共用方式為


條件式存取:復原預設值

如果主要驗證服務中斷,Microsoft Entra 備份驗證服務會自動將存取權杖發行至現有工作階段的應用程式。 這項功能會大幅提升Microsoft Entra 復原能力,因為現有工作階段的重新驗證佔 Microsoft Entra ID 驗證的 90% 以上。 備份驗證服務不支援來賓使用者的新工作階段或驗證。

針對條件式存取所保護的驗證,系統會先重新評估原則以判斷下列事項,然後才發行存取權杖:

  1. 套用哪些條件式存取原則?
  2. 針對已套用的原則,是否滿足所需的控制項?

在中斷期間,備份驗證服務無法即時評估所有條件,以判斷是否應該套用條件式存取原則。 條件式存取復原預設值是新的工作階段控制項,可讓管理員決定:

  • 只要無法即時評估原則條件,是否就要在中斷期間封鎖驗證。
  • 允許使用在使用者工作階段開始時所收集的資料來評估原則。

重要

所有新原則和現有原則都會自動啟用復原預設值,Microsoft 也強烈建議保持啟用復原預設值,以降低中斷的影響。 系統管理員可以停用個別條件式存取原則的復原預設值。

如何運作?

在中斷期間,備份驗證服務會自動重新發出特定工作階段的存取權杖:

工作階段描述 授與的存取權
新增工作階段 No
現有的工作階段–未設定任何條件式存取原則 Yes
現有的工作階段–已設定條件式存取原則,且先前已滿足必要控制項 (例如 MFA) Yes
現有的工作階段–已設定條件式存取原則,且先前未滿足必要控制項 (例如 MFA) 由復原預設值決定

若現有工作階段在 Microsoft Entra 中斷期間過期,系統就會將新存取權杖的要求路由傳送至備份驗證服務,並重新評估所有條件式存取原則。 如果在工作階段開始時沒有滿足任何條件式存取原則或所有必要的控制項 (例如 MFA),則備份驗證服務會發行新的存取權杖來延長工作階段。

如果先前未滿足原則的必要控制項,則會重新評估原則,以判斷是否應該授與或拒絕存取。 不過,並非所有條件都可以在中斷期間即時重新評估。 這些條件包括:

  • 群組成員資格
  • 角色成員資格
  • 登入風險
  • 使用者風險
  • 國家/地區位置 (解析新 IP 或 GPS 座標)
  • 驗證強度

作用中時,備份驗證服務不會評估驗證強度所需的驗證方法。 若中斷前使用的驗證方法無法防範網路釣魚,即使在中斷期間存取受到使用防範網路釣魚驗證強度的條件式存取原則保護的資源,系統也不會提示您進行多重要素驗證。

啟用復原預設值

啟用復原預設值時,備份驗證服務可能會使用在工作階段開始時所收集的資料,以評估是否應該在缺少即時資料時套用原則。 根據預設,所有原則都會啟用復原預設值。 如果在中斷期間因存取機密應用程式而必須評估即時原則,則可針對個別原則停用這項設定。

範例:已啟用復原預設值的原則要求已指派特殊權限角色來存取 Microsoft 管理入口網站的所有使用者,執行 MFA。 在中斷之前,如果存取 Azure 入口網站的使用者不是已指派的系統管理員角色,則不會套用此原則;該使用者可獲得存取權,但系統並不會提示其進行 MFA。 在中斷期間,備份驗證服務會重新評估原則,以判斷是否應該提示使用者進行 MFA。 因為備份驗證服務無法即時評估角色成員資格,所以會以在使用者工作階段開始時所收集的資料來判斷是否仍不套用原則。 如此一來,使用者即可獲得存取權,而不會收到 MFA 的提示。

停用復原預設值

停用復原預設值時,備份驗證服務將不會使用在工作階段開始時所收集的資料來評估條件。 在中斷期間,如果無法即時評估原則條件,系統會拒絕存取。

範例:已停用復原預設值的原則要求已指派特殊權限角色來存取 Microsoft 管理入口網站的所有使用者,執行 MFA。 在中斷之前,如果存取 Azure 入口網站的使用者不是已指派的系統管理員角色,則不會套用此原則;該使用者可獲得存取權,但系統並不會提示其進行 MFA。 在中斷期間,備份驗證服務會重新評估原則,以判斷是否應該提示使用者進行 MFA。 因為備份驗證服務無法即時評估角色成員資格,所以會封鎖使用者存取 Azure 入口網站。

警告

若針對套用至群組或角色的原則停用復原預設值,將會降低您租用戶中所有使用者的復原能力。 因為系統無法在中斷期間即時評估群組和角色成員資格,所以即使使用者不屬於原則指派中的群組或角色,系統也會拒絕其存取原則範圍內的應用程式。 為了避免降低原則範圍外所有使用者的復原能力,請考慮將原則套用至個別使用者,而非群組或角色。

測試復原預設值

您無法使用備份驗證服務進行試執行,或模擬目前已啟用或已停用復原預設值的原則結果。 Microsoft Entra 會使用備份驗證服務進行每月練習。 如果使用備份驗證服務來發出存取權杖,則會顯示登入記錄。 在 [身分識別] > [監視與健康情況] > [登入記錄] 刀鋒視窗中,您可以新增篩選條件"Token issuer type == Microsoft Entra Backup Auth",以顯示 Microsoft Entra 備份驗證服務所處理的記錄。

設定復原預設值

您可以從 Microsoft Entra 系統管理中心、MS Graph API 或 PowerShell 設定條件式存取復原預設值。

Microsoft Entra 系統管理中心

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護] > [條件式存取] > [原則]
  3. 建立新原則或選取現有的原則
  4. 開啟工作階段控制設定
  5. 選取 [停用復原預設值] 以停用此原則的該項設定。 在Microsoft Entra 中斷期間,原則範圍內的登入會遭到封鎖
  6. 儲存原則的變更

Microsoft Graph API

您也可以使用 MS Graph API 和 Microsoft Graph Explorer 來管理條件式存取原則的復原預設值。

範例要求 URL:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

範例要求本文:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

在安裝 Microsoft.Graph.驗證模組之後,您可以使用 Microsoft PowerShell 來部署此修補作業。 若要安裝此模組,請開啟提升權限的 PowerShell 命令提示字元,然後執行

Install-Module Microsoft.Graph.Authentication

連線至 Microsoft Graph,要求所需的範圍:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

在出現提示時進行驗證。

建立用於 PATCH 要求的 JSON 主體:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

執行修補作業:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

建議

Microsoft 建議啟用復原預設值。 雖然沒有直接的安全性顧慮,客戶仍應評估是否要允許備份驗證服務在中斷期間使用工作階段開始時 (而不是即時) 收集到的資料來評估條件式存取原則。

使用者的角色或群組成員資格可能會在工作階段開始後變更。 使用持續性存取評估 (CAE) 時,存取權杖的有效時間為 24 小時,但取決於立即撤銷事件而定。 備份驗證服務會訂閱相同的撤銷事件 CAE。 如果在 CAE 期間撤銷使用者的權杖,使用者即無法在中斷時登入。 啟用復原預設值時,系統會延長在中斷期間過期的現有工作階段。 即使原則設定為使用工作階段控制項來實施登入頻率,仍會延長工作階段。 例如,啟用復原預設值的原則可能會要求使用者每隔一小時重新驗證以存取 SharePoint 網站。 在中斷期間,即使可能無法使用 Microsoft Entra ID 來重新驗證使用者,還是會延長使用者的工作階段。

下一步