Настройка политик адаптивного времени существования сеанса

  • Статья

Предупреждение

Если сейчас вы используете функцию настраиваемого времени существования для маркеров в общедоступной предварительной версии, то обратите внимание, что мы не поддерживаем создание двух разных политик для одного сочетания пользователя и приложения: один объект — с этой функцией, а другой — с функцией настраиваемого времени существования для маркеров. Корпорация Майкрософт прекратила использовать функцию настраиваемого времени существования для маркеров обновления и сеанса 30 января 2021 г. и заменила ее функцией управления сеансом проверки подлинности с условным доступом.

Перед включением частоты входа убедитесь, что в клиенте отключены другие параметры повторной проверки подлинности. Если параметр "запоминания MFA на доверенных устройствах" включен, обязательно отключите его перед использованием частоты входа, так как использование вместе этих двух параметров может привести к отправке непредвиденных запросов пользователям. Дополнительные сведения о запросах повторной проверки подлинности и времени существования сеанса см. в статье " Оптимизация запросов повторной проверки подлинности" и понимание времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Развертывание политики

Чтобы убедиться, что политика работает должным образом, рекомендуется протестировать ее перед развертыванием в рабочей среде. В идеале для проверки правильности работы новой политики следует использовать тестовый клиент. Дополнительные сведения см. в статье Планирование развертывания условного доступа.

Политика 1. Управление частотой входа

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.

  2. Перейдите к условному доступу к защите>.

  3. Выберите команду Создать политику.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. Выберите все необходимые условия для окружения клиента, включая целевые облачные приложения.

    Примечание.

    Рекомендуем задать равную частоту запросов проверки подлинности для ключевых приложений Microsoft Office, таких как Exchange Online и SharePoint Online, для оптимального взаимодействия с пользователем.

  6. В разделе Элементы управления доступом>Сеанс.

    1. Выберите Частота входа.
      1. Выберите периодическую повторную проверку подлинности и введите значение часов или дней либо выберите Каждый раз.

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. Сохраните политику.

Политика 2. Сохраняемый сеанс браузера

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.

  2. Перейдите к условному доступу к защите>.

  3. Выберите команду Создать политику.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. Выберите все обязательные условия.

    Примечание.

    Для этого элемента управления необходимо выбрать "Все облачные приложения" в качестве условия. Сохраняемость сеанса браузера находится под управлением маркера сеанса проверки подлинности. Все вкладки в сеансе браузера совместно используют один маркер сеанса, поэтому все они должны предоставлять общий доступ к состоянию сохраняемости.

  6. В разделе Элементы управления доступом>Сеанс.

    1. Выберите Сохраняемый сеанс браузера.

      Примечание.

      Конфигурация сеанса сохраняемого браузера в условном доступе Microsoft Entra переопределяет значение "Оставаться вошедшего в систему?" если вы настроили обе политики, в области фирменной символики компании для одного и того же пользователя.

    2. Выберите значение в раскрывающемся списке.

  7. Сохраните политику.

Политика 3. Контроль частоты входа при каждом обнаружении рискованных пользователей

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
    3. Нажмите кнопку Готово.
  6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".>
  7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий, а затем нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ, Требовать изменения пароля, а затем нажмите Выбрать.
  9. В разделе Элементы управления сеансом>Частота входа выберите Каждый раз.
  10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Проверка

Используйте средство What If для имитации входа пользователя в целевое приложение и других условий с учетом того, как вы настроили свою политику. Элементы управления сеанса проверки подлинности отображаются в результатах работы средства.

Допуски при выдаче запросов

Мы учитываем пять минут, когда каждый раз выбирается в политике, чтобы не запрашивать пользователей чаще, чем каждые пять минут. Если пользователь завершил многофакторную проверку подлинности за последние 5 минут, и он попал в другую политику условного доступа, требующую повторной проверки подлинности, мы не запрашиваем пользователя. Слишком запрашивающие пользователи повторной проверки подлинности могут повлиять на производительность и повысить риск утверждения запросов MFA, которые они не инициировали. Используйте параметр "Частота входа: каждый раз" только для конкретных потребностей бизнеса.

Известные проблемы

  • При настройке частоты входа для мобильных устройств проверка подлинности после каждого входа в систему будет замедляться (в среднем может требоваться 30 секунд). Кроме того, это может происходить в разных приложениях одновременно.
  • Если на устройствах iOS приложение в качестве первого фактора проверки подлинности настраивает сертификаты и к приложению применяются политики частоты входа и управления мобильными приложениями Intune, то при активации политики вход в приложение для конечных пользователей будет заблокирован.

Следующие шаги