Dostęp warunkowy: ustawienia domyślne odporności
Jeśli wystąpiła awaria podstawowej usługi uwierzytelniania, usługa uwierzytelniania Entra Backup firmy Microsoft może automatycznie wystawiać tokeny dostępu do aplikacji dla istniejących sesji. Ta funkcja znacznie zwiększa odporność firmy Microsoft, ponieważ ponowne uwierzytelnianie dla istniejących sesji stanowi ponad 90% uwierzytelnień do identyfikatora Entra firmy Microsoft. Usługa uwierzytelniania kopii zapasowej nie obsługuje nowych sesji ani uwierzytelniania użytkowników-gości.
W przypadku uwierzytelniania chronionego przez dostęp warunkowy zasady są ponownie oceniane przed wystawieniem tokenów dostępu w celu określenia:
- Które zasady dostępu warunkowego mają zastosowanie?
- Czy w przypadku zasad, które mają zastosowanie, wymagane mechanizmy kontroli są spełnione?
Podczas awarii nie wszystkie warunki można ocenić w czasie rzeczywistym przez usługę uwierzytelniania kopii zapasowej, aby określić, czy mają być stosowane zasady dostępu warunkowego. Wartości domyślne odporności dostępu warunkowego to nowa kontrolka sesji, która umożliwia administratorom podjęcie decyzji między:
- Czy zablokować uwierzytelnianie podczas przestoju, gdy warunek zasad nie może być oceniany w czasie rzeczywistym.
- Zezwalaj na ocenę zasad przy użyciu danych zebranych na początku sesji użytkownika.
Ważne
Wartości domyślne odporności są automatycznie włączone dla wszystkich nowych i istniejących zasad, a firma Microsoft zdecydowanie zaleca pozostawienie domyślnych ustawień odporności w celu ograniczenia wpływu awarii. Administracja mogą wyłączyć domyślne ustawienia odporności dla poszczególnych zasad dostępu warunkowego.
Jak to działa?
Podczas awarii usługa uwierzytelniania kopii zapasowej automatycznie ponownie generuje tokeny dostępu dla niektórych sesji:
| Opis sesji | Udzielony dostęp |
|---|---|
| Nowa sesja | Nie. |
| Istniejąca sesja — nie skonfigurowano zasad dostępu warunkowego | Tak |
| Istniejąca sesja — skonfigurowane zasady dostępu warunkowego i wymagane mechanizmy kontroli, takie jak uwierzytelnianie wieloskładnikowe, były wcześniej spełnione | Tak |
| Istniejąca sesja — skonfigurowane zasady dostępu warunkowego i wymagane mechanizmy kontroli, takie jak uwierzytelnianie wieloskładnikowe, nie były wcześniej spełnione | Określana przez domyślne ustawienia odporności |
Po wygaśnięciu istniejącej sesji podczas awarii firmy Microsoft żądanie nowego tokenu dostępu jest kierowane do usługi uwierzytelniania kopii zapasowej, a wszystkie zasady dostępu warunkowego są ponownie oceniane. Jeśli nie ma żadnych zasad dostępu warunkowego lub wszystkie wymagane mechanizmy kontroli, takie jak uwierzytelnianie wieloskładnikowe, zostały wcześniej spełnione na początku sesji, usługa uwierzytelniania kopii zapasowej wystawia nowy token dostępu w celu rozszerzenia sesji.
Jeśli wymagane mechanizmy kontroli zasad nie były wcześniej spełnione, zasady są ponownie oceniane, aby określić, czy dostęp powinien zostać udzielony, czy odrzucony. Jednak nie wszystkie warunki mogą być ponownie oceniane w czasie rzeczywistym podczas awarii. Te warunki są następujące:
- Członkostwo w grupie
- Członkostwo w rolach
- Ryzyko związane z logowaniem
- Ryzyko związane z użytkownikiem
- Lokalizacja kraju/regionu (rozpoznawanie nowych współrzędnych IP lub GPS)
- Mocne strony uwierzytelniania
Gdy jest aktywna, usługa uwierzytelniania kopii zapasowej nie ocenia metod uwierzytelniania wymaganych przez mocne strony uwierzytelniania. Jeśli przed awarią użyto metody uwierzytelniania odpornej na wyłudzanie informacji, podczas awarii nie zostanie wyświetlony monit o uwierzytelnianie wieloskładnikowe, nawet jeśli dostęp do zasobu chronionego przez zasady dostępu warunkowego z siłą uwierzytelniania odpornego na wyłudzanie informacji.
Włączone ustawienia domyślne odporności
Gdy ustawienia domyślne odporności są włączone, usługa uwierzytelniania kopii zapasowych używa danych zebranych na początku sesji, aby ocenić, czy zasady powinny być stosowane w przypadku braku danych w czasie rzeczywistym. Domyślnie wszystkie zasady mają włączone wartości domyślne odporności. Ustawienie może być wyłączone dla poszczególnych zasad, gdy ocena zasad w czasie rzeczywistym jest wymagana w celu uzyskania dostępu do poufnych aplikacji podczas awarii.
Przykład: zasady z włączoną odpornością wymagają, aby wszyscy użytkownicy z przypisaną rolą uprzywilejowaną uzyskiwali dostęp do portali microsoft Administracja do uwierzytelniania wieloskładnikowego. Przed awarią, jeśli użytkownik, który nie ma przypisanej roli administratora, uzyskuje dostęp do witryny Azure Portal, zasady nie będą stosowane, a użytkownik otrzyma dostęp bez monitowania o uwierzytelnianie wieloskładnikowe. Podczas awarii usługa uwierzytelniania kopii zapasowej ponownie oceni zasady, aby określić, czy użytkownik powinien być monitowany o uwierzytelnianie wieloskładnikowe. Ponieważ usługa uwierzytelniania kopii zapasowych nie może ocenić członkostwa w roli w czasie rzeczywistym, będzie używać danych zebranych na początku sesji użytkownika, aby określić, że zasady nadal nie powinny być stosowane. W związku z tym użytkownik otrzyma dostęp bez monitowania o uwierzytelnianie wieloskładnikowe.
Wyłączone ustawienia domyślne odporności
Gdy wartości domyślne odporności są wyłączone, usługa uwierzytelniania kopii zapasowej nie będzie używać danych zebranych na początku sesji do oceny warunków. Jeśli podczas awarii nie można ocenić warunku zasad w czasie rzeczywistym, dostęp zostanie odrzucony.
Przykład: Zasady z wyłączoną odpornością wymagają, aby wszyscy użytkownicy z przypisaną rolą uprzywilejowaną uzyskiwali dostęp do portali microsoft Administracja do wykonania uwierzytelniania wieloskładnikowego. Przed awarią, jeśli użytkownik, który nie ma przypisanej roli administratora, uzyskuje dostęp do witryny Azure Portal, zasady nie będą stosowane, a użytkownik otrzyma dostęp bez monitowania o uwierzytelnianie wieloskładnikowe. Podczas awarii usługa uwierzytelniania kopii zapasowej ponownie oceni zasady, aby określić, czy użytkownik powinien być monitowany o uwierzytelnianie wieloskładnikowe. Ponieważ usługa uwierzytelniania kopii zapasowych nie może ocenić członkostwa w roli w czasie rzeczywistym, uniemożliwi użytkownikowi dostęp do witryny Azure Portal.
Ostrzeżenie
Wyłączenie domyślnych ustawień odporności dla zasad, które mają zastosowanie do grupy lub roli, zmniejszy odporność dla wszystkich użytkowników w dzierżawie. Ponieważ członkostwo w grupach i rolach nie może być oceniane w czasie rzeczywistym podczas przestoju, nawet użytkownicy, którzy nie należą do grupy lub roli w przypisaniu zasad, nie będą mieć dostępu do aplikacji w zakresie zasad. Aby uniknąć zmniejszenia odporności dla wszystkich użytkowników, którzy nie należą do zakresu zasad, rozważ zastosowanie zasad do poszczególnych użytkowników zamiast grup lub ról.
Testowanie wartości domyślnych odporności
Nie można przeprowadzić suchego przebiegu przy użyciu usługi uwierzytelniania kopii zapasowej lub symulować wynik zasad z włączonymi lub wyłączonymi wartościami domyślnymi odporności. Firma Microsoft Entra przeprowadza miesięczne ćwiczenia przy użyciu usługi uwierzytelniania kopii zapasowych. Dzienniki logowania są wyświetlane, jeśli usługa uwierzytelniania kopii zapasowej została użyta do wystawienia tokenu dostępu. W bloku Dzienniki logowania i>monitorowania tożsamości>można dodać filtr "Typ wystawcy tokenu == Microsoft Entra Backup Auth", aby wyświetlić dzienniki przetwarzane przez usługę uwierzytelniania usługi Microsoft Entra Backup.
Konfigurowanie domyślnych ustawień odporności
Ustawienia domyślne odporności dostępu warunkowego można skonfigurować z poziomu centrum administracyjnego firmy Microsoft, interfejsów API programu MS Graph lub programu PowerShell.
Centrum administracyjne Microsoft Entra
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Tworzenie nowych zasad lub wybieranie istniejących zasad
- Otwieranie ustawień kontrolki sesji
- Wybierz pozycję Wyłącz domyślne ustawienia odporności, aby wyłączyć ustawienie dla tych zasad. Logowania w zakresie zasad są blokowane podczas awarii firmy Microsoft
- Zapisywanie zmian w zasadach
Interfejsy API programu MS Graph
Można również zarządzać wartościami domyślnymi odporności dla zasad dostępu warunkowego przy użyciu interfejsu API programu MS Graph i Eksploratora programu Microsoft Graph.
Przykładowy adres URL żądania:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Przykładowa treść żądania:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Tę operację poprawki można wdrożyć przy użyciu programu Microsoft PowerShell po zainstalowaniu modułu Microsoft.Graph.Authentication. Aby zainstalować ten moduł, otwórz monit programu PowerShell z podwyższonym poziomem uprawnień i wykonaj polecenie
Install-Module Microsoft.Graph.Authentication
Połączenie do programu Microsoft Graph, żądając wymaganych zakresów:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Uwierzytelnij się po wyświetleniu monitu.
Utwórz treść JSON dla żądania PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Wykonaj operację stosowania poprawki:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Zalecenia
Firma Microsoft zaleca włączenie domyślnych ustawień odporności. Chociaż nie ma żadnych bezpośrednich problemów z zabezpieczeniami, klienci powinni ocenić, czy usługa uwierzytelniania kopii zapasowej ma oceniać zasady dostępu warunkowego podczas przestoju przy użyciu danych zebranych na początku sesji, a nie w czasie rzeczywistym.
Istnieje możliwość, że rola użytkownika lub członkostwo w grupie zmieniło się od początku sesji. W przypadku oceny ciągłego dostępu (CAE) tokeny dostępu są ważne przez 24 godziny, ale mogą podlegać natychmiastowym zdarzeń odwołania. Usługa uwierzytelniania kopii zapasowej subskrybuje te same zdarzenia odwołania CAE. Jeśli token użytkownika zostanie odwołany w ramach caE, użytkownik nie może zalogować się podczas awarii. Gdy ustawienia domyślne odporności są włączone, istniejące sesje wygasające podczas przestoju zostaną rozszerzone. Sesje są rozszerzone, nawet jeśli zasady zostały skonfigurowane za pomocą kontrolki sesji w celu wymuszenia częstotliwości logowania. Na przykład zasady z włączoną odpornością mogą wymagać ponownego uwierzytelnienia użytkowników co godzinę w celu uzyskania dostępu do witryny programu SharePoint. Podczas awarii sesja użytkownika zostanie rozszerzona, mimo że identyfikator Entra firmy Microsoft może nie być dostępny do ponownego uwierzytelnienia użytkownika.