條件式存取:復原預設值
如果主要驗證服務中斷,Microsoft Entra Backup Authentication Service 可以針對現有會話自動對應用程式發出存取令牌。 這項功能會大幅增加 Microsoft Entra 復原能力,因為現有會話的重新驗證占 Microsoft Entra 標識符驗證的 90% 以上。 備份驗證服務不支援來賓使用者的新會話或驗證。
針對受條件式存取保護的驗證,系統會在簽發存取令牌之前重新評估原則,以判斷:
- 哪些條件式存取原則適用?
- 對於套用的原則,是否滿足所需的控件?
在中斷期間,備份驗證服務無法實時評估所有條件,以判斷是否應該套用條件式存取原則。 條件式存取復原預設值是新的會話控件,可讓系統管理員在以下兩者之間做出決定:
- 每當無法即時評估原則條件時,是否要封鎖中斷期間的驗證。
- 允許使用使用者會話開頭收集的數據來評估原則。
重要
所有新的和現有的原則都會自動啟用復原預設值,Microsoft 強烈建議讓恢復預設值保持啟用,以減輕中斷的影響。 管理員 可能會停用個別條件式存取原則的復原預設值。
如何運作?
在中斷期間,備份驗證服務會自動為特定會話重新發出存取令牌:
| 會話描述 | 授與的存取權 |
|---|---|
| 新增工作階段 | No |
| 現有的工作階段 – 未設定條件式存取原則 | Yes |
| 現有的會話 – 已設定條件式存取原則,以及先前滿足 MFA 等必要控件 | Yes |
| 現有的會話 – 已設定條件式存取原則,以及先前未滿足 MFA 等必要控件 | 由復原預設值決定 |
當現有工作階段在 Microsoft Entra 中斷期間到期時,新的存取令牌要求會路由傳送至備份驗證服務,並重新評估所有條件式存取原則。 如果沒有條件式存取原則或所有必要控件,例如 MFA,先前在會話開始時都已滿足,備份驗證服務會發出新的存取令牌來擴充會話。
如果先前未滿足原則的必要控件,則會重新評估原則,以判斷是否應該授與或拒絕存取權。 不過,並非所有條件都可以在中斷期間即時重新評估。 這些條件包括:
- 群組成員資格
- 角色成員資格
- 登入風險
- 使用者風險
- 國家/地區位置(解析新的IP或 GPS 座標)
- 驗證強度
使用中時,備份驗證服務不會評估驗證強度所需的驗證方法。 如果您在中斷前使用非網路釣魚防護驗證方法,即使使用網路釣魚防護驗證強度存取受條件式存取原則保護的資源,也不會提示您進行多重要素驗證。
已啟用復原預設值
啟用復原預設值時,備份驗證服務會使用會話開頭收集的數據來評估原則是否應在沒有實時數據的情況下套用。 根據預設,所有原則都會啟用復原預設值。 當需要即時原則評估,才能在中斷期間存取敏感性應用程式時,可能會停用個別原則的設定。
範例:已啟用復原預設值的原則要求所有使用者指派特殊許可權角色存取 Microsoft 管理員 入口網站以執行 MFA。 在中斷之前,如果未獲指派系統管理員角色的使用者存取 Azure 入口網站,則不會套用原則,而且使用者會被授與存取權,而不會提示您輸入 MFA。 在中斷期間,備份驗證服務會重新評估原則,以判斷是否應提示使用者輸入 MFA。 由於備份驗證服務無法即時評估角色成員資格,因此會使用使用者會話開頭收集的數據來判斷原則仍不應套用。 因此,使用者會被授與存取權,而不會提示您輸入 MFA。
已停用復原預設值
停用復原預設值時,備份驗證服務不會使用會話開頭收集的數據來評估條件。 在中斷期間,如果無法即時評估原則條件,則會拒絕存取。
範例:停用復原預設值的原則要求所有使用者指派特殊許可權角色存取 Microsoft 管理員 入口網站,才能執行 MFA。 在中斷之前,如果未獲指派系統管理員角色的使用者存取 Azure 入口網站,則不會套用原則,而且使用者會被授與存取權,而不會提示 MFA。 在中斷期間,備份驗證服務會重新評估原則,以判斷是否應提示使用者輸入 MFA。 由於備份驗證服務無法即時評估角色成員資格,因此會封鎖使用者存取 Azure 入口網站。
警告
針對套用至群組或角色的原則停用復原預設值,將會減少租使用者中所有用戶的復原能力。 由於群組和角色成員資格無法在中斷期間實時評估,因此即使是不屬於原則指派中群組或角色的使用者,也會拒絕存取原則範圍內的應用程式。 若要避免減少不在原則範圍內之所有用戶的復原能力,請考慮將原則套用至個別使用者,而不是群組或角色。
測試復原預設值
您無法使用備份驗證服務進行試執行,或模擬目前啟用或停用復原預設值的原則結果。 Microsoft Entra 會使用備份驗證服務進行每月練習。 登入記錄會顯示備份驗證服務是否用來發出存取令牌。 在 [身分識別>監視與健康情況>登入記錄] 刀鋒視窗中,您可以新增篩選 [令牌簽發者類型 == Microsoft Entra Backup Auth],以顯示 Microsoft Entra 備份驗證服務處理的記錄。
設定復原預設值
您可以從 Microsoft Entra 系統管理中心、MS Graph API 或 PowerShell 設定條件式存取復原預設值。
Microsoft Entra 系統管理中心
- 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 建立新的原則或選取現有的原則
- 開啟會話控件設定
- 選取 [停用復原預設值] 以停用此原則的設定。 在 Microsoft Entra 中斷期間,原則範圍內的登入會遭到封鎖
- 儲存原則的變更
MS Graph API
您也可以使用 MS Graph API 和 Microsoft Graph Explorer 來管理條件式存取原則的復原預設值。
範例要求 URL:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
範例要求本文:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
安裝 Microsoft.Graph.Authentication 模組之後,可以使用 Microsoft PowerShell 來部署此修補作業。 若要安裝此模組,請開啟提升許可權的 PowerShell 提示字元並執行
Install-Module Microsoft.Graph.Authentication
連線 至 Microsoft Graph,要求所需的範圍:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
出現提示時進行驗證。
建立 PATCH 要求的 JSON 本文:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
執行修補作業:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
建議
Microsoft 建議啟用復原預設值。 雖然沒有任何直接的安全性考慮,但客戶應該評估是否要允許備份驗證服務在中斷期間使用會話開頭收集的數據,而不是實時評估條件式存取原則。
使用者的角色或群組成員資格有可能在會話開始時變更。 使用 持續存取評估 (CAE)時,存取令牌有效期為 24 小時,但受限於立即撤銷事件。 備份驗證服務會訂閱相同的撤銷事件 CAE。 如果使用者的令牌已撤銷為 CAE 的一部分,使用者就無法在中斷期間登入。 啟用復原預設值時,將會延長在中斷期間到期的現有會話。 即使原則已設定會話控件來強制執行登入頻率,會話也會延伸。 例如,啟用復原預設值的原則可能需要使用者每小時重新驗證一次才能存取 SharePoint 網站。 在中斷期間,即使無法使用 Microsoft Entra ID 重新驗證使用者,也會擴充使用者的會話。