Udostępnij za pośrednictwem

Ochrona tokenów w usłudze Microsoft Entra

Ten artykuł jest kontynuacją artykułu Understanding tokens in Microsoft Entra ID (Opis tokenów w identyfikatorze Entra firmy Microsoft). W tym artykule założono, że przeczytasz artykuł Understanding tokens in Microsoft Entra ID (Opis tokenów w identyfikatorze Entra firmy Microsoft) i przedstawiono konkretne kroki, które można wykonać, aby ograniczyć ryzyko pomyślnego ataku kradzieży/odtwarzania tokenu w danym środowisku.

Zalecenia tego artykułu obejmują wiele rozwiązań technologicznych firmy Microsoft, które mają szereg wymagań licencyjnych. Upewnij się, że masz odpowiednie licencjonowanie dla:

Strategia obrony wielowarstwowej przed kradzieżą tokenów

Istnieje kilka możliwości, które można włączyć, aby zmniejszyć obszar obszaru podatnego na ataki i zmniejszyć ryzyko pomyślnego naruszenia tokenu. W następnych sekcjach omówimy wiele funkcji zabezpieczeń firmy Microsoft, które należą do jednej z trzech kategorii:

  • Minimalizuj ryzyko: Zwiększ odporność lub zmniejsz powierzchnię podatną na ataki, aby utrudnić skuteczną kradzież tokenów.
  • Wykrywanie i ograniczanie ryzyka: wykrywanie kradzieży tokenu zakończonego powodzeniem i konfigurowanie automatycznego ograniczania ryzyka, jeśli to możliwe.
  • Ochrona przed atakami powtórzeniowymi: Blokuj powtórzenia lub zmniejsz wpływ pomyślnej kradzieży tokenu.

Poniżej znajduje się ogólne podsumowanie kluczowych obszarów, na których organizacje powinny skupić się w ramach strategii ochrony przed kradzieżą tokenów.

Diagram przedstawiający strategie obrony przed kradzieżą tokenów.

Kradzież tokenu — minimalizowanie ryzyka

Zapobieganie pomyślnemu wystąpieniu zdarzenia kradzieży tokenu w pierwszej kolejności jest najbardziej skutecznym sposobem ochrony organizacji. Organizacje powinny wzmacniać zabezpieczenia urządzeń przed metodami eksfiltracji tokenów opartymi na urządzeniach przy użyciu usługi Microsoft Defender dla punktów końcowych i usługi Microsoft Intune. Organizacje powinny również wdrażać mechanizmy kontroli, aby uniemożliwić użytkownikom dostęp do złośliwych lub ryzykownych miejsc docelowych w Internecie.

Wzmacnianie zabezpieczeń urządzeń

Wykonaj następujące konfiguracje i wdrożenia w celu zabezpieczenia wszystkich urządzeń/punktów końcowych jako pierwszej linii obrony przed kradzieżą tokenów opartych na złośliwym oprogramowaniu. Przed rozpoczęciem upewnij się, że urządzenia są zarejestrowane w usłudze Intune i czy usługa Microsoft Defender dla punktu końcowego jest wdrożona.

Kontrola Windows 10/11 macOS Linuxa
Włącz zawsze włączoną ochronę programu antywirusowego Microsoft Defender na potrzeby ochrony w czasie rzeczywistym, monitorowania zachowania i heurystyki w celu identyfikowania złośliwego oprogramowania na podstawie znanych podejrzanych i złośliwych działań. X X X
Włącz ochronę w chmurze programu antywirusowego Microsoft Defender , aby chronić przed złośliwym oprogramowaniem w punktach końcowych i w sieci. X X X
Włącz ochronę sieci w usłudze Microsoft Defender dla punktu końcowego , aby chronić urządzenia przed określonymi zdarzeniami internetowymi, uniemożliwiając nawiązywanie połączeń ze złośliwymi lub podejrzanymi witrynami. X X X
Włącz ochronę przed naruszeniami w usłudze Microsoft Defender dla punktu końcowego , aby chronić niektóre ustawienia zabezpieczeń, takie jak ochrona przed wirusami i zagrożeniami, przed wyłączeniem lub zmianą. X X -
Utwórz zasady zgodności urządzeń w usłudze Intune , które wymagają oznaczenia poziomu ryzyka maszyny przez usługę Microsoft Defender dla punktu końcowego jako niskiego lub jasnego pod kątem zgodności. X X -

Nawet w przypadku zasad wzmacniania zabezpieczeń urządzeń organizacje muszą utworzyć zasady dostępu warunkowego , które wymagają od użytkowników używania zgodnego urządzenia w celu uzyskania dostępu do wszystkich zasobów. Dzięki temu urządzenia pomyślnie wdrożły konfiguracje wzmacniania zabezpieczeń urządzeń oraz że użytkownicy nie mogą uzyskiwać dostępu do aplikacji i zasobów z niezarządzanych lub niezabezpieczonych urządzeń.

Inne konfiguracje dla systemu Windows

Inne konfiguracje dla systemu macOS

Wzmacnianie zabezpieczeń urządzeń przenośnych

Urządzenia przenośne, takie jak iOS i Android, można wzmacniać przy użyciu ochrony urządzeń przenośnych przed zagrożeniami. Ochrona przed zagrożeniami mobilnymi obejmuje szereg funkcji, które mogą chronić przed zagrożonymi urządzeniami, oraz zagrożenia internetowe, które mogą blokować instalowanie złośliwego oprogramowania w pierwszej kolejności, uniemożliwiając eksfiltrację tokenów (i inne zagrożenia) na wczesnym etapie łańcucha zabijania.

Zakłócenia ataku XDR w usłudze Microsoft Defender

Adversary-in-the-middle (AiTM) to scenariusz objęty zakłóceniem ataku XDR w usłudze Microsoft Defender, który zapewnia skoordynowaną ochronę przed zagrożeniami na wczesnym etapie łańcucha zabijania ataku. Wdróż wszystkie obciążenia usługi Defender XDR (Defender for Identity, Defender for Office i Defender for Cloud Apps) i upewnij się, że przerwanie ataku jest skonfigurowane w usłudze Microsoft Defender XDR, przestrzegając wszystkich udokumentowanych wymagań wstępnych i konfiguracji. Zakłócenia ataków wykrywają ataki AiTM na wczesnym etapie i zakłócają atak, stosując automatyczne ograniczanie mechanizmów kontroli zabezpieczeń do punktów końcowych i tożsamości.

Wzmacnianie zabezpieczeń przed zagrożeniami internetowymi

Organizacje korzystające z przeglądarki Microsoft Edge powinny włączyć filtr Microsoft Defender SmartScreen. Filtr Microsoft Defender SmartScreen udostępnia system wczesnego ostrzegania przed witrynami internetowymi, które mogą angażować się w ataki wyłudzające informacje lub próbować rozpowszechniać złośliwe oprogramowanie za pośrednictwem ukierunkowanego ataku.

Program Microsoft Entra Internet Access zapewnia większą ochronę całego Internetu. Organizacje mogą wdrażać klientów globalnego bezpiecznego dostępu (GSA) na zarządzanych urządzeniach w celu blokowania złośliwej i/lub nieautoryzowanej zawartości internetowej przy użyciu filtrowania zawartości internetowej. Zmniejsza to prawdopodobieństwo, że użytkownicy przejdą do złośliwych witryn internetowych, co może prowadzić do instalacji złośliwego oprogramowania lub w inny sposób narażać urządzenie. Administratorzy powinni co najmniej zablokować kategorię nielegalnego oprogramowania, ale powinni również przejrzeć i rozważyć zablokowanie wszystkich kategorii stron internetowych związanych z odpowiedzialnością.

Ograniczanie użycia przepływu kodu urządzenia

Przepływ kodu urządzenia jest szczególnie przydatny w przypadku urządzeń z ograniczonymi możliwościami wejściowymi lub brakiem przeglądarki internetowej. Jednak przepływ kodu urządzenia może być używany w ramach ataku wyłudzania informacji lub uzyskiwania dostępu do zasobów firmowych na urządzeniach niezarządzanych. Kontrolkę przepływu kodu urządzenia można skonfigurować wraz z innymi kontrolkami w zasadach dostępu warunkowego. Jeśli na przykład przepływ kodu urządzenia jest używany dla urządzeń z salą konferencyjną opartą na systemie Android, możesz zablokować przepływ kodu urządzenia wszędzie, z wyjątkiem urządzeń z systemem Android w określonej lokalizacji sieciowej.

Należy zezwalać na przepływ kodu urządzenia tylko wtedy, gdy jest to konieczne. Firma Microsoft zaleca blokowanie przepływu kodu urządzenia wszędzie tam, gdzie to możliwe.

Dowiedz się więcej o przepływach uwierzytelniania dostępu warunkowego.

Kradzież tokenu — wykrywanie i ograniczanie ryzyka

Organizacje powinny aktywnie monitorować udane lub próbne ataki kradzieży tokenów. Istnieje wiele alertów generowanych na podstawie różnych produktów firmy Microsoft, które mogą wskazywać na potencjalną kradzież tokenu lub naruszenie konta. Poniżej przedstawiono ogólne podsumowanie tych wykryć. Aby zapoznać się ze szczegółowym przewodnikiem dotyczącym monitorowania, wykrywania i reagowania na zidentyfikowane kradzieże tokenów przy użyciu rozwiązania SIEM, zapoznaj się z podręcznikiem kradzieży tokenu.

Zasady dostępu warunkowego

Organizacje powinny skonfigurować następujące zasady dostępu warunkowego:

  • Wymagaj interaktywnego ponownego uwierzytelniania dla operacji poufnych (kontekst uwierzytelniania)
  • Wymaganie uwierzytelniania interakcyjnego w przypadku ryzykownych logów
  • Wykrywanie i korygowanie użytkowników wysokiego ryzyka

Te zasady dostępu warunkowego zapewniają bardziej zautomatyzowane korygowanie kradzieży tokenów i/lub rozwiązanie innych wektorów zagrożeń, które mogą być używane w atakach opartych na tokenach.

Wymagaj interaktywnego ponownego uwierzytelniania dla operacji poufnych

Organizacje mogą skonfigurować określone akcje w kontekstach uwierzytelniania, aby umożliwić ocenę zasad dostępu warunkowego poza normalnymi przepływami uwierzytelniania. Na przykład zasady dostępu warunkowego można skonfigurować do oceny, gdy administrator aktywuje rolę w usłudze Privileged Identity Management (PIM) lub gdy użytkownik wykonuje określoną akcję w aplikacji. Administratorzy powinni skonfigurować zasady dostępu warunkowego, które wymagają interaktywnego uwierzytelniania odpornego na wyłudzanie informacji (częstotliwość logowania ustawioną za każdym razem) dla akcji kontekstowych uwierzytelniania uznanych za poufne. Jeśli osoba atakująca nie może ponownie uwierzytelnić się, dostęp zostanie odrzucony, uniemożliwiając użycie skradzionej sesji logowania w celu ukończenia poufnej operacji.

Dowiedz się, jak skonfigurować kontekst uwierzytelniania w dostępie warunkowym.

Dowiedz się, jak używać kontekstu uwierzytelniania w aplikacjach (wskazówki dla deweloperów).

Wymaganie uwierzytelniania interakcyjnego w przypadku ryzykownych logów

Dzięki usłudze ochrony tożsamości Entra ID, ulepszonej za sprawą dodatkowych funkcji wykrywania oferowanych przez Microsoft Defender dla urządzeń końcowych, identyfikator Entra może wykrywać podejrzane próby logowania w czasie rzeczywistym. Na przykład, jeśli atakujący ukradnie i podejmie próbę odtworzenia tokenu odświeżania, usługa Entra ID Identity Protection może zidentyfikować, że logowanie ma nieznane właściwości i podniesie poziom ryzyka logowania dla tego zdarzenia. Administratorzy powinni skonfigurować zasady dostępu warunkowego, które wymagają interaktywnego uwierzytelniania odpornego na wyłudzanie informacji (częstotliwość logowania ustawioną za każdym razem) dla średnich lub wyższych poziomów ryzyka logowania. Jeśli osoba atakująca nie może ponownie uwierzytelnić, dostęp zostanie odrzucony, uniemożliwiając użycie skradzionej sesji logowania w celu uzyskania lub rozszerzenia nieautoryzowanego dostępu.

Dowiedz się, jak skonfigurować zasady dostępu warunkowego Risk-Based.

Wykrywanie i korygowanie użytkowników wysokiego ryzyka

Dzięki usłudze Entra ID Identity Protection, która została ulepszona przez dodatkowe wykrycia z Microsoft Defender dla punktu końcowego, Entra ID generuje wskaźnik ryzyka użytkownika dla każdego konta, wskazując poziom pewności, czy konto zostało naruszone. Jeśli identyfikator Entra lub usługa Microsoft Defender dla punktu końcowego wykryje oznaki pomyślnego kradzieży tokenu, prawdopodobnie wynik ryzyka użytkownika zostanie ustawiony na Wysoki. W takim przypadku możesz automatycznie zablokować lub skorygować konto (na przykład bezpieczne zmienianie hasła), aby uniemożliwić przeciwnikowi dalsze wykorzystanie nieautoryzowanego dostępu, który mógł osiągnąć.

Aplikacje, które obsługują ciągłą ocenę dostępu, automatycznie cofa dostęp w czasie niemal rzeczywistym, gdy zostanie wykryte wysokie ryzyko użytkownika, wystawiając przekierowanie z powrotem do Entra ID w celu ponownego uwierzytelnienia i ponownego autoryzowania.

Dowiedz się, jak skonfigurować zasady dostępu warunkowego Risk-Based.

Microsoft Defender XDR

Wdróż obciążenia XDR usługi Defender, aby otrzymywać alerty dotyczące podejrzanych lub nietypowych zachowań związanych z kradzieżą tokenu.

  • Używanie usługi Defender dla usługi Office 365 do wykrywania i blokowania złośliwych wiadomości e-mail, linków i plików
  • Używając łączników usługi Microsoft Defender for Cloud Apps, Microsoft 365 Defender zgłasza alerty związane z AiTM w różnych scenariuszach. W przypadku klientów Entra ID korzystających z przeglądarki Microsoft Edge, próby atakujących na odtworzenie ciasteczek sesji w celu uzyskania dostępu do aplikacji w chmurze są wykrywane przez łączniki Defender for Cloud Apps dla usługi Office 365 i platformy Azure.

Usługa Microsoft Defender XDR podczas korzystania z łączników usługi Defender for Cloud Apps i usługi Defender dla punktu końcowego może zgłaszać następujące alerty:

  • Użyto skradzionego pliku cookie sesji
  • Możliwa próba wyłudzania informacji przez AiTM

Inne wykrycia

Wykrywanie ryzyka w Entra ID Protection

  • Nietypowy token
  • Atak typu człowiek-pośrednik
  • Nieznane właściwości logowania

Wykrywanie usługi Microsoft Defender dla usługi Office 365

  • Wiadomości e-mail zawierające złośliwe pliki usunięte po dostarczeniu
  • Wiadomości e-mail z kampanii usunięte po dostarczeniu
  • Wykryto potencjalnie złośliwe kliknięcie adresu URL
  • Użytkownik kliknął do potencjalnie złośliwego adresu URL

Wykrywanie anomalii w usłudze Microsoft Defender for Cloud Apps

  • Niemożliwa aktywność podróżna
  • Aktywność z rzadkiego kraju

Ochrona przed naruszeniem zabezpieczeń poczty e-mail w usłudze Microsoft Defender XDR Business

  • Atak dotyczący zbierania poświadczeń związanych z naruszeniem protokołu BEC (Business Email Compromise)
  • Podejrzane wiadomości e-mail dotyczące wyłudzania informacji wysyłane przez użytkownika powiązanego z usługą BEC

Kradzież tokenu — ochrona przed powtórką

Jeśli przeciwnik jest w stanie pomyślnie ukraść token, organizacje mogą umożliwić niektórym możliwościom automatyczne zmniejszenie narażenia skradzionego tokenu na ponowne odtworzenie, a tym samym pokonanie ataku. Te możliwości obejmują:

  • Wymuszanie ochrony tokenów w dostępie warunkowym w celu zabezpieczenia sesji logowania
  • Wymuszanie dostępu jest dozwolone tylko za pośrednictwem bezpiecznych sieci

Wymuszanie ochrony tokenów

Entra Główny token odświeżania

Dla urządzeń, które są przyłączone do Entra lub zarejestrowane w Entra, Entra ID generuje wieloaplikacyjny token odświeżania używany do jednokrotnego logowania aplikacji, znany również jako Podstawowy Token Odświeżania (PRT).

Podstawowe tokeny odświeżania (PRT) są chronione kryptograficznie bezpiecznym powiązaniem między PRT a urządzeniem (klucz tajny klienta), do którego jest wystawiany PRT. Na urządzeniach z systemem Windows tajny klucz klienta jest bezpiecznie przechowywany na sprzęcie specyficznym dla platformy, takim jak moduły TPM (Trusted Platform Modules). Obecnie urządzenia nie-Windows przechowują tajemnicę w oprogramowaniu.

Ochrona tokenów w dostępie warunkowym

Wymuszanie ochrony tokenu w dostępie warunkowym gwarantuje, że są używane tylko tokeny odświeżania, które są kryptograficznie powiązane z urządzeniem. Tokeny odświeżania elementu nośnego, które mogą być używane z dowolnego urządzenia, są automatycznie odrzucane. Ta metoda zapewnia najwyższy poziom zabezpieczeń na potrzeby ochrony sesji logowania, ponieważ token może być używany tylko z urządzenia, do którego został pierwotnie wystawiony. W momencie publikacji tego wpisu ochrona tokenów w dostępie warunkowym jest dostępna dla aplikacji natywnych systemu Windows łączących się z usługami Microsoft Teams, SharePoint i Exchange. Nieustannie pracujemy nad rozszerzeniem zakresu ochrony tokenów przez dodanie obsługi dodatkowych platform, aplikacji i zasobów. Zaktualizowana lista obsługiwanych aplikacji i zasobów można znaleźć w tym artykule. Ochrona tokenów w usłudze Microsoft Entra Conditional Access — Microsoft Entra ID | Microsoft Learn.

Organizacje są zachęcane do pilotowania i wdrażania ochrony tokenów dla wszystkich obsługiwanych aplikacji, urządzeń i platform. Aplikacje, które nie obsługują ochrony tokenów, powinny być chronione innymi zasadami, takimi jak zasady sieciowe.

Zapoznaj się z następującym artykułem, aby dowiedzieć się więcej i uzyskać wskazówki dotyczące wdrażania: Dowiedz się, jak skonfigurować ochronę tokenów.

Uwaga / Notatka

Ochrona tokenów w dostępie warunkowym wymaga użycia PRTs. Scenariusze, takie jak korzystanie z niezarejestrowanych urządzeń, nie są dostępne, ponieważ te urządzenia nie mają prT.

Uwaga / Notatka

Ochrona tokenów entra ma zastosowanie tylko do użytkownika, który zalogował się do urządzenia. Jeśli na przykład odblokujesz urządzenie z systemem Windows, korzystając z konta standardowego, ale uzyskujesz dostęp do zasobu, uwierzytelniając się na innym koncie, ta ostatnia tożsamość nie może być chroniona przez Entra Token Protection, ponieważ nie ma ważnego PRT (pierwotnego tokena odświeżania).

Implementowanie wymuszań opartych na sieci

Ochrona tokenów Entra jest najbezpieczniejszą metodą ochrony tokenów sesji logowania, ale jest ograniczona w zakresie pokrycia aplikacji i dotyczy tylko użytkownika zalogowanego na urządzeniu. Aby jeszcze bardziej zmniejszyć obszar ataków, organizacje mogą implementować zasady wymuszania oparte na sieci, które mogą obejmować szerszy zakres aplikacji, często obejmujących wszystkie aplikacje dla przedsiębiorstw. Zasady oparte na sieci mogą również obejmować dodatkowe tożsamości poza użytkownikiem, który jest zalogowany na urządzeniu.

Zasady oparte na sieci uniemożliwiają odtwarzanie artefaktów sesji logowania (takich jak tokeny odświeżania) poza wyznaczonymi sieciami, co skutecznie udaremnia kradzież tokenu i ponowne odtwarzanie ataków, które eksfiltrują sesje logowania poza granicą organizacji. Mimo że wewnętrzne wektory zagrożeń mogą nadal stanowić zagrożenie ze względu na dostęp do tej samej sieci, zmuszanie podmiotów zagrożeń do działania w granicach organizacji znacznie zwiększa prawdopodobieństwo wykrywania i ograniczania zagrożeń za pośrednictwem innych mechanizmów kontroli zabezpieczeń.

Ponadto w niektórych scenariuszach, takich jak w przypadku aplikacji obsługujących ciągłą ocenę dostępu, te miary mogą być również skutecznym sposobem ograniczenia kradzieży tokenu i ponownego odtwarzania tokenów sesji aplikacji, takich jak tokeny dostępu.

Ochrona sesji logowania za pomocą globalnego bezpiecznego dostępu

Organizacje powinny wdrożyć globalny bezpieczny dostęp w celu ustanowienia bezpiecznego połączenia sieciowego między urządzeniami klienckimi i zasobami, znanymi również jako zgodna sieć. Administratorzy mogą następnie utworzyć zasady dostępu warunkowego, które wymagają użycia zgodnej sieci w celu uzyskania dostępu do dowolnej aplikacji dla przedsiębiorstw zintegrowanej z identyfikatorem Entra. Ta miara uniemożliwia odtwarzanie artefaktów sesji logowania z urządzeń niezarządzanych przez organizację.

Ochrona sesji logowania przy użyciu tradycyjnych kontrolek sieci

Zamiast sprawdzania zgodności sieci organizacje mogą korzystać z tradycyjnych rozwiązań sieciowych, takich jak sieci VPN, aby chronić sesje logowania. Administratorzy mogą następnie utworzyć zasady dostępu warunkowego opartego na lokalizacji, które ograniczają próby uwierzytelniania do określonych adresów IP ruchu wychodzącego. Jednak organizacje powinny wziąć pod uwagę wpływ na wydajność i koszty związane z routingiem ruchu za pośrednictwem sieci firmowej. W związku z tym firma Microsoft zaleca korzystanie z globalnego bezpiecznego dostępu, w pełni bezpiecznego, globalnie rozproszonego rozwiązania usługi Security Edge.

Dowiedz się, jak skonfigurować zasady dostępu warunkowego opartego na lokalizacji przy użyciu identyfikatora Entra.

Ochrona sesji aplikacji za pomocą wymuszania opartego na sieci

Tworząc zasady dostępu warunkowego opartego na lokalizacji ograniczające dostęp do określonych adresów IP ruchu wychodzącego, organizacje mogą również chronić niektóre sesje aplikacji. Podzbiór aplikacji firmy Microsoft, takich jak SharePoint Online i Exchange Online, używa protokołu oceny ciągłego dostępu (CAE). Aplikacje świadome CAE oceniają egzekwowanie na poziomie sieci i zarządzają artefaktami sesji aplikacji odtwarzanymi poza zaufaną siecią niemal w czasie rzeczywistym. Organizacje mogą dodatkowo poprawić wymuszanie sieci opartej na protokole IP, konfigurując ścisłe zasady lokalizacji za pomocą CAE, aby zapewnić dostępność ruchu dla aplikacji obsługujących CAE tylko w zaufanych sieciach.

W przypadku aplikacji, które nie są obsługujące caE, organizacje mogą chronić sesje aplikacji za pomocą kontrolek dostępnych po stronie aplikacji. Na przykład niektóre aplikacje obsługują wymuszanie oparte na adresach IP w warstwie aplikacji oprócz tych wymuszanych przez dostawcę tożsamości. Następnie aplikacja odrzuca użycie dowolnego artefaktu sesji aplikacji używanego poza zaufaną siecią. Tunelowanie ruchu specyficznego dla aplikacji za pośrednictwem sieci należących do firmy można osiągnąć za pośrednictwem źródłowego zakotwiczenia adresów IP za pomocą globalnego bezpiecznego dostępu, a także innych tradycyjnych rozwiązań sieciowych, takich jak sieci VPN.

Dowiedz się więcej na temat zakotwiczenia źródłowego adresu IP za pomocą globalnego bezpiecznego dostępu.

Podsumowanie strategii ochrony tokenów

Podsumowując, ochrona tokenów w Microsoft Entra obejmuje wielowarstwową strategię obrony w celu ochrony przed kradzieżą tokenów i atakami powtórzeniowymi. Obejmuje to wzmacnianie zabezpieczeń urządzeń przed złośliwym oprogramowaniem, korzystanie z dostępu warunkowego opartego na urządzeniach i opartego na ryzyku, wymuszanie tokenów powiązanych z urządzeniem i implementowanie wymuszania opartych na sieci. Ponadto organizacje powinny wdrażać uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji, monitorować podejrzane próby logowania i konfigurować zasady dostępu warunkowego, aby wymagać ponownego uwierzytelnienia dla operacji poufnych. Postępując zgodnie z tymi wytycznymi, organizacje mogą znacząco zmniejszyć ryzyko nieautoryzowanego dostępu i zapewnić bezpieczeństwo sesji logowania i sesji aplikacji.

Dalsze kroki