Share via

Okres istnienia sesji adaptacyjnej dostępu warunkowego

  • Artykuł

W przypadku złożonych wdrożeń organizacje mogą wymagać ograniczenia sesji uwierzytelniania. Niektóre scenariusze mogą obejmować:

  • Dostęp do zasobów z urządzenia niezarządzanego lub udostępnionego
  • Dostęp do poufnych informacji z sieci zewnętrznej
  • Użytkownicy o dużym wpływie
  • Krytyczne aplikacje biznesowe

Dostęp warunkowy zapewnia adaptacyjne mechanizmy kontroli zasad okresu istnienia sesji umożliwiające tworzenie zasad przeznaczonych dla określonych przypadków użycia w organizacji bez wpływu na wszystkich użytkowników.

Przed zapoznaniem się ze szczegółowymi informacjami na temat konfigurowania zasad sprawdźmy konfigurację domyślną.

Częstotliwość logowania użytkownika

Częstotliwość logowania określa okres czasu, po upłynięciu którego użytkownik będzie musiał ponownie się zalogować podczas próby uzyskania dostępu do zasobu.

Domyślna konfiguracja identyfikatora entra firmy Microsoft dla częstotliwości logowania użytkownika to okno stopniowe z 90 dni. Prośba użytkowników o poświadczenia często wydaje się rozsądną rzeczą do zrobienia, ale może backfire: użytkownicy, którzy są przeszkoleni, aby wprowadzić swoje poświadczenia bez myślenia, mogą przypadkowo dostarczyć je do złośliwego monitu o poświadczenia.

Może to wydawać się niepokojące, aby nie prosić użytkownika o ponowne zalogowanie się, w rzeczywistości każde naruszenie zasad IT spowoduje odwołanie sesji. Niektóre przykłady obejmują (ale nie tylko) zmianę hasła, niezgodne urządzenie lub wyłączenie konta. Możesz również jawnie odwołać sesje użytkowników przy użyciu programu Microsoft Graph PowerShell. Domyślna konfiguracja identyfikatora Entra firmy Microsoft sprowadza się do "nie pytaj użytkowników o podanie poświadczeń, jeśli stan zabezpieczeń sesji nie uległ zmianie".

Ustawienie częstotliwości logowania działa z aplikacjami, które implementują protokoły OAuth2 lub OIDC zgodnie ze standardami. Większość aplikacji natywnych firmy Microsoft dla systemów Windows, Mac i Mobile, w tym następujące aplikacje internetowe są zgodne z ustawieniem.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • portal Administracja Microsoft 365
  • Exchange Online
  • SharePoint i OneDrive
  • Klient internetowy usługi Teams
  • Dynamics CRM Online
  • Azure Portal

Częstotliwość logowania (SIF) współpracuje z aplikacjami i aplikacjami SAML innych firm, które implementują protokoły OAuth2 lub OIDC, o ile nie usuwają własnych plików cookie i są przekierowywane z powrotem do identyfikatora Entra firmy Microsoft w celu uwierzytelniania w regularnych odstępach czasu.

Częstotliwość logowania użytkownika i uwierzytelnianie wieloskładnikowe

Częstotliwość logowania była wcześniej stosowana tylko do pierwszego uwierzytelniania czynnikowego na urządzeniach, które zostały dołączone do firmy Microsoft Entra, przyłączone hybrydowo do firmy Microsoft Entra i zarejestrowane przez firmę Microsoft Entra. Nie było łatwego sposobu, aby nasi klienci ponownie wymuszali uwierzytelnianie wieloskładnikowe na tych urządzeniach. Na podstawie opinii klientów częstotliwość logowania dotyczy również uwierzytelniania wieloskładnikowego.

Diagram przedstawiający sposób współdziałania częstotliwości logowania i uwierzytelniania wieloskładnikowego.

Częstotliwość logowania użytkownika i tożsamości urządzeń

Na urządzeniach dołączonych hybrydowo do firmy Microsoft Entra i urządzeniach dołączonych hybrydowo do firmy Microsoft, odblokowaniu urządzenia lub zalogowaniu się interaktywnie odświeża podstawowy token odświeżania (PRT) co 4 godziny. Ostatni sygnatura czasowa odświeżania zarejestrowana dla żądania PRT w porównaniu z bieżącym znacznikiem czasu musi należeć do czasu przydzielonego w zasadach SIF dla żądania PRT w celu spełnienia wymagań SIF i udzielenia dostępu do prT, który ma istniejące oświadczenie uwierzytelniania wieloskładnikowego. Na zarejestrowanych urządzeniach firmy Microsoft odblokowanie/logowanie nie spełnia zasad SIF, ponieważ użytkownik nie uzyskuje dostępu do zarejestrowanego urządzenia firmy Microsoft za pośrednictwem konta Microsoft Entra. Jednak wtyczka Microsoft Entra WAM może odświeżyć prT podczas uwierzytelniania aplikacji natywnej przy użyciu WAM.

Uwaga

Sygnatura czasowa przechwycona z logowania użytkownika nie musi być taka sama jak ostatnia zarejestrowana sygnatura czasowa odświeżania PRT z powodu 4-godzinnego cyklu odświeżania. Przypadek, gdy jest taki sam, jest wtedy, gdy żądanie ściągnięcia wygasło, a użytkownik loguje się do niego przez 4 godziny. W poniższych przykładach załóżmy, że zasady SIF są ustawione na 1 godzinę, a żądanie PRT jest odświeżane o 00:00.

Przykład 1: Kiedy będziesz nadal pracować nad tym samym dokumentem w spo przez godzinę

  • O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
  • Użytkownik kontynuuje pracę nad tym samym dokumentem na urządzeniu przez godzinę.
  • O godzinie 01:00 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora.

Przykład 2: W przypadku wstrzymania pracy z zadaniem w tle uruchomionym w przeglądarce interakcja ponownie po upływie czasu zasad SIF

  • O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna przekazywanie dokumentu do usługi SharePoint Online.
  • O godzinie 00:10 użytkownik wstanie i przerwę blokuje swoje urządzenie. Przekazywanie w tle jest kontynuowane do usługi SharePoint Online.
  • O godzinie 02:45 użytkownik powraca z przerwy i odblokuje urządzenie. Przekazywanie w tle pokazuje ukończenie.
  • O godzinie 02:45 użytkownik zostanie poproszony o zalogowanie się po ponownym wchodzenie w interakcję. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora od czasu ostatniego logowania o godzinie 00:00.

Jeśli aplikacja kliencka (w obszarze szczegółów działania) jest przeglądarką, odroczamy wymuszanie częstotliwości logowania zdarzeń/zasad w usługach w tle do następnej interakcji użytkownika. Na poufnych klientach wymuszanie częstotliwości logowania podczas logowania nieinterakcyjnego jest odroczone do następnego interaktywnego logowania.

Przykład 3: Z czterogodzinnym cyklem odświeżania podstawowego tokenu odświeżania odblokowywania

Scenariusz 1 — zwroty użytkownika w ramach cyklu

  • O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
  • O godzinie 00:30 użytkownik wstanie i przerwie blokuje swoje urządzenie.
  • O godzinie 00:45 użytkownik powraca z przerwy i odblokuje urządzenie.
  • O godzinie 01:00 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora, 1 godzinę po początkowym logowaniu.

Scenariusz 2 — użytkownik zwraca poza cyklem

  • O godzinie 00:00 użytkownik loguje się do urządzenia dołączonego do systemu Windows 11 firmy Microsoft Entra i rozpoczyna pracę nad dokumentem przechowywanym w usłudze SharePoint Online.
  • O godzinie 00:30 użytkownik wstanie i przerwie blokuje swoje urządzenie.
  • O godzinie 04:45 użytkownik powraca z przerwy i odblokuje urządzenie.
  • O godzinie 05:45 użytkownik zostanie poproszony o ponowne zalogowanie. Ten monit jest oparty na wymaganiach dotyczących częstotliwości logowania w zasadach dostępu warunkowego skonfigurowanych przez administratora. Jest to teraz 1 godzina po odświeżeniu żądania ściągnięcia o 04:45, a ponad 4 godziny od początkowego logowania o godzinie 00:00.

Wymagaj ponownego uwierzytelniania za każdym razem

Istnieją scenariusze, w których klienci mogą wymagać nowego uwierzytelniania, za każdym razem, gdy użytkownik wykonuje określone akcje, takie jak:

  • Uzyskiwanie dostępu do poufnych aplikacji.
  • Zabezpieczanie zasobów za dostawcami sieci VPN lub sieci jako usługi (NaaS).
  • Zabezpieczanie podniesienia uprawnień ról uprzywilejowanych w usłudze PIM.
  • Ochrona logowania użytkowników na maszynach usługi Azure Virtual Desktop.
  • Ochrona ryzykownych użytkowników i ryzykownych logów zidentyfikowanych przez Ochrona tożsamości Microsoft Entra.
  • Zabezpieczanie poufnych akcji użytkownika, takich jak rejestracja w usłudze Microsoft Intune.

Częstotliwość logowania ustawiona na wartość za każdym razem , gdy zasób ma logikę, kiedy klient powinien uzyskać nowy token. Te zasoby przekierowuje użytkownika z powrotem do firmy Microsoft tylko po wygaśnięciu sesji.

Administracja istratorzy powinni ograniczyć liczbę aplikacji, które wymuszają zasady wymagające ponownego uwierzytelnienia użytkowników za każdym razem. Uwzględniamy pięć minut niesymetryczności zegara, gdy za każdym razem jest wybierana w zasadach, dzięki czemu nie monitujemy użytkowników częściej niż raz na pięć minut. Wyzwalanie ponownego uwierzytelniania zbyt często może zwiększyć problemy z zabezpieczeniami, co powoduje, że użytkownicy doświadczają zmęczenia uwierzytelniania wieloskładnikowego i otwierają drzwi na próby wyłudzania informacji. Aplikacje internetowe zwykle zapewniają mniej destrukcyjne środowisko niż ich odpowiedniki klasyczne, gdy wymagaj ponownego uwierzytelniania za każdym razem, gdy jest włączona.

  • W przypadku aplikacji w stosie platformy Microsoft 365 zalecamy użycie częstotliwości logowania użytkowników opartych na czasie w celu uzyskania lepszego środowiska użytkownika.
  • W witrynie Azure Portal i centrum administracyjnym firmy Microsoft Entra zalecamy użycie częstotliwości logowania użytkownika opartego na czasie lub wymaganie ponownego uwierzytelnienia w przypadku aktywacji pim przy użyciu kontekstu uwierzytelniania w celu uzyskania lepszego środowiska użytkownika.

Ogólnie dostępne obsługiwane scenariusze:

  • Wymagaj ponownego uwierzytelnienia użytkownika podczas rejestracji urządzeń w usłudze Intune niezależnie od bieżącego stanu uwierzytelniania wieloskładnikowego.
  • Wymagaj ponownego uwierzytelnienia użytkownika dla ryzykownych użytkowników z wymaganą kontrolą udzielania zmian haseł.
  • Wymagaj ponownego uwierzytelnienia użytkownika w przypadku ryzykownych logów przy użyciu kontroli przyznawania uwierzytelniania wieloskładnikowego.

Funkcje publicznej wersji zapoznawczej z lutego 2024 r. umożliwiają administratorom wymaganie uwierzytelniania za pomocą następujących funkcji:

Gdy administratorzy wybierają pozycję Za każdym razem, wymaga pełnego ponownego uwierzytelnienie podczas oceniania sesji.

Trwałość sesji przeglądania

Dzięki trwałej sesji przeglądarki użytkownicy nie są wylogowywani po zamknięciu i ponownym otworzeniu okna przeglądarki.

Domyślna wartość identyfikatora Entra firmy Microsoft dla trwałości sesji przeglądarki umożliwia użytkownikom na urządzeniach osobistych wybranie, czy chcesz utrwalać sesję, wyświetlając komunikat "Nie wyloguj się?" monit po pomyślnym uwierzytelnieniu. Jeśli trwałość przeglądarki jest skonfigurowana w usługach AD FS przy użyciu wskazówek w artykule AD FS ustawienia logowania jednokrotnego, przestrzegamy tych zasad i utrwalamy również sesję firmy Microsoft Entra. Możesz również skonfigurować, czy użytkownicy w dzierżawie widzą komunikat "Nie wyloguj się?" monituj, zmieniając odpowiednie ustawienie w okienku znakowania firmowego.

W przeglądarkach trwałych pliki cookie pozostają przechowywane na urządzeniu użytkownika nawet po zamknięciu przeglądarki. Te pliki cookie mogą mieć dostęp do artefaktów firmy Microsoft Entra, a te artefakty są używane do czasu wygaśnięcia tokenu niezależnie od zasad dostępu warunkowego umieszczonych w środowisku zasobów. Dlatego buforowanie tokenów może być bezpośrednim naruszeniem żądanych zasad zabezpieczeń na potrzeby uwierzytelniania. Chociaż może się wydawać wygodne przechowywanie tokenów poza bieżącą sesją, może to spowodować lukę w zabezpieczeniach, zezwalając na nieautoryzowany dostęp do artefaktów firmy Microsoft Entra.

Konfigurowanie kontrolek sesji uwierzytelniania

Dostęp warunkowy jest funkcją Microsoft Entra ID P1 lub P2 i wymaga licencji Premium. Jeśli chcesz dowiedzieć się więcej na temat dostępu warunkowego, zobacz Co to jest dostęp warunkowy w usłudze Microsoft Entra ID?

Ostrzeżenie

Jeśli używasz konfigurowalnej funkcji okresu istnienia tokenu obecnie w publicznej wersji zapoznawczej, pamiętaj, że nie obsługujemy tworzenia dwóch różnych zasad dla tego samego użytkownika lub kombinacji aplikacji: jednej z tą funkcją i drugą z konfigurowalną funkcją okresu istnienia tokenu. Firma Microsoft wycofała funkcję konfigurowalnego okresu istnienia tokenu na potrzeby okresów istnienia tokenu odświeżania i sesji 30 stycznia 2021 r. i zastąpiła ją Funkcją zarządzania sesją uwierzytelniania dostępu warunkowego.

Przed włączeniem częstotliwości logowania upewnij się, że inne ustawienia ponownego uwierzytelniania są wyłączone w dzierżawie. Jeśli opcja "Pamiętaj uwierzytelnianie wieloskładnikowe na zaufanych urządzeniach" jest włączona, pamiętaj, aby wyłączyć ją przed użyciem częstotliwości logowania, ponieważ użycie tych dwóch ustawień może prowadzić do nieoczekiwanego monitowania użytkowników. Aby dowiedzieć się więcej na temat monitów o ponowne uwierzytelnianie i okresu istnienia sesji, zobacz artykuł Optymalizowanie monitów o ponowne uwierzytelnianie i zrozumienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Następne kroki