Настройка политик адаптивного времени существования сеанса

Предупреждение

Если вы используете функцию существования настраиваемого токена в настоящее время в общедоступной предварительной версии, мы не поддерживаем создание двух разных политик для одного и того же сочетания пользователей или приложений: один с этой функцией и другой с настраиваемым компонентом времени существования маркера. Корпорация Майкрософт отставила от настраиваемой функции времени существования маркера для обновления и времени существования маркера сеанса сеанса 30 января 2021 г. и заменила ее функцией управления сеансами проверки подлинности условного доступа.

Прежде чем включить настройку частоты входа, убедитесь, что в вашей учетной записи отключены другие параметры повторной проверки подлинности. Если включен параметр MFA на доверенных устройствах, отключите его перед использованием частоты входа, так как при использовании этих двух параметров пользователи могут неожиданно предложить пользователям. Дополнительные сведения о запросах повторной проверки подлинности и времени существования сеанса см. в статье " Оптимизация запросов повторной проверки подлинности" и понимание времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Развертывание политики

Чтобы убедиться, что политика работает должным образом, протестируйте ее перед развертыванием в рабочей среде. Используйте тестовый клиент, чтобы убедиться, что новая политика работает должным образом. Дополнительные сведения см. в статье Планирование развертывания условного доступа.

Политика 1. Управление частотой входа

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.

2. Перейдите к Entra ID>условному доступу>политикам.

3. Выберите Новая политика.

4. Присвойте политике имя. Создайте значимый стандарт для политик именования.

5. Выберите все необходимые условия для окружения клиента, включая целевые облачные приложения.

   Примечание.

   Рекомендуется задать такую частоту запроса проверки подлинности для ключевых приложений Microsoft 365, таких как Exchange Online и SharePoint Online, для лучшего взаимодействия с пользователем.

6. В разделе Элементы управления доступом>Сеанс.

   1. Выберите Частота входа.
      1. Выберите периодическую повторную проверку подлинности и введите значение часов или дней либо выберите Каждый раз.

   

7. Сохраните настройки.

Политика 2. Сохраняемый сеанс браузера

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.

2. Перейдите к Entra ID>условному доступу>политикам.

3. Выберите Новая политика.

4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

5. Выберите все обязательные условия.

   Примечание.

   Для этого элемента управления требуется выбрать "Все облачные приложения" в качестве условия. Устойчивость сеансов браузера контролируется токеном сеанса проверки подлинности. Все вкладки в сеансе браузера совместно используют один маркер сеанса, поэтому все они должны предоставлять общий доступ к состоянию сохраняемости.

6. В разделе Элементы управления доступом>Сеанс.

   1. Выберите Сохраняемый сеанс браузера.

      Примечание.

      Конфигурация сеанса постоянного браузера в условном доступе Microsoft Entra переопределяет параметр "Оставаться вошедшего?" в области фирменной символики компании для одного пользователя, если настроены обе политики.

   2. Выберите значение в раскрывающемся списке.

7. Сохраните настройки.

Примечание.

Параметры времени существования сеанса, включая частоту входа и постоянные сеансы браузера, определяют частоту повторной проверки подлинности пользователей и сохранение сеансов во время перезапуска браузера. Более короткие сроки существования повышают безопасность для приложений с высоким уровнем риска, а более длинные — для доверенных или управляемых устройств.

Политика 3: Контроль частоты входа каждый раз при рисковом действии пользователя.

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
2. Перейдите к Entra ID>Условному доступу.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы и укажите учетные записи аварийного доступа или обходные учетные записи вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе Целевые ресурсы>включитьвыберите Все ресурсы (ранее "Все облачные приложения").
7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
   1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите " Требовать изменение пароля".
   3. Выберите Выберите.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выберите.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров с помощью режима только для отчета переместите переключатель " Включить политику " из "Только отчет " в "Вкл".

Проверка

Используйте средство What If для имитации входа в целевое приложение и другие условия на основе конфигурации политики. Элементы управления сеанса проверки подлинности отображаются в результатах работы средства.

Допустимая задержка введения команд

Мы учитываем пять минут, когда каждый раз выбирается в политике, поэтому мы не запрашиваем пользователей чаще, чем каждые пять минут. Если пользователь завершает MFA за последние 5 минут и сталкивается с другой политикой условного доступа, требующей повторной проверки подлинности, мы не запрашиваем пользователя. Запрос пользователей слишком часто на повторную проверку подлинности может повлиять на производительность и повысить риск утверждения запросов MFA, которые они не инициировали. Используйте "Частота входа — каждый раз", только если существуют определенные бизнес-потребности.

Известные проблемы

• Если вы настраиваете частоту входа для мобильных устройств: проверка подлинности после каждого интервала частоты входа может быть медленной и может занять 30 секунд в среднем. Эта проблема также может возникать в различных приложениях одновременно.
• На устройствах iOS: если приложение настраивает сертификаты в качестве первого фактора проверки подлинности и имеет частоту входа и политики управления мобильными приложениями Intune , пользователи блокируют вход в приложение при активации политики.
• Приватный доступ Microsoft Entra не поддерживает частоту входа в систему каждый раз.

Следующие шаги

• Готовы настроить политики условного доступа для вашей среды? См. раздел "Планирование развертывания условного доступа".