Настройка управления сеансом проверки подлинности с помощью условного доступа

В сложных развертываниях организациям может потребоваться ограничить сеансы проверки подлинности. Некоторые сценарии могут включать:

  • Доступ к ресурсам с неуправляемого или общего устройства
  • Доступ к конфиденциальным сведениям из внешней сети
  • Пользователи с высоким уровнем влияния
  • Критические бизнес-приложения

Элементы управления условным доступом позволяют создавать политики, предназначенные для конкретных вариантов использования в Организации, не затрагивая всех пользователей.

Прежде чем углубляться в подробные сведения о настройке политики, давайте рассмотрим конфигурацию по умолчанию.

Частота входа пользователя

Периодичность входа определяет период времени, по истечении которого пользователю будет предложено войти снова при попытке доступа к ресурсу.

Конфигурация по умолчанию Azure Active Directory (Azure AD) для частоты входа пользователя является скользящим периодом в 90 дней. Запрос на ввод учетных данных часто кажется разумным, но он может баккфире: пользователи, которые обучены для ввода учетных данных без необходимости, могут случайно передать их в запрос учетных данных.

Может показаться, что пользователь не просит пользователя войти в систему, в действительности любое нарушение политик ИТ приведет к отмене сеанса. К некоторым примерам относятся (но не ограничиваются) изменение пароля, несоответствующее устройство или отключение учетной записи. Вы также можете явно отозвать сеансы пользователей с помощью PowerShell. Конфигурация по умолчанию Azure AD переходит в состояние "не спрашивать пользователей о предоставлении учетных данных, если уровень безопасности своих сеансов не изменился".

Параметр частоты входа работает с приложениями, которые реализовали протоколы OAUTH2 или OIDC в соответствии со стандартами. Большинство собственных приложений Microsoft для Windows, Mac и мобильных устройств, включая следующие веб-приложения, соответствуют параметру.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Портал администрирования Microsoft 365
  • Exchange Online
  • SharePoint и OneDrive
  • Веб-клиент команд
  • Dynamics CRM Online
  • Портал Azure

Параметр частоты входа работает и с приложениями SAML, если они не удаляют собственные файлы cookie и перенаправляются обратно в Azure AD для регулярной проверки подлинности.

Частота входа пользователя и многофакторная проверка подлинности

Частота входа ранее применялась только к первой факторной проверке подлинности на устройствах, присоединенных к Azure AD, присоединенным гибридным Azure AD и зарегистрированным Azure AD. Для наших клиентов не существовало простого способа повторного применения многофакторной проверки подлинности (MFA) на этих устройствах. На основе отзывов клиентов также будет применяться частота входа для MFA.

Периодичность входа и MFA

Частота входа пользователя и удостоверения устройств

Если у вас есть соединение с Azure AD, гибридное присоединение к Azure AD или зарегистрированные устройства Azure AD, когда пользователь разблокирует устройство или выполняет вход в интерактивном режиме, это событие также будет соответствовать политике частоты входа. В следующих двух примерах частота входа пользователя равна 1 часу:

Пример 1:

  • В 00:00 пользователь входит в устройство, присоединенное к Azure AD с Windows 10, и начинает работать над документом, хранящимся в SharePoint Online.
  • Пользователь продолжит работать над одним и тем же документом на устройстве в течение часа.
  • В 01:00 пользователю предлагается повторно войти в зависимости от требования к частоте входа в политику условного доступа, настроенную администратором.

Пример 2.

  • В 00:00 пользователь входит в устройство, присоединенное к Azure AD с Windows 10, и начинает работать над документом, хранящимся в SharePoint Online.
  • В 00:30 пользователь получает ответ и выполняет перерыв в блокировке устройства.
  • В 00:45 пользователь возвращается после перерыва и разблокирует устройство.
  • В 01:45 пользователю предлагается повторно войти в зависимости от требования к частоте входа в политику условного доступа, настроенную администратором с момента последнего входа в 00:45.

Сохранение сеансов обзора

Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.

По умолчанию Azure AD для сохранения сеанса браузера пользователи персональных устройств могут выбрать, следует ли сохранять сеанс, выполнив команду "остаться в системе". запрос после успешной проверки подлинности. Если сохраняемость браузера настроена в AD FS следуя указаниям в статье AD FS параметры одного Sign-On, мы будем соблюдать эту политику и также сохраняем сеанс Azure AD. Вы также можете указать, видят ли пользователи в клиенте «остаться в системе». выдавать запрос, изменяя соответствующий параметр в области фирменной символики компании в портал Azure следуя указаниям в статье Настройка страницы входа в Azure AD.

Настройка элементов управления сеанса проверки подлинности

Условный доступ является Azure AD Premiumной возможностью и требует наличия лицензии Premium. Дополнительные сведения об условном доступе см . в разделе что такое условный доступ в Azure Active Directory?

Предупреждение

Если вы используете настраиваемую функцию времени существования маркера в настоящее время в общедоступной предварительной версии, то обратите внимание, что мы не поддерживаем создание двух разных политик для одного сочетания пользователя или приложения: один с этой функцией и другой с настраиваемой функцией срока действия маркера. Корпорация Майкрософт прекратила использование настраиваемого срока действия маркера для обновления и времени жизни маркера сеанса 30 января 2021 и заменила ее функцией управления сеансом проверки подлинности с условным доступом.

Прежде чем включать частоту входа, убедитесь, что в клиенте отключены другие параметры повторной проверки подлинности. Если параметр "запомнить MFA на доверенных устройствах" включен, обязательно отключите его перед использованием частоты входа, так как использование этих двух параметров может привести к непредвиденному появлению запросов к пользователям. Дополнительные сведения о запросах повторной проверки подлинности и времени существования сеанса см. в статье Оптимизация запросов повторной проверки подлинности и сведения о времени жизни сеанса для многофакторной идентификации Azure AD.

Политика 1. Управление частотой входа

  1. Создание новой политики

  2. Выберите все необходимые условия для среды клиента, включая целевые облачные приложения.

    Примечание

    Рекомендуется задать равную частоту запросов проверки подлинности для ключевых Microsoft Office приложений, таких как Exchange Online и SharePoint Online, для оптимального взаимодействия с пользователем.

  3. Перейдите в раздел " Управление доступом к > сеансу " и щелкните " Частота входа ".

  4. Введите требуемое значение дней и часов в первом текстовом поле

  5. Выберите число часов или дней в раскрывающемся списке

  6. Сохранение политики

Политика условного доступа, настроенная для частоты входа

При входе в систему устройств с Windows Azure AD вход на устройство считается запросом. Например, если вы настроили частоту входа в 24 часа для приложений Office, пользователи на устройствах Windows, зарегистрированных в Azure AD, будут соответствовать политике частоты входа, войдя на устройство и не выполнив запрос повторно при открытии приложений Office.

Политика 2: постоянный сеанс браузера

  1. Создание новой политики

  2. Выберите все обязательные условия.

    Примечание

    Обратите внимание, что в качестве условия для этого элемента управления необходимо выбрать "все облачные приложения". Сохраняемость сеанса браузера управляется токеном сеанса проверки подлинности. Все вкладки в сеансе браузера совместно используют один маркер сеанса, поэтому все они должны предоставлять общий доступ к состоянию сохраняемости.

  3. Перейдите в раздел " Управление доступом к > сеансу " и щелкните " постоянный сеанс браузера ".

  4. Выберите значение из раскрывающегося списка

  5. Сохранить политику

Политика условного доступа, настроенная для постоянного браузера

Примечание

Конфигурация постоянного сеанса браузера в условном доступе Azure AD перезапишет "остаться в системе?" в области фирменной символики компании в портал Azure для того же пользователя, если обе политики настроены.

Проверка

Используйте средство What-If, чтобы имитировать вход пользователя в целевое приложение и другие условия в зависимости от настройки политики. Элементы управления сеанса проверки подлинности отображаются в результатах работы средства.

Результаты средства условного доступа What If

Развертывание политики

Чтобы убедиться, что политика работает должным образом, рекомендуется протестировать ее перед развертыванием в рабочей среде. В идеале для проверки правильности работы новой политики следует использовать тестовый клиент. Дополнительные сведения см. в статье план развертывания условного доступа.

Следующие шаги