ใช้การจัดการเซสชันและการประเมินการเข้าถึงอย่างต่อเนื่อง

  • 3 นาที

ในการปรับใช้ที่ซับซ้อน องค์กรอาจจําเป็นต้องจํากัดเซสชันการรับรองความถูกต้อง สถานการณ์บางอย่างอาจรวมถึง:

  • การเข้าถึงทรัพยากรจากอุปกรณ์ที่ไม่มีการจัดการหรือใช้ร่วมกัน
  • การเข้าถึงข้อมูลที่สําคัญจากเครือข่ายภายนอก
  • ผู้ใช้ที่มีลําดับความสําคัญสูงหรือผู้บริหาร
  • แอปพลิเคชันทางธุรกิจที่สําคัญ

ตัวควบคุมการเข้าถึงตามเงื่อนไขช่วยให้คุณสามารถสร้างนโยบายที่กําหนดเป้าหมายกรณีการใช้งานเฉพาะภายในองค์กรของคุณโดยไม่กระทบต่อผู้ใช้ทั้งหมด

ก่อนที่จะเจาะลึกรายละเอียดเกี่ยวกับวิธีการกําหนดค่านโยบาย เรามาตรวจสอบการกําหนดค่าเริ่มต้นกันก่อน

ความถี่ในการลงชื่อเข้าใช้ของผู้ใช้

ความถี่ในการลงชื่อเข้าใช้จะกําหนดระยะเวลาก่อนที่จะขอให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้งเมื่อพยายามเข้าถึงทรัพยากร

การกําหนดค่าเริ่มต้นของรหัส Microsoft Entra สําหรับความถี่ในการลงชื่อเข้าใช้ของผู้ใช้คือหน้าต่างย้อนกลับของ 90 วัน การถามผู้ใช้สําหรับข้อมูลประจําตัวมักจะดูเหมือนสิ่งที่สมเหตุสมผลที่จะทํา แต่สามารถทําสําเนาย้อนกลับได้: ผู้ใช้ที่ได้รับการฝึกฝนให้ใส่ข้อมูลประจําตัวของพวกเขาโดยไม่ต้องคิดว่าสามารถใส่ข้อมูลประจําตัวที่เป็นอันตรายได้โดยไม่ตั้งใจ

อาจฟังดูน่าตกใจที่จะไม่ขอให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้ง การละเมิดนโยบายด้าน IT จะเพิกถอนเซสชัน ตัวอย่างเช่น การเปลี่ยนรหัสผ่าน อุปกรณ์ที่ไม่สอดคล้อง หรือบัญชีถูกปิดใช้งาน คุณยังสามารถเพิกถอนเซสชันของผู้ใช้อย่างชัดเจนโดยใช้ PowerShell ได้ ค่าเริ่มต้นของ Microsoft Entra ID มาที่ 'อย่าขอให้ผู้ใช้ระบุข้อมูลประจําตัวของพวกเขาถ้าท่าทางด้านความปลอดภัยของเซสชันของพวกเขาไม่ได้เปลี่ยนแปลง'

การตั้งค่าความถี่การลงชื่อเข้าใช้ทํางานกับแอปที่ใช้โพรโทคอล OAUTH2 หรือ OIDC ตามมาตรฐาน แอปส่วนใหญ่สําหรับ Windows, Mac และมือถือรวมถึงเว็บแอปพลิเคชันต่อไปนี้สอดคล้องกับการตั้งค่า

  • Word, Excel, PowerPoint ออนไลน์
  • OneNote ออนไลน์
  • Office.com
  • พอร์ทัลผู้ดูแลระบบ Microsoft 365
  • การแลกเปลี่ยนออนไลน์
  • SharePoint และ OneDrive
  • ไคลเอ็นต์เว็บของ Teams
  • Dynamics CRM ออนไลน์
  • พอร์ทัล Azure

การตั้งค่าความถี่ในการลงชื่อเข้าใช้ทํางานร่วมกับแอปพลิเคชัน SAML ได้เช่นกัน ตราบใดที่พวกเขาไม่วางคุกกี้ของตนเองและเปลี่ยนเส้นทางกลับไปยัง Microsoft Entra ID สําหรับการรับรองความถูกต้องเป็นประจํา

ความถี่การลงชื่อเข้าใช้ของผู้ใช้และการรับรองความถูกต้องแบบหลายปัจจัย

ความถี่ในการลงชื่อเข้าใช้ก่อนหน้านี้นําไปใช้กับการรับรองความถูกต้องปัจจัยแรกบนอุปกรณ์ที่ Microsoft Entra เข้าร่วม การรวม Microsoft Entra แบบไฮบริด และ Microsoft Entra ที่ลงทะเบียนไว้ ไม่มีวิธีง่ายๆ สําหรับลูกค้าของเราที่จะบังคับใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) อีกครั้งบนอุปกรณ์เหล่านั้น ตามคําติชมของลูกค้า ความถี่การลงชื่อเข้าใช้จะใช้สําหรับ MFA เช่นกัน

แผนภาพของกระบวนการลงชื่อเข้าใช้แบบหลายปัจจัยที่มีความถี่ในการลงชื่อเข้าใช้

ความถี่การลงชื่อเข้าใช้ของผู้ใช้และข้อมูลประจําตัวอุปกรณ์

ถ้าคุณมี Microsoft Entra เข้าร่วม Microsoft Entra แบบไฮบริดหรืออุปกรณ์ที่ลงทะเบียนของ Microsoft Entra เมื่อผู้ใช้ปลดล็อกอุปกรณ์หรือสัญญาณของพวกเขาในแบบโต้ตอบ เหตุการณ์นี้จะเป็นไปตามนโยบายความถี่การลงชื่อเข้าใช้เช่นกัน ในสองตัวอย่างต่อไปนี้ ความถี่การลงชื่อเข้าใช้ของผู้ใช้ถูกตั้งค่าเป็นหนึ่งชั่วโมง:

ตัวอย่างที่ 1:

  • ในเวลา 00:00 ผู้ใช้ลงชื่อเข้าใช้อุปกรณ์ที่เข้าร่วม Windows 10 Microsoft Entra ของพวกเขา และเริ่มทํางานบนเอกสารที่จัดเก็บบน SharePoint Online
  • ผู้ใช้ยังคงทํางานในเอกสารเดียวกันบนอุปกรณ์ของพวกเขาเป็นเวลาหนึ่งชั่วโมง
  • เมื่อเวลา 01:00 ผู้ใช้จะได้รับพร้อมท์ให้ลงชื่อเข้าใช้อีกครั้งตามข้อกําหนดความถี่ในการลงชื่อเข้าใช้ในนโยบายการเข้าถึงตามเงื่อนไขที่กําหนดค่าโดยผู้ดูแลระบบของพวกเขา

ตัวอย่างที่ 2:

  • ในเวลา 00:00 ผู้ใช้ลงชื่อเข้าใช้อุปกรณ์ที่เข้าร่วม Windows 10 Microsoft Entra ของพวกเขา และเริ่มทํางานบนเอกสารที่จัดเก็บบน SharePoint Online
  • เมื่อเวลา 00:30 ผู้ใช้จะเริ่มต้นและหยุดทํางาน ล็อคอุปกรณ์ของตน
  • เวลา 00:45 ผู้ใช้จะกลับมาจากการหยุดทํางานและการปลดล็อกอุปกรณ์
  • ที่ 01:45 ผู้ใช้จะได้รับพร้อมท์ให้ลงชื่อเข้าใช้อีกครั้งตามข้อกําหนดความถี่ในการลงชื่อเข้าใช้ในนโยบายการเข้าถึงตามเงื่อนไขที่กําหนดค่าโดยผู้ดูแลระบบของพวกเขาตั้งแต่การลงชื่อเข้าใช้ครั้งล่าสุดเกิดขึ้นเวลา 00:45 น.

การคงอยู่ของเซสชันการเรียกดู

เซสชันของเบราว์เซอร์แบบถาวรอนุญาตให้ผู้ใช้ยังคงลงชื่อเข้าใช้หลังจากปิดและเปิดหน้าต่างเบราว์เซอร์ของตนอีกครั้ง ค่าเริ่มต้นของรหัส Microsoft Entra สําหรับการคงอยู่ของเซสชันเบราว์เซอร์อนุญาตให้ผู้ใช้บนอุปกรณ์ส่วนบุคคลสามารถเลือกได้ว่าจะคงเซสชันไว้โดยแสดง 'คงการลงชื่อเข้าใช้อยู่หรือไม่' พร้อมท์หลังจากการรับรองความถูกต้องสําเร็จ

การตรวจสอบความถูกต้อง

ใช้เครื่องมือ What-If เพื่อจําลองการลงชื่อเข้าใช้จากผู้ใช้ไปยังแอปพลิเคชันเป้าหมายและเงื่อนไขอื่น ๆ ตามวิธีที่คุณกําหนดค่านโยบายของคุณ ตัวควบคุมการจัดการเซสชันการรับรองความถูกต้องแสดงขึ้นในผลลัพธ์ของเครื่องมือ

ภาพหน้าจอของผลลัพธ์เครื่องมือ What If แบบมีเงื่อนไข

การปรับใช้นโยบาย

เพื่อให้แน่ใจว่านโยบายของคุณทํางานได้ตามที่คาดไว้ แนวทางปฏิบัติที่ดีที่สุดที่แนะนําคือการทดสอบก่อนที่จะเผยแพร่สู่การผลิต ตามหลักแล้ว ให้ใช้ผู้เช่าทดสอบเพื่อตรวจสอบว่านโยบายใหม่ของคุณทํางานตามที่คุณต้องการหรือไม่

การประเมินการเข้าถึงแบบต่อเนื่อง (CAE)

การหมดอายุของโทเค็นและการรีเฟรชเป็นกลไกมาตรฐานในอุตสาหกรรม เมื่อแอปพลิเคชันไคลเอ็นต์เช่น Outlook เชื่อมต่อกับบริการเช่น Exchange Online คําขอ API จะได้รับอนุญาตโดยใช้โทเค็นการเข้าถึง OAuth 2.0 ตามค่าเริ่มต้นโทเค็นการเข้าถึงจะใช้ได้เป็นเวลาหนึ่งชั่วโมงเมื่อไคลเอ็นต์หมดอายุจะถูกเปลี่ยนเส้นทางไปยังรหัส Microsoft Entra เพื่อรีเฟรช ระยะเวลาการรีเฟรชดังกล่าวให้โอกาสในการประเมินนโยบายสําหรับการเข้าถึงของผู้ใช้อีกครั้ง ตัวอย่างเช่น: เราอาจเลือกที่จะไม่รีเฟรชโทเค็นเนื่องจากนโยบายการเข้าถึงแบบมีเงื่อนไข หรือเนื่องจากผู้ใช้ถูกปิดใช้งานในไดเรกทอรี

อย่างไรก็ตาม จะมีความล่าช้าระหว่างเมื่อมีการเปลี่ยนแปลงเงื่อนไขสําหรับผู้ใช้ และเมื่อมีการบังคับใช้การเปลี่ยนแปลงนโยบาย การตอบสนองอย่างทันท่วงทีต่อการละเมิดนโยบายหรือปัญหาด้านความปลอดภัยจําเป็นต้องมี "การสนทนา" ระหว่างผู้ออกโทเค็นและผู้ที่เกี่ยวข้อง (แอปที่ได้รับการให้ความเพลิดเพลิน) การสนทนาแบบสองทิศทางนี้ให้ความสามารถที่สําคัญสองอย่างแก่เรา ฝ่ายที่เกี่ยวข้องสามารถดูได้เมื่อคุณสมบัติเปลี่ยนแปลง เช่น ตําแหน่งเครือข่าย และบอกผู้ออกโทเค็น นอกจากนี้ยังให้วิธีแก่ผู้ออกโทเค็นในการบอกให้ฝ่ายที่เกี่ยวข้องหยุดเคารพโทเค็นสําหรับผู้ใช้ที่กําหนดเนื่องจากบัญชีผู้ใช้ไม่ปลอดภัย ปิดใช้งาน หรือข้อกังวลอื่น ๆ กลไกสําหรับการสนทนานี้คือการประเมินการเข้าถึงอย่างต่อเนื่อง (CAE)

สวัสดิการ

มีข้อดีสําคัญหลายประการในการประเมินการเข้าถึงแบบต่อเนื่อง

  • การยุติการใช้งานของผู้ใช้หรือการเปลี่ยนรหัสผ่าน/รีเซ็ต: การเพิกถอนเซสชันผู้ใช้จะถูกบังคับใช้ในแบบเรียลไทม์
  • การเปลี่ยนแปลงตําแหน่งเครือข่าย: จะมีการบังคับใช้นโยบายตําแหน่งการเข้าถึงตามเงื่อนไขในแบบใกล้เคียงกับเวลาจริง
  • การส่งออกโทเค็นไปยังเครื่องภายนอกเครือข่ายที่เชื่อถือได้สามารถป้องกันได้ด้วยนโยบายตําแหน่งที่ตั้งการเข้าถึงแบบมีเงื่อนไข

ลําดับกระบวนการประเมินผลและการเพิกถอน

แผนภาพของโฟลว์กระบวนการเมื่อโทเค็นการเข้าถึงถูกยกเลิก และไคลเอ็นต์ต้องรับรองการเข้าถึงอีกครั้ง

  1. การประเมินการเข้าถึงแบบต่อเนื่อง (CAE) ไคลเอ็นต์ที่สามารถแสดงข้อมูลประจําตัวหรือโทเค็นรีเฟรชไปยัง ID Microsoft Entra เพื่อขอโทเค็นการเข้าถึงสําหรับทรัพยากรบางอย่าง
  2. โทเค็นการเข้าถึงจะถูกส่งกลับพร้อมกับวัตถุอื่น ๆ ไปยังไคลเอ็นต์
  3. ผู้ดูแลระบบจะยกเลิกโทเค็นการรีเฟรชทั้งหมดสําหรับผู้ใช้อย่างชัดเจน เหตุการณ์การเพิกถอนจะถูกส่งไปยังผู้ให้บริการทรัพยากรจากรหัส Microsoft Entra
  4. โทเค็นการเข้าถึงจะแสดงตัวให้บริการทรัพยากร ผู้ให้บริการทรัพยากรประเมินความถูกต้องของโทเค็น และตรวจสอบว่ามีเหตุการณ์การเพิกถอนใด ๆ สําหรับผู้ใช้หรือไม่ ผู้ให้บริการทรัพยากรใช้ข้อมูลนี้เพื่อตัดสินใจที่จะอนุญาตให้เข้าถึงทรัพยากรหรือไม่
  5. ในกรณีของแผนภาพ ผู้ให้บริการทรัพยากรจะปฏิเสธการเข้าถึงและส่งการทดสอบการอ้างสิทธิ์ 401 + กลับไปยังไคลเอ็นต์
  6. ลูกค้าที่มีความสามารถ CAE เข้าใจความท้าทายการอ้างสิทธิ์ 401 + ซึ่งจะข้ามแคชและกลับไปยังขั้นตอนที่ 1 ส่งโทเค็นรีเฟรชพร้อมกับการทดสอบการอ้างสิทธิ์กลับไปยัง MICROSOFT Entra ID จากนั้น Microsoft Entra ID จะประเมินเงื่อนไขทั้งหมดอีกครั้งและแจ้งให้ผู้ใช้ตรวจสอบสิทธิ์อีกครั้งในกรณีนี้