Share via

Voorwaardelijke toegang: standaardinstellingen voor tolerantie

  • Artikel

Als er een storing is opgetreden in de primaire verificatieservice, kan de Microsoft Entra Backup Authentication Service automatisch toegangstokens uitgeven aan toepassingen voor bestaande sessies. Deze functionaliteit verhoogt de tolerantie van Microsoft Entra aanzienlijk, omdat verificaties voor bestaande sessies meer dan 90% van de verificaties voor Microsoft Entra-id hebben. De Backup Authentication Service biedt geen ondersteuning voor nieuwe sessies of verificaties door gastgebruikers.

Voor verificaties die worden beveiligd door voorwaardelijke toegang, worden beleidsregels opnieuw geëvalueerd voordat toegangstokens worden uitgegeven om te bepalen:

  1. Welk beleid voor voorwaardelijke toegang is van toepassing?
  2. Zijn de vereiste besturingselementen voldaan voor beleidsregels die wel van toepassing zijn?

Tijdens een storing kunnen niet alle voorwaarden in realtime worden geëvalueerd door de Backup Authentication Service om te bepalen of een beleid voor voorwaardelijke toegang van toepassing moet zijn. De standaardinstellingen voor tolerantie voor voorwaardelijke toegang zijn een nieuw sessiebeheer waarmee beheerders kunnen beslissen tussen:

  • Of verificaties tijdens een storing moeten worden geblokkeerd wanneer een beleidsvoorwaarde niet in realtime kan worden geëvalueerd.
  • Toestaan dat beleidsregels worden geëvalueerd met behulp van gegevens die zijn verzameld aan het begin van de sessie van de gebruiker.

Belangrijk

Standaardwaarden voor tolerantie worden automatisch ingeschakeld voor alle nieuwe en bestaande beleidsregels. Microsoft raadt ten zeerste aan de standaardwaarden voor tolerantie ingeschakeld te laten om de gevolgen van een storing te beperken. Beheer s kunnen de standaardinstellingen voor tolerantie uitschakelen voor afzonderlijke beleidsregels voor voorwaardelijke toegang.

Hoe werkt het?

Tijdens een storing worden toegangstokens voor bepaalde sessies automatisch opnieuw uitgegeven door de Backup Authentication-service:

Beschrijving van sessie Toegang verleend
Nieuwe sessie Nee
Bestaande sessie: er zijn geen beleidsregels voor voorwaardelijke toegang geconfigureerd Ja
Bestaande sessie: beleid voor voorwaardelijke toegang geconfigureerd en de vereiste besturingselementen, zoals MFA, waren eerder tevreden Ja
Bestaande sessie: beleid voor voorwaardelijke toegang geconfigureerd en de vereiste besturingselementen, zoals MFA, waren niet eerder tevreden Bepaald door de standaardinstellingen voor tolerantie

Wanneer een bestaande sessie verloopt tijdens een Microsoft Entra-storing, wordt de aanvraag voor een nieuw toegangstoken doorgestuurd naar de Backup Authentication Service en worden alle beleidsregels voor voorwaardelijke toegang opnieuw geëvalueerd. Als er geen beleid voor voorwaardelijke toegang of alle vereiste besturingselementen, zoals MFA, eerder aan het begin van de sessie zijn voldaan, geeft de Backup Authentication Service een nieuw toegangstoken uit om de sessie uit te breiden.

Als niet eerder aan de vereiste besturingselementen van een beleid werd voldaan, wordt het beleid opnieuw geëvalueerd om te bepalen of toegang moet worden verleend of geweigerd. Niet alle voorwaarden kunnen echter realtime opnieuw worden geëvalueerd tijdens een storing. Deze omstandigheden zijn onder andere:

  • Groepslidmaatschap
  • Rollidmaatschap
  • Aanmeldingsrisico
  • Gebruikersrisico
  • Land-/regiolocatie (nieuwe IP- of GPS-coördinaten omzetten)
  • Sterke verificatie

Wanneer deze actief is, evalueert de Backup Authentication Service geen verificatiemethoden die vereist zijn voor verificatiesterkten. Als u vóór een storing een niet-phishingbestendige verificatiemethode hebt gebruikt, wordt u tijdens een storing niet gevraagd om meervoudige verificatie, zelfs niet als u toegang hebt tot een resource die wordt beveiligd door een beleid voor voorwaardelijke toegang met een phishingbestendige verificatiesterkte.

Standaardinstellingen voor tolerantie ingeschakeld

Wanneer de standaardinstellingen voor tolerantie zijn ingeschakeld, gebruikt de Backup Authentication Service gegevens die aan het begin van de sessie zijn verzameld om te evalueren of het beleid moet worden toegepast bij afwezigheid van realtime gegevens. Standaard is voor alle beleidsregels de standaardinstellingen voor tolerantie ingeschakeld. De instelling kan worden uitgeschakeld voor afzonderlijke beleidsregels wanneer realtime beleidsevaluatie is vereist voor toegang tot gevoelige toepassingen tijdens een storing.

Voorbeeld: Voor een beleid waarvoor standaardinstellingen voor tolerantie zijn ingeschakeld, moeten alle gebruikers een bevoorrechte rol hebben toegewezen die toegang heeft tot Microsoft Beheer-portals om MFA uit te voeren. Als er vóór een storing een gebruiker aan wie geen beheerdersrol is toegewezen, toegang krijgt tot Azure Portal, zou het beleid niet van toepassing zijn en krijgt de gebruiker toegang zonder om MFA te worden gevraagd. Tijdens een storing zou de Backup Authentication Service het beleid opnieuw beoordelen om te bepalen of de gebruiker om MFA moet worden gevraagd. Omdat de Backup Authentication Service het lidmaatschap van rollen niet in realtime kan evalueren, worden gegevens gebruikt die aan het begin van de sessie van de gebruiker zijn verzameld om te bepalen dat het beleid nog steeds niet van toepassing moet zijn. Als gevolg hiervan krijgt de gebruiker toegang zonder om MFA te worden gevraagd.

Standaardinstellingen voor tolerantie uitgeschakeld

Wanneer de standaardinstellingen voor tolerantie zijn uitgeschakeld, gebruikt de Backup Authentication Service geen gegevens die aan het begin van de sessie zijn verzameld om voorwaarden te evalueren. Als tijdens een storing een beleidsvoorwaarde niet in realtime kan worden geëvalueerd, wordt de toegang geweigerd.

Voorbeeld: Voor een beleid waarvoor de standaardinstellingen voor tolerantie zijn uitgeschakeld, moeten alle gebruikers een bevoorrechte rol hebben toegewezen voor toegang tot Microsoft Beheer-portals om MFA uit te voeren. Als er vóór een storing een gebruiker aan wie geen beheerdersrol is toegewezen, toegang krijgt tot Azure Portal, zou het beleid niet van toepassing zijn en krijgt de gebruiker toegang zonder om MFA te worden gevraagd. Tijdens een storing zou de Backup Authentication Service het beleid opnieuw beoordelen om te bepalen of de gebruiker om MFA moet worden gevraagd. Omdat de Backup Authentication Service het rollidmaatschap niet in realtime kan evalueren, kan de gebruiker geen toegang krijgen tot Azure Portal.

Waarschuwing

Als u de standaardinstellingen voor tolerantie uitschakelt voor een beleid dat van toepassing is op een groep of rol, wordt de tolerantie voor alle gebruikers in uw tenant verminderd. Aangezien groep- en rollidmaatschap niet in realtime kunnen worden geëvalueerd tijdens een storing, worden zelfs gebruikers die geen deel uitmaken van de groep of rol in de beleidstoewijzing, de toegang tot de toepassing binnen het bereik van het beleid geweigerd. Overweeg het beleid toe te passen op afzonderlijke gebruikers in plaats van groepen of rollen om het tolerantie te voorkomen voor alle gebruikers die niet binnen het bereik van het beleid vallen.

Standaardinstellingen voor tolerantie testen

Het is niet mogelijk om een droge uitvoering uit te voeren met behulp van de Backup Authentication Service of om het resultaat van een beleid te simuleren waarbij de standaardinstellingen voor tolerantie op dit moment zijn ingeschakeld of uitgeschakeld. Microsoft Entra voert maandelijkse oefeningen uit met behulp van de Backup Authentication Service. De aanmeldingslogboeken worden weergegeven als de Backup Authentication Service is gebruikt om het toegangstoken uit te geven. Op de blade Aanmeldingslogboeken voor identiteitsbewaking>en -status>kunt u het filter 'Token issuer type == Microsoft Entra Backup Auth' toevoegen om de logboeken weer te geven die zijn verwerkt door de Microsoft Entra Backup Authentication-service.

Standaardinstellingen voor tolerantie configureren

U kunt de standaardinstellingen voor voorwaardelijke toegang configureren vanuit het Microsoft Entra-beheercentrum, MS Graph-API's of PowerShell.

Microsoft Entra-beheercentrum

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Een nieuw beleid maken of een bestaand beleid selecteren
  4. De instellingen voor sessiebeheer openen
  5. Selecteer Standaardinstellingen voor tolerantie uitschakelen om de instelling voor dit beleid uit te schakelen. Aanmeldingen binnen het bereik van het beleid worden geblokkeerd tijdens een Microsoft Entra-storing
  6. Wijzigingen in het beleid opslaan

MS Graph-API's

U kunt ook de standaardinstellingen voor tolerantie voor uw beleid voor voorwaardelijke toegang beheren met behulp van de MS Graph API en Microsoft Graph Explorer.

Voorbeeld van aanvraag-URL:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Voorbeeldtekst van aanvraag:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

Powershell

Deze patchbewerking kan worden geïmplementeerd met Behulp van Microsoft PowerShell na de installatie van de module Microsoft.Graph.Authentication. Als u deze module wilt installeren, opent u een PowerShell-prompt met verhoogde bevoegdheid en voert u deze uit

Install-Module Microsoft.Graph.Authentication

Verbinding maken bij Microsoft Graph en vraagt u de vereiste bereiken aan:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Verifieer wanneer u hierom wordt gevraagd.

Maak de JSON-hoofdtekst voor de PATCH-aanvraag:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Voer de patchbewerking uit:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Aanbevelingen

Microsoft raadt aan om standaardwaarden voor tolerantie in te schakelen. Hoewel er geen directe beveiligingsproblemen zijn, moeten klanten evalueren of ze willen toestaan dat de Backup Authentication Service beleid voor voorwaardelijke toegang evalueert tijdens een storing met behulp van gegevens die aan het begin van de sessie zijn verzameld, in plaats van in realtime.

Het is mogelijk dat de rol of het groepslidmaatschap van een gebruiker is gewijzigd sinds het begin van de sessie. Met CAE (Continuous Access Evaluation) zijn toegangstokens 24 uur geldig, maar zijn ze onderhevig aan onmiddellijke intrekkingsgebeurtenissen. De Backup Authentication Service abonneert zich op dezelfde intrekkingsgebeurtenissen CAE. Als het token van een gebruiker wordt ingetrokken als onderdeel van CAE, kan de gebruiker zich niet aanmelden tijdens een storing. Wanneer de standaardinstellingen voor tolerantie zijn ingeschakeld, worden bestaande sessies die verlopen tijdens een storing uitgebreid. Sessies worden uitgebreid, zelfs als het beleid is geconfigureerd met een sessiebeheer om een aanmeldingsfrequentie af te dwingen. Een beleid waarvoor standaardinstellingen voor tolerantie zijn ingeschakeld, kan bijvoorbeeld vereisen dat gebruikers elk uur opnieuw verifiëren om toegang te krijgen tot een SharePoint-site. Tijdens een storing wordt de sessie van de gebruiker verlengd, ook al is de Microsoft Entra-id mogelijk niet beschikbaar om de gebruiker opnieuw te verifiëren.

Volgende stappen