan adalah mengujinya sebelum meluncurkannya ke produksi. Idealnya, gunakan penyewa pengujian untuk memverifikasi apakah kebijakan baru Anda berfungsi sebagaimana mestinya.