Hitelesítési munkamenetek felügyeletének konfigurálása feltételes hozzáféréssel

Összetett környezetekben előfordulhat, hogy a szervezeteknek korlátoznia kell a hitelesítési munkameneteket. Néhány forgatókönyv a következő lehet:

  • Erőforrás-hozzáférés nem által nem közösen megosztott eszközről
  • Bizalmas információkhoz való hozzáférés külső hálózatról
  • Nagy hatással van a felhasználókra
  • Kritikus fontosságú üzleti alkalmazások

A feltételes hozzáférés vezérlőivel olyan szabályzatokat hozhat létre, amelyek a szervezeten belüli konkrét esetekre vonatkoznak anélkül, hogy ez hatással lenne az összes felhasználóra.

Mielőtt részletezi a szabályzat konfigurálási részleteit, vizsgáljuk meg az alapértelmezett konfigurációt.

Felhasználói bejelentkezés gyakorisága

A bejelentkezési gyakoriság meghatározza azt az időtartamot, amelynek eltelte után a felhasználónak újra be kell jelentkeznie, ha hozzá szeretne férni egy erőforráshoz.

A Azure Active Directory (Azure AD) alapértelmezett konfigurációja a felhasználói bejelentkezés gyakoriságához egy 90 napos működés közbeni időkeret. A hitelesítő adatok megadásának kérése gyakran ésszerűnek tűnik, de visszatűzhet: a hitelesítő adatok megadására betanított felhasználók szándékolatlan módon rosszindulatú hitelesítő adatok megadására kérik őket.

Riasztónak tűnik, ha nem kell megkérni a felhasználót, hogy jelentkezzen be újra, a valóságban az it-szabályzatok megsértése vissza fogja vonni a munkamenetet. Ilyenek például a jelszó módosítása, a nem megfelelő eszközök vagy a fiók letiltása (de nem kizárólagosan). A PowerShell használatával explicit módon is visszavonhatja a felhasználói munkameneteket. Az Azure AD alapértelmezett konfigurációja a következő: "Ne kérje meg a felhasználókat a hitelesítő adataik megadására, ha a munkameneteik biztonsági helyzetében nem változott".

A bejelentkezési gyakoriság beállítás olyan alkalmazásokkal működik, amelyek az OAUTH2 vagy OIDC protokollokat a szabványoknak megfelelően valósítják meg. A legtöbb natív Microsoft-alkalmazás Windows, Mac és Mobile rendszerekhez, beleértve a következő webalkalmazásokat is, megfelel a beállításnak.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 Felügyeleti központ portál
  • Exchange Online
  • SharePoint és OneDrive
  • Teams ügyfél
  • Dynamics CRM Online
  • Azure Portal

A bejelentkezési gyakoriság beállítás SAML-alkalmazásokkal is működik, ha nem eldobják a saját cookie-jukat, és rendszeres időközönként vissza vannak irányítva az Azure AD-be a hitelesítéshez.

Felhasználói bejelentkezés gyakorisága és többtényezős hitelesítés

A bejelentkezés gyakorisága korábban csak az első tényezős hitelesítésre vonatkozott az Azure AD-hez csatlakozott, a hibrid Azure AD-hez csatlakozott és az Azure AD-ben regisztrált eszközökön. Az ügyfeleink számára nem volt egyszerű módszer a többtényezős hitelesítés (MFA) újraérvényesítésére az eszközökön. Az ügyfelek visszajelzései alapján a bejelentkezés gyakorisága az MFA-ban is érvényes lesz.

Bejelentkezés gyakorisága és MFA

Felhasználói bejelentkezés gyakorisága és eszköz identitása

Ha Azure AD-hez csatlakozott, hibrid Azure AD-hez csatlakozott vagy Azure AD-ben regisztrált eszközöket használ, amikor egy felhasználó feloldja az eszköz zárolását vagy interaktívan jelentkezik be, ez az esemény a bejelentkezési gyakorisági szabályzatnak is megfelel. A következő két példában a felhasználói bejelentkezés gyakorisága 1 óra:

  1. példa:
  • 00:00-kor a felhasználó bejelentkezik az Windows 10 Azure AD-hez csatlakozott eszközére, és megkezdi a munkát az SharePoint Online-on tárolt dokumentumon.
  • A felhasználó egy óráig dolgozik ugyanazon a dokumentumon az eszközén.
  • 01:00-kor a felhasználónak újra be kell jelentkeznie a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakoriságra vonatkozó követelménye alapján.
  1. példa
  • 00:00-kor a felhasználó bejelentkezik az Windows 10 Azure AD-hez csatlakozott eszközére, és megkezdi a munkát az SharePoint Online-on tárolt dokumentumon.
  • 00:30-kor a felhasználó feljön, és megszakítja az eszköz zárolását.
  • 00:45-kor a felhasználó visszatér a szünet után, és feloldja az eszköz zárolását.
  • 01:45-kor a rendszer arra kéri a felhasználót, hogy jelentkezzen be újra a rendszergazda által konfigurált feltételes hozzáférési szabályzat bejelentkezési gyakorisági követelménye alapján, mivel a legutóbbi bejelentkezés 00:45-kor történt.

Böngészési munkamenetek állandósága

Az állandó böngésző-munkamenet lehetővé teszi, hogy a felhasználók a böngészőablak bezárása és ismételt megnyitása után is bejelentkezve maradjanak.

Az Azure AD böngésző-munkamenetek megőrzésére vonatkozó alapértelmezett beállítása lehetővé teszi a személyes eszközökön a felhasználók számára, hogy eldöntse, megőrzik-e a munkamenetet a "Bejelentkezve marad?" kérdés a sikeres hitelesítés után. Ha a böngészőben való adatmegőrzés az AD FS-ban van konfigurálva az AD FS Single Sign-On Gépházcikkben megadott útmutatás szerint, akkor megfelelünk ennek a szabályzatnak, és az Azure AD-munkamenetet is meg fogjuk tartani. Azt is beállíthatja, hogy a bérlő felhasználói látják-e a "Maradjon bejelentkezve?" a megfelelő beállítás módosításával a vállalati arculat panelen Azure Portal az Azure AD bejelentkezési oldalának testreszabása cikkben található útmutatás alapján.

Hitelesítési munkamenet-vezérlők konfigurálása

A feltételes hozzáférés prémium szintű Azure AD funkció, és prémium szintű licencre van szüksége. Ha szeretne többet megtudni a feltételes hozzáférésről, tekintse meg a Feltételes hozzáférés a feltételes hozzáférés a Azure Active Directory?

Figyelmeztetés

Ha jelenleg a nyilvános előzetes verzióban konfigurálható jogkivonat-élettartam funkciót használja, vegye figyelembe, hogy nem támogatjuk két különböző szabályzat létrehozását ugyanazon felhasználó vagy alkalmazás kombinációhoz: egyet ezzel a funkcióval, egyet pedig a konfigurálható jogkivonat-élettartam funkcióval. A Microsoft 2021. január 30-án visszavonta a jogkivonatok konfigurálható élettartam-funkcióját a frissítéshez és a munkamenet-jogkivonatok élettartamára, és lecserélte a feltételes hozzáférésű hitelesítés munkamenet-kezelési szolgáltatására.

A Bejelentkezési gyakoriság engedélyezése előtt győződjön meg arról, hogy a bérlőben le vannak tiltva a többi újrahitelesítő beállítás. Ha az "MFA fontos eszközökön" beállítás engedélyezve van, mindenképpen tiltsa le a Bejelentkezés gyakorisága funkció használata előtt, mivel a két beállítás együttes használata váratlan felhasználói kérést okozhat. Az újrahitelesítési kérésekkel és a munkamenetek élettartamával kapcsolatos további információkért tekintse meg az Újrahitelesítési kérések optimalizálása és az Azure AD Multi-Factor Authentication munkamenet-élettartamának megismerését.

1. szabályzat: Bejelentkezési gyakoriság szabályozása

  1. Új szabályzat létrehozása

  2. Válassza ki az ügyfél környezetéhez szükséges összes feltételt, beleértve a célként használt felhőalkalmazásokat is.

    Megjegyzés

    A legjobb felhasználói élmény érdekében ajánlott azonos hitelesítési gyakoriságot beállítani a Microsoft Office alkalmazásokhoz, például Exchange Online SharePoint Online-hoz.

  3. A Hozzáférés-vezérlési > munkamenet menüben kattintson a Bejelentkezési gyakoriság elemre.

  4. Adja meg a napok és órák kötelező értékét az első szövegmezőben

  5. Válassza az Óra vagy a Nap lehetőséget a legördülő menüből

  6. A szabályzat mentése

A bejelentkezési gyakorisághoz konfigurált feltételes hozzáférési szabályzat

Az Azure AD-Windows eszközök bejelentkeznek az eszközre üzenetnek minősülnek. Ha például a bejelentkezési gyakoriságot 24 órára állította be Office-alkalmazásokhoz, az Azure AD-ben regisztrált Windows-eszközökön a felhasználók eleget tesznek a bejelentkezési gyakoriságra vonatkozó szabályzatnak, ha bejelentkeznek az eszközre, és a rendszer nem kéri újra a Office-alkalmazások megnyitásakor.

2. szabályzat: Állandó böngésző-munkamenet

  1. Új szabályzat létrehozása

  2. Válassza ki az összes szükséges feltételt.

    Megjegyzés

    Vegye figyelembe, hogy ehhez a vezérlőhöz a "Minden felhőalkalmazás" feltételt kell választani. A böngésző-munkamenetek megőrzését hitelesítési munkamenet-jogkivonat vezérli. A böngésző-munkamenet összes lapja egyetlen munkamenet-jogkivonattal osztozik, ezért mindegyiknek meg kell osztania az adatmegőrzési állapotot.

  3. A Hozzáférés-vezérlési munkamenet > menüben kattintson az Állandó böngésző-munkamenet elemre.

  4. Érték kiválasztása a legördülő menüből

  5. Szabályzat mentése

Állandó böngészőhöz konfigurált feltételes hozzáférési szabályzat

Megjegyzés

Az Azure AD feltételes hozzáférés állandó böngésző-munkamenet-konfigurációja felülírja a "Bejelentkezve marad?" beállítás a vállalati arculat panelen Azure Portal ugyanazon felhasználóhoz, ha mindkét szabályzatot konfigurálta.

Érvényesítés

A What-If eszköz használatával szimulálhatja a felhasználótól a célalkalmazásba való bejelentkezést, valamint a szabályzat konfigurálásának egyéb feltételeit. A hitelesítési munkamenet-kezelési vezérlők az eszköz eredményében omlnak.

Feltételes hozzáférés What If eszköz eredményei

Szabályzat érvénybe léptetése

Annak érdekében, hogy a szabályzat a várt módon működik-e, az ajánlott eljárás az, hogy tesztelje azt az éles környezetben való használat előtt. Ideális esetben egy tesztbérlővel ellenőrizze, hogy az új szabályzat a kívánt módon működik-e. További információ: Feltételes hozzáférés üzembe helyezésének megterve.

Ismert problémák

  • Ha a mobileszközök bejelentkezési gyakoriságát konfigurálja, az egyes bejelentkezési gyakoriságok belső hitelesítése lassú lesz (átlagosan 30 másodpercet is igénybe vehet). Az is előfordulhat, hogy egyszerre több alkalmazásban is előfordul.
  • Ha iOS-eszközökön az alkalmazás első hitelesítési tényezőként konfigurálja a tanúsítványokat, és az alkalmazás bejelentkezési gyakoriságot és Intune mobilalkalmazás-kezelési szabályzatokat is alkalmaz, a rendszer letiltja a végfelhasználóknak az alkalmazásba való bejelentkezést a szabályzat aktiválása esetén.

Következő lépések