Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady okresu istnienia sesji adaptacyjnego dostępu warunkowego pomagają organizacjom ograniczyć sesje uwierzytelniania w złożonych wdrożeniach. Scenariusze obejmują:
- Dostęp do zasobów z urządzenia niezarządzanego lub udostępnionego
- Dostęp do poufnych informacji z sieci zewnętrznej
- Użytkownicy o dużym wpływie
- Krytyczne aplikacje biznesowe
Dostęp warunkowy zapewnia adaptacyjne mechanizmy kontroli zasad okresu istnienia sesji, umożliwiając tworzenie zasad przeznaczonych dla określonych przypadków użycia w organizacji bez wpływu na wszystkich użytkowników.
Przed zapoznaniem się ze szczegółowymi informacjami na temat konfigurowania zasad sprawdźmy konfigurację domyślną.
Częstotliwość logowania użytkownika
Częstotliwość logowania określa okres czasu, po upłynięciu którego użytkownik będzie musiał ponownie się zalogować podczas próby uzyskania dostępu do zasobu.
Domyślną konfiguracją Microsoft Entra ID dla częstotliwości logowania użytkowników jest 90-dniowe okno kroczące. Prośba o podanie poświadczeń często wydaje się rozsądna, ale może przynieść odwrotny skutek. Użytkownicy przeszkoleni do wprowadzania poświadczeń bez myślenia mogą przypadkowo dostarczyć je do złośliwego monitu o podanie poświadczeń.
Może to wydawać się niepokojące, aby nie prosić użytkownika o ponowne zalogowanie się, ale każde naruszenie zasad IT odwołuje sesję. Niektóre przykłady obejmują (ale nie tylko) zmianę hasła, niezgodne urządzenie lub wyłączenie konta. Możesz również jawnie odwołać sesje użytkowników przy użyciu programu Microsoft Graph PowerShell. Domyślna konfiguracja identyfikatora Entra firmy Microsoft sprowadza się do "nie pytaj użytkowników o podanie poświadczeń, jeśli stan zabezpieczeń sesji nie uległ zmianie".
Ustawienie częstotliwości logowania działa z aplikacjami, które implementują protokoły OAuth2 lub OIDC zgodnie ze standardami. Większość aplikacji natywnych firmy Microsoft, takich jak te dla systemów Windows, Mac i Mobile, w tym następujące aplikacje internetowe są zgodne z ustawieniem.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- portal Administracja Microsoft 365
- Exchange Online
- SharePoint i OneDrive
- Klient internetowy usługi Teams
- Dynamics CRM Online
- Azure Portal
Częstotliwość logowania (SIF) współpracuje z aplikacjami SAML firm innych niż Microsoft oraz aplikacjami, które implementują protokoły OAuth2 lub OIDC, o ile nie zapisują własnych plików cookie i są regularnie przekierowywane do Microsoft Entra ID w celu uwierzytelnienia.
Częstotliwość logowania użytkownika i uwierzytelnianie wieloskładnikowe
Częstotliwość logowania była wcześniej stosowana tylko do pierwszego uwierzytelniania czynnikowego na urządzeniach, które zostały dołączone do firmy Microsoft Entra, dołączone hybrydowo do firmy Microsoft Entra i zarejestrowane przez firmę Microsoft Entra. Nie było łatwego sposobu na wzmocnienie uwierzytelniania wieloskładnikowego na tych urządzeniach. Na podstawie opinii klientów częstotliwość logowania ma teraz zastosowanie również do uwierzytelniania wieloskładnikowego (MFA).
Częstotliwość logowania użytkownika i tożsamości urządzeń
Na urządzeniach dołączonych do Microsoft Entra oraz na urządzeniach dołączonych hybrydowo do Microsoft Entra, odblokowanie urządzenia lub interaktywne logowanie co 4 godziny odświeża Podstawowy Token Odświeżania (PRT). Znacznik czasu ostatniego odświeżania zarejestrowany dla PRT w porównaniu z bieżącym znacznikiem czasu musi mieścić się w czasie przydzielonym w zasadach SIF dla PRT, aby spełniać wymagania SIF i udzielać dostępu do PRT z istniejącym roszczeniem MFA. Na zarejestrowanych urządzeniach firmy Microsoft odblokowanie lub zalogowanie nie spełnia zasad SIF, ponieważ użytkownik nie uzyskuje dostępu do zarejestrowanego urządzenia firmy Microsoft za pośrednictwem konta Microsoft Entra. Jednak wtyczka Microsoft Entra WAM może odświeżyć prT podczas uwierzytelniania aplikacji natywnej przy użyciu WAM.
Uwaga
Sygnatura czasowa przechwycona z logowania użytkownika nie musi być taka sama jak ostatnia zarejestrowana sygnatura czasowa odświeżania PRT z powodu 4-godzinnego cyklu odświeżania. Przypadek, gdy sytuacja jest taka sama, występuje wtedy, gdy PRT wygasło, a użytkownik loguje się ponownie, odnawiając PRT na 4 godziny. W poniższych przykładach załóżmy, że polityka SIF jest ustawiona na 1 godzinę, a PRT jest odświeżane o 00:00.
Przykład 1: Kiedy będziesz kontynuować pracę nad tym samym dokumentem w SPO przez godzinę
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
- Użytkownik kontynuuje pracę nad tym samym dokumentem na urządzeniu przez godzinę.
- O godzinie 01:00 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora.
Przykład 2: Gdy wstrzymasz pracę z zadaniem w tle uruchomionym w przeglądarce, a następnie ponownie podejmiesz interakcję po upływie czasu polityki SIF.
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna przekazywanie dokumentu do usługi SharePoint Online.
- O godzinie 00:10 użytkownik wstaje i blokuje swoje urządzenie, biorąc przerwę. Przekazywanie w tle jest kontynuowane do usługi SharePoint Online.
- O godzinie 02:45 użytkownik powraca z przerwy i odblokuje urządzenie. Przekazywanie w tle pokazuje ukończenie.
- O godzinie 02:45 użytkownik zostanie poproszony o zalogowanie się po ponownym wchodzeniu w interakcję. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora od czasu ostatniego logowania o godzinie 00:00.
Jeśli aplikacja kliencka (w obszarze szczegółów działania) jest przeglądarką, odroczamy wymuszanie częstotliwości logowania zdarzeń i zasad w usługach w tle do następnej interakcji użytkownika. W przypadku poufnych klientów wymuszanie częstotliwości logowania podczas logowań nieinteraktywnych jest odroczone aż do następnego logowania interaktywnego.
Przykład 3: Z czterogodzinnym cyklem odświeżania głównego tokenu po odblokowaniu.
Scenariusz 1 — zwroty użytkownika w ramach cyklu
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
- O godzinie 00:30 użytkownik wstaje i robi przerwę, blokując swoje urządzenie.
- O godzinie 00:45 użytkownik powraca z przerwy i odblokuje urządzenie.
- O godzinie 01:00 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora, 1 godzinę po początkowym logowaniu.
Scenariusz 2 — użytkownik dokonuje zwrotu poza cyklem
- O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
- O godzinie 00:30 użytkownik wstaje i robi przerwę, blokując swoje urządzenie.
- O godzinie 04:45 użytkownik powraca z przerwy i odblokuje urządzenie.
- O godzinie 05:45 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora. Minęła teraz 1 godzina od odświeżenia PRT o godzinie 04:45 i ponad 4 godziny od pierwszego logowania o godzinie 00:00.
Wymagaj ponownego uwierzytelniania za każdym razem
Istnieją scenariusze, w których klienci mogą wymagać nowego uwierzytelniania, za każdym razem, gdy użytkownik wykonuje określone akcje, takie jak:
- Uzyskiwanie dostępu do poufnych aplikacji.
- Zabezpieczanie zasobów przy użyciu dostawców sieci VPN lub Sieci jako Usługi (NaaS).
- Zabezpieczanie podnoszenia poziomu ról o podwyższonych uprawnieniach w usłudze PIM.
- Ochrona logowania użytkowników na maszynach usługi Azure Virtual Desktop.
- Ochrona ryzykownych użytkowników i ryzykownych logowań zidentyfikowanych przez Microsoft Entra ID Protection.
- Zabezpieczanie poufnych akcji użytkownika, takich jak rejestracja w usłudze Microsoft Intune.
Gdy administratorzy wybierają opcję za każdym razem, wymaga pełnego ponownego uwierzytelnienia podczas oceniania sesji. Jeśli na przykład użytkownik zamknął i otworzył przeglądarkę w okresie istnienia sesji, nie zostanie wyświetlony monit o ponowne uwierzytelnienie. Częstotliwość logowania ustawiona na "za każdym razem" działa najlepiej, gdy zasób ma logikę określającą, kiedy klient powinien otrzymać nowy token. Te zasoby przekierowują użytkownika z powrotem do Microsoft Entra tylko gdy sesja wygasa.
Administratorzy powinni ograniczyć liczbę aplikacji, które wymuszają zasady wymagające ponownego uwierzytelnienia użytkowników za każdym razem. Wyzwalanie ponownego uwierzytelniania zbyt często może zwiększyć problemy z zabezpieczeniami, co powoduje, że użytkownicy doświadczają zmęczenia uwierzytelniania wieloskładnikowego i otwierają drzwi do wyłudzania informacji. Aplikacje internetowe zwykle zapewniają mniej kłopotliwe doświadczenie niż aplikacje desktopowe, gdy wymóg ponownego uwierzytelniania za każdym razem jest włączony. Uwzględniamy pięć minut rozbieżności zegara, gdy czas jest określany w polityce, dzięki czemu nie monitujemy użytkowników częściej niż raz na pięć minut.
Ostrzeżenie
Użycie częstotliwości logowania w celu wymagania ponownego uwierzytelniania za każdym razem bez uwierzytelniania wieloskładnikowego może spowodować zapętlenie logowania dla użytkowników.
- W przypadku aplikacji w stosie platformy Microsoft 365 zalecamy użycie częstotliwości logowania użytkowników opartej na czasie w celu uzyskania lepszego doświadczenia użytkownika.
- Dla portalu Azure i centrum administracyjnego Microsoft Entra zalecamy użycie częstotliwości logowania użytkownika opartej na czasie lub wymagać ponownego uwierzytelnienia przy aktywacji PIM przy użyciu kontekstu uwierzytelniania dla lepszego doświadczenia użytkownika.
Trwałość sesji przeglądania
Trwała sesja przeglądarki umożliwia użytkownikom logowanie po zamknięciu i ponownym otwarciu okna przeglądarki.
Domyślna wartość identyfikatora Entra ID firmy Microsoft dotycząca utrzymywania sesji przeglądarki umożliwia użytkownikom na urządzeniach osobistych wybranie, czy chcą utrzymać sesję, wyświetlając monit Zostać zalogowanym? po pomyślnym uwierzytelnieniu. Jeśli trwałość przeglądarki jest skonfigurowana w AD FS przy użyciu wskazówek w artykule ustawienia logowania jednokrotnego AD FS, przestrzegamy tych zasad i utrwalamy również sesję Microsoft Entra. Możesz również skonfigurować, czy użytkownicy w dzierżawie widzą monit Stay signed in? (Czy użytkownicy w dzierżawie widzą monit Stay signed in?), zmieniając odpowiednie ustawienie w okienku znakowania firmowego.
W przeglądarkach trwałych pliki cookie pozostają przechowywane na urządzeniu użytkownika nawet po zamknięciu przeglądarki. Te pliki cookie mogą mieć dostęp do artefaktów firmy Microsoft Entra, a te artefakty mogą być używane do czasu wygaśnięcia tokenu niezależnie od zasad dostępu warunkowego umieszczonych w środowisku zasobów. Dlatego buforowanie tokenów może być bezpośrednim naruszeniem żądanych zasad zabezpieczeń na potrzeby uwierzytelniania. Chociaż może się wydawać wygodne przechowywanie tokenów poza bieżącą sesją, może to spowodować lukę w zabezpieczeniach, zezwalając na nieautoryzowany dostęp do artefaktów firmy Microsoft Entra.
Konfigurowanie kontrolek sesji uwierzytelniania
Dostęp warunkowy jest funkcją Microsoft Entra ID P1 lub P2 i wymaga licencji Premium. Jeśli chcesz dowiedzieć się więcej o dostępie warunkowym, zobacz Co to jest dostęp warunkowy w usłudze Microsoft Entra ID?.
Ostrzeżenie
Jeśli używasz konfigurowalnej funkcji okresu istnienia tokenu obecnie w publicznej wersji zapoznawczej, pamiętaj, że nie obsługujemy tworzenia dwóch różnych zasad dla tego samego użytkownika lub kombinacji aplikacji: jednej z tą funkcją, a drugą z konfigurowalną funkcją okresu istnienia tokenu. Firma Microsoft wycofała funkcję konfigurowalnego okresu istnienia tokenów odświeżania i sesji 30 stycznia 2021 r. i zastąpiła ją funkcją zarządzania sesjami uwierzytelniania o dostępie warunkowym.
Przed włączeniem częstotliwości logowania upewnij się, że inne ustawienia ponownego uwierzytelniania są wyłączone w dzierżawie. Jeśli opcja "Pamiętaj uwierzytelnianie wieloskładnikowe na zaufanych urządzeniach" jest włączona, wyłącz ją przed użyciem częstotliwości logowania, ponieważ użycie tych dwóch ustawień razem może prowadzić do nieoczekiwanego monitowania użytkowników. Aby dowiedzieć się więcej na temat monitów o ponowne uwierzytelnianie i okresu istnienia sesji, zobacz artykuł Optymalizowanie monitów o ponowne uwierzytelnianie i zrozumienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.
Następne kroki
- Konfigurowanie okresów istnienia sesji w zasadach dostępu warunkowego
- Aby skonfigurować zasady dostępu warunkowego dla środowiska, zobacz artykuł Planowanie wdrożenia dostępu warunkowego.