Az újrahitelesítési kérések optimalizálása és a munkamenet élettartamának megértése a Többtényezős Microsoft Entra-hitelesítéshez

  • Cikk

A Microsoft Entra ID több beállításból áll, amelyek meghatározzák, hogy a felhasználóknak milyen gyakran kell újrahitelesíteni őket. Ez az újrahitelesítés lehet egy olyan első tényező, mint a jelszó, a FIDO vagy a jelszó nélküli Microsoft Authenticator, vagy többtényezős hitelesítés végrehajtása. Ezeket az újrahitelesítési beállításokat igény szerint konfigurálhatja a saját környezetéhez és a kívánt felhasználói élményhez.

A Microsoft Entra ID alapértelmezett konfigurációja a felhasználói bejelentkezési gyakorisághoz 90 napos gördülő időszak. A felhasználók hitelesítő adatainak kérése gyakran ésszerű dolognak tűnik, de visszaüthet. Ha a felhasználók gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlanul is megadhatják őket egy rosszindulatú hitelesítőadat-kérésnek.

Riasztónak tűnhet, ha nem kéri a felhasználót, hogy jelentkezzen be, bár az informatikai szabályzatok bármilyen megsértése visszavonja a munkamenetet. Ilyen lehet például a jelszómódosítás, a nem megfelelő eszköz vagy a fiók letiltási művelete. A Microsoft Graph PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket.

Ez a cikk az ajánlott konfigurációkat, valamint a különböző beállítások működését és egymással való interakciót ismerteti.

Annak érdekében, hogy a felhasználók a megfelelő gyakorisággal jelentkezzenek be, a biztonság és a könnyű használat megfelelő egyensúlyának biztosítása érdekében a következő konfigurációkat javasoljuk:

  • Ha P1 vagy P2 Microsoft Entra-azonosítóval rendelkezik:
    • Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
    • Ha újrahitelesítésre van szükség, használjon feltételes hozzáférési bejelentkezési gyakorisági szabályzatot.
    • A nem felügyelt eszközökről vagy mobileszköz-forgatókönyvekből bejelentkező felhasználók esetében előfordulhat, hogy az állandó böngésző-munkamenetek nem előnyösek, vagy feltételes hozzáféréssel engedélyezheti az állandó böngésző munkameneteket bejelentkezési gyakorisági szabályzatokkal. A bejelentkezési kockázat alapján korlátozza az időtartamot a megfelelő időpontra, ha egy kisebb kockázattal rendelkező felhasználó hosszabb munkamenet-időtartammal rendelkezik.
  • Ha Rendelkezik Microsoft 365-alkalmazáslicencekkel vagy az ingyenes Microsoft Entra szinttel:
    • Engedélyezze az egyszeri bejelentkezést (SSO) az alkalmazások között felügyelt eszközök vagy közvetlen egyszeri bejelentkezés használatával.
    • Hagyja engedélyezve a Be van jelentkezve beállítást, és útmutatást ad a felhasználóknak annak elfogadásához.
  • Mobileszközök esetén győződjön meg arról, hogy a felhasználók a Microsoft Authenticator alkalmazást használják. Ez az alkalmazás más Összevont Microsoft Entra-alkalmazások közvetítőjeként használható, és csökkenti az eszközön a hitelesítési kéréseket.

Kutatásunk azt mutatja, hogy ezek a beállítások a legtöbb bérlő számára megfelelőek. Ezeknek a beállításoknak bizonyos kombinációi, például az MFA megjegyzése és a Bejelentkezés megőrzése, a felhasználók túl gyakran kérhetik a hitelesítést. A rendszeres újrahitelesítési kérések rosszak a felhasználói hatékonyság szempontjából, és sebezhetőbbé tehetik őket a támadásokkal szemben.

A Microsoft Entra munkamenet élettartamának konfigurációs beállításai

A felhasználók hitelesítési kéréseinek gyakoriságának optimalizálásához konfigurálhatja a Microsoft Entra munkamenetek élettartamának beállításait. Ismerje meg a vállalat és a felhasználók igényeit, és konfiguráljon olyan beállításokat, amelyek a legjobb egyensúlyt biztosítják a környezet számára.

Munkamenet élettartamára vonatkozó szabályzatok kiértékelése

A munkamenetek élettartamának beállításai nélkül nincsenek állandó cookie-k a böngésző munkamenetében. Minden alkalommal, amikor egy felhasználó bezárja és megnyitja a böngészőt, újrahitelesítési kérést kap. Az Office-ügyfeleknél az alapértelmezett időszak egy 90 napos gördülő időszak. Ebben az alapértelmezett Office-konfigurációban, ha a felhasználó visszaállította a jelszavát, vagy több mint 90 nap inaktivitás történt, a felhasználónak újra meg kell adnia az összes szükséges tényezőt (első és második tényező).

A felhasználók több MFA-kérést is láthatnak egy olyan eszközön, amely nem rendelkezik identitással a Microsoft Entra-azonosítóban. Több kérés akkor jelenik meg, ha minden alkalmazás saját OAuth frissítési jogkivonattal rendelkezik, amelyet nem oszt meg más ügyfélalkalmazásokkal. Ebben a forgatókönyvben az MFA többször kéri, mivel minden alkalmazás OAuth frissítési jogkivonatot kér az MFA-val való ellenőrzéshez.

A Microsoft Entra ID-ban a munkamenetek élettartamára vonatkozó legkorlátozóbb szabályzat határozza meg, hogy a felhasználónak mikor kell újrahitelesítenie. Vegyük például a következő esetet:

  • Engedélyezi a Be van jelentkezve, amely egy állandó böngésző cookie-t használ, és
  • Az MFA megjegyzése 14 napig is engedélyezve van

Ebben a példaforgatókönyvben a felhasználónak 14 naponta kell újrahitelesítenie. Ez a viselkedés a legszigorúbb szabályzatot követi, annak ellenére, hogy a Be van jelentkezve önmagában nem követeli meg a felhasználótól az újbóli hitelesítést a böngészőben.

Felügyelt eszközök

A Microsoft Entra-azonosítóhoz a Microsoft Entra-csatlakozással vagy a Microsoft Entra hibrid csatlakozással csatlakoztatott eszközök elsődleges frissítési jogkivonatokat (PRT) kapnak az alkalmazások egyszeri bejelentkezésének (SSO) használatára. Ez a PRT lehetővé teszi, hogy a felhasználó egyszer jelentkezzen be az eszközön, és lehetővé teszi az informatikai személyzet számára, hogy meggyőződjön arról, hogy a biztonsági és megfelelőségi szabványok teljesülnek. Ha egy felhasználónak gyakrabban kell bejelentkeznie egy csatlakoztatott eszközön bizonyos alkalmazásokhoz vagy forgatókönyvekhez, ez a feltételes hozzáférés bejelentkezési gyakoriságával érhető el.

Bejelentkezési lehetőség megjelenítése

Amikor egy felhasználó az Igen lehetőséget választja a Bejelentkezéskor? kérdésre, a böngésző állandó cookie-t állít be. Ez az állandó cookie mind az első, mind a második tényezőt megjegyzi, és csak a böngészőben található hitelesítési kérelmekre vonatkozik.

Screenshot of example prompt to remain signed in

Ha P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, javasoljuk, hogy használja a feltételes hozzáférési szabályzatot az állandó böngésző munkamenetéhez. Ez a szabályzat felülírja a Be van jelentkezve ? beállítást, és jobb felhasználói élményt nyújt. Ha nem rendelkezik Microsoft Entra-azonosítójú P1 vagy P2 licenccel, javasoljuk, hogy engedélyezze a bejelentkezést a felhasználók számára.

A felhasználók bejelentkezésének engedélyezésére szolgáló beállítás konfigurálásával kapcsolatos további információkért tekintse meg a "Bejelentkezve maradni? " kérdés kezelését ismertető témakört.

Többtényezős hitelesítés megjegyzése

Ezzel a beállítással 1–365 nap közötti értékeket konfigurálhat, és állandó cookie-t állíthat be a böngészőben, amikor a felhasználó a Bejelentkezéskor nem kéri újra az X nap beállítást.

Screenshot of example prompt to approve a sign-in request

Bár ez a beállítás csökkenti a webalkalmazások hitelesítéseinek számát, növeli a modern hitelesítési ügyfelek, például az Office-ügyfelek hitelesítéseinek számát. Ezek az ügyfelek általában csak 90 napos jelszó-visszaállítás vagy inaktivitás után kérik a kérést. Ha azonban ezt az értéket 90 napnál rövidebbre állítja, azzal lerövidíti az Office-ügyfelek alapértelmezett MFA-kéréseit, és növeli az újrahitelesítés gyakoriságát. Ha a be- vagy feltételes hozzáférési szabályzatokkal kombinálva használják, az növelheti a hitelesítési kérelmek számát.

Ha a Remember MFA-t használja, és P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, érdemes lehet ezeket a beállításokat a feltételes hozzáférés bejelentkezési gyakoriságára migrálni. Egyéb esetben érdemes lehet inkább a Bejelentkezve maradni? lehetőséget használni.

További információ: Többtényezős hitelesítés megjegyzése.

Hitelesítési munkamenet-kezelés feltételes hozzáféréssel

A bejelentkezési gyakoriság lehetővé teszi a rendszergazda számára, hogy olyan bejelentkezési gyakoriságot válasszon, amely az ügyfél és a böngésző első és második tényezőjére egyaránt érvényes. Ezeket a beállításokat és a felügyelt eszközök használatát javasoljuk olyan helyzetekben, amikor korlátoznia kell a hitelesítési munkamenetet, például kritikus fontosságú üzleti alkalmazások esetében.

Az állandó böngésző munkamenet lehetővé teszi, hogy a felhasználók bejelentkezve maradjanak a böngészőablak bezárása és újbóli megnyitása után. A Be van jelentkezve marad beállításhoz hasonlóan állandó cookie-t állít be a böngészőben. Mivel azonban a rendszergazda konfigurálta, nincs szükség arra, hogy a felhasználó válassza az Igen lehetőséget a Bejelentkezés megőrzése beállításban , így jobb felhasználói élményt nyújt. Ha a Bejelentkezve marad? lehetőséget használja, javasoljuk, hogy inkább engedélyezze az Állandó böngésző munkamenet-szabályzatát .

További tudnivalók. lásd: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.

Konfigurálható tokenélettartamok

Ez a beállítás lehetővé teszi a Microsoft Entra ID által kibocsátott token élettartamának konfigurálását. Ezt a házirendet a hitelesítési munkamenet-kezelés és a feltételes hozzáférés váltja fel. Ha ma konfigurálható jogkivonat-élettartamokat használ, javasoljuk, hogy indítsa el a feltételes hozzáférési szabályzatokra való migrálást.

A bérlő konfigurációjának áttekintése

Most, hogy megismerte a különböző beállítások működését és az ajánlott konfigurációt, ideje ellenőrizni a bérlőket. Első lépésként tekintse meg a bejelentkezési naplókat, amelyekből megtudhatja, hogy mely munkamenet-élettartam-szabályzatok lettek alkalmazva a bejelentkezés során.

Az egyes bejelentkezési naplók alatt lépjen a Hitelesítés részletei lapra, és ismerkedjen meg az alkalmazott munkamenet-élettartam-szabályzatokkal. További információt a bejelentkezési naplótevékenység részleteiről szóló cikkben talál.

Screenshot of authentication details.

A Bejelentkezés megőrzése beállítás konfigurálásához vagy áttekintéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
  2. Keresse meg az Identity>Company Branding webhelyet, majd minden területi beállításnál válassza a Megjelenítés lehetőséget a bejelentkezéshez.
  3. Válassza az Igen, majd a Mentés lehetőséget.

A megbízható eszközök többtényezős hitelesítési beállításainak megjegyzéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
  2. Tallózással keresse meg a Többtényezős védelem>hitelesítését.
  3. A Konfigurálás csoportban válassza a További felhőalapú MFA-beállítások lehetőséget.
  4. A többtényezős hitelesítési szolgáltatás beállításainak lapján görgessen a többtényezős hitelesítési beállítások megjegyzéséhez. A jelölőnégyzet jelölésének megszüntetésével tiltsa le a beállítást.

Ha feltételes hozzáférési szabályzatokat szeretne konfigurálni a bejelentkezési gyakorisághoz és az állandó böngésző munkamenethez, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Konfiguráljon egy szabályzatot a cikkben ismertetett ajánlott munkamenet-kezelési beállítások használatával.

A jogkivonatok élettartamának áttekintéséhez használja az Azure AD PowerShellt a Microsoft Entra-szabályzatok lekérdezéséhez. Tiltsa le a érvényben lévő szabályzatokat.

Ha több beállítás is engedélyezve van a bérlőben, javasoljuk, hogy frissítse a beállításokat az Ön számára elérhető licencelés alapján. Ha például P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, csak a bejelentkezési gyakoriság és az állandó böngésző munkamenetének feltételes hozzáférési szabályzatát kell használnia. Ha Microsoft 365-alkalmazásokkal vagy Ingyenes Microsoft Entra-azonosítós licencekkel rendelkezik, a Be van jelentkezve ? konfigurációt kell használnia.

Ha engedélyezte a konfigurálható jogkivonatok élettartamát, ez a funkció hamarosan el lesz távolítva. Feltételes hozzáférési szabályzatba való migrálás tervezése.

Az alábbi táblázat a licencek alapján összegzi a javaslatokat:

Ingyenes Microsoft Entra-azonosító és Microsoft 365-alkalmazások Microsoft Entra ID P1 vagy P2
SSO Microsoft Entra join vagy Microsoft Entra hibrid illesztés vagy közvetlen egyszeri bejelentkezés nem felügyelt eszközökhöz. A Microsoft Entra csatlakoztatása
Microsoft Entra hibrid csatlakozás
Újrahitelesítési beállítások Bejelentkezés megtartva Feltételes hozzáférési szabályzatok használata a bejelentkezési gyakorisághoz és az állandó böngésző munkamenetéhez

További lépések

Első lépésként végezze el a Felhasználói bejelentkezési események biztonságossá tételét a Microsoft Entra többtényezős hitelesítésselvagy a felhasználói bejelentkezések kockázatészleléseinek használata a Microsoft Entra többtényezős hitelesítés aktiválásához.