Konfigurowanie zasad okresu istnienia sesji adaptacyjnej

Ostrzeżenie

Jeśli używasz konfigurowalnej funkcji okresu istnienia tokenu obecnie w publicznej wersji zapoznawczej, pamiętaj, że nie obsługujemy tworzenia dwóch różnych zasad dla tego samego użytkownika lub kombinacji aplikacji: jednej z tą funkcją i drugą z konfigurowalną funkcją okresu istnienia tokenu. Firma Microsoft wycofała funkcję konfigurowalnego okresu istnienia tokenu na potrzeby okresów istnienia tokenu odświeżania i sesji 30 stycznia 2021 r. i zastąpiła ją Funkcją zarządzania sesją uwierzytelniania dostępu warunkowego.

Przed włączeniem częstotliwości logowania upewnij się, że inne ustawienia ponownego uwierzytelniania są wyłączone w dzierżawie. Jeśli opcja "Pamiętaj uwierzytelnianie wieloskładnikowe na zaufanych urządzeniach" jest włączona, pamiętaj, aby wyłączyć ją przed użyciem częstotliwości logowania, ponieważ użycie tych dwóch ustawień może prowadzić do nieoczekiwanego monitowania użytkowników. Aby dowiedzieć się więcej na temat monitów o ponowne uwierzytelnianie i okresu istnienia sesji, zobacz artykuł Optymalizowanie monitów o ponowne uwierzytelnianie i zrozumienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Wdrażanie zasad

Aby upewnić się, że zasady działają zgodnie z oczekiwaniami, zalecanym najlepszym rozwiązaniem jest przetestowanie jej przed wdrożeniem ich w środowisku produkcyjnym. Najlepiej użyć dzierżawy testowej, aby sprawdzić, czy nowe zasady działają zgodnie z oczekiwaniami. Aby uzyskać więcej informacji, zobacz artykuł Planowanie wdrożenia dostępu warunkowego.

Zasady 1. Kontrolka częstotliwości logowania

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.

  2. Przejdź do strony Ochrona>dostępu warunkowego.

  3. Wybierz pozycję Utwórz nowe zasady.

  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.

  5. Wybierz wszystkie wymagane warunki dla środowiska klienta, w tym docelowe aplikacje w chmurze.

    Uwaga

    Zaleca się ustawienie częstotliwości monitowania o równe uwierzytelnianie dla kluczowych aplikacja pakietu Office firmy Microsoft, takich jak Exchange Online i SharePoint Online, w celu uzyskania najlepszego środowiska użytkownika.

  6. W obszarze Kontrola>dostępu Sesja.

    1. Wybierz pozycję Częstotliwość logowania.
      1. Wybierz pozycję Okresowe ponowne uwierzytelnianie i wprowadź wartość godzin lub dni lub wybierz pozycję Za każdym razem.

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. Zapisz zasady.

Zasady 2. Trwała sesja przeglądarki

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.

  2. Przejdź do strony Ochrona>dostępu warunkowego.

  3. Wybierz pozycję Utwórz nowe zasady.

  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.

  5. Wybierz wszystkie wymagane warunki.

    Uwaga

    Ta kontrolka wymaga wybrania opcji "Wszystkie aplikacje w chmurze" jako warunku. Trwałość sesji przeglądarki jest kontrolowana przez token sesji uwierzytelniania. Wszystkie karty w sesji przeglądarki współużytkują pojedynczy token sesji i dlatego wszystkie te karty muszą współużytkować stan trwałości.

  6. W obszarze Kontrola>dostępu Sesja.

    1. Wybierz pozycję Trwała sesja przeglądarki.

      Uwaga

      Konfiguracja trwałej sesji przeglądarki w usłudze Microsoft Entra Conditional Access zastępuje wartość "Stay signed in?" ustawienie w okienku znakowania firmy dla tego samego użytkownika, jeśli skonfigurowano obie zasady.

    2. Wybierz wartość z listy rozwijanej.

  7. Zapisz zasady.

Zasady 3. Kontrola częstotliwości logowania za każdym razem, gdy ryzykowny użytkownik

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki, a następnie wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj zmiany hasła i wybierz pozycję Wybierz.
  9. W obszarze Sesja steruje>częstotliwością logowania wybierz pozycję Za każdym razem.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu ustawień przez administratorów przy użyciu trybu tylko raport mogą przenieść przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Sprawdzanie poprawności

Użyj narzędzia What If, aby zasymulować logowanie użytkownika do aplikacji docelowej i innych warunków w oparciu o sposób konfigurowania zasad. Kontrolki zarządzania sesjami uwierzytelniania są wyświetlane w wyniku narzędzia.

Tolerancja monitu

Uwzględniamy pięć minut niesymetryczności zegara, gdy za każdym razem jest wybierana w zasadach, dzięki czemu nie monitujemy użytkowników częściej niż raz na pięć minut. Jeśli użytkownik ukończył uwierzytelnianie wieloskładnikowe w ciągu ostatnich 5 minut i napotkał inne zasady dostępu warunkowego, które wymagają ponownego uwierzytelnienia, nie monitujemy użytkownika. Nadmierne monitowanie użytkowników o ponowne uwierzytelnienie może mieć wpływ na ich produktywność i zwiększyć ryzyko zatwierdzenia żądań uwierzytelniania wieloskładnikowego, których nie zainicjowali. Użyj opcji "Częstotliwość logowania — za każdym razem" tylko dla określonych potrzeb biznesowych.

Znane problemy

  • Jeśli skonfigurujesz częstotliwość logowania dla urządzeń przenośnych: Uwierzytelnianie po każdym interwale częstotliwości logowania może potrwać średnio 30 sekund. Ponadto może się to zdarzyć w różnych aplikacjach w tym samym czasie.
  • Na urządzeniach z systemem iOS: jeśli aplikacja konfiguruje certyfikaty jako pierwszy czynnik uwierzytelniania, a aplikacja ma zastosowaną zarówno częstotliwość logowania, jak i zasady zarządzania aplikacjami mobilnymi usługi Intune, użytkownicy końcowi nie będą logować się do aplikacji po wyzwoleniu zasad.

Następne kroki

  • Jeśli wszystko jest gotowe do skonfigurowania zasad dostępu warunkowego dla środowiska, zobacz artykuł Planowanie wdrożenia dostępu warunkowego.