Условный доступ: параметры устойчивости по умолчанию
Если произошел сбой основной службы проверки подлинности, служба проверки подлинности Microsoft Entra Backup может автоматически выдавать маркеры доступа к приложениям для существующих сеансов. Эта функция значительно повышает устойчивость Microsoft Entra, так как повторная проверка подлинности для существующих сеансов составляет более 90 % проверки подлинности в идентификаторе Microsoft Entra. Резервная служба проверки подлинности не поддерживает новые сеансы или проверку подлинности гостевых пользователей.
Для проверок подлинности, защищенных с помощью условного доступа, перед выдачей маркеров доступа повторно оцениваются заданные для них политики, чтобы определить следующие условия:
- Какие политики условного доступа применяются?
- Были ли выполнены условия обязательных элементов управления для политик, которые применяются?
Во время сбоя резервная служба проверки подлинности может не оценивать в реальном времени все условия, чтобы определить, следует ли применять политику условного доступа. По умолчанию для обеспечения устойчивости условного доступа используется новый элемент управления сеансом, позволяющий администраторам принимать решение:
- Следует ли блокировать проверку подлинности во время сбоя, если условие политики не может быть оценено в режиме реального времени.
- Позволяет оценивать политики с помощью данных, собранных в начале сеанса пользователя.
Внимание
Параметры устойчивости по умолчанию автоматически включаются для всех новых и существующих политик, и корпорация Майкрософт настоятельно рекомендует не отключать их, чтобы снизить влияние сбоев. Администраторы могут отключить параметры устойчивости по умолчанию для отдельных политик условного доступа.
Как это работает?
Во время сбоя резервная служба проверки подлинности автоматически повторно выдает маркеры доступа для определенных сеансов.
| Описание сеанса | Доступ предоставлен |
|---|---|
| Создать сеанс | No |
| Существующий сеанс — политики условного доступа не настроены. | Да |
| Существующий сеанс — политики условного доступа настроены и условия обязательных элементов управления, например MFA, выполнены. | Да |
| Существующий сеанс — политики условного доступа настроены, а условия обязательных элементов управления, например MFA, не выполнены. | Определяется параметрами устойчивости по умолчанию |
Когда срок действия существующего сеанса истекает во время сбоя Microsoft Entra, запрос на новый маркер доступа направляется в службу проверки подлинности резервного копирования, а все политики условного доступа переоценены. Если политики условного доступа отсутствуют или все условия обязательных элементов управления, таких как MFA, были ранее выполнены в начале сеанса, то резервная служба проверки подлинности выдает новый маркер доступа для продления сеанса.
Если условия обязательных элементов управления политики не были ранее выполнены, то политика оценивается повторно, чтобы определить, следует предоставить или запретить доступ. Однако во время сбоя не все условия могут быть повторно оценены в режиме реального времени. К таким ситуациям относятся следующие:
- Членство в группе
- членство в ролях;
- Риск при входе
- Риск пользователя
- Расположение страны или региона (разрешение новых IP-адресов или координат GPS)
- Сильные стороны проверки подлинности
При активности служба резервной проверки подлинности не оценивает методы проверки подлинности, необходимые для сильных сторон проверки подлинности. Если вы использовали метод проверки подлинности без фишинга перед сбоем, во время сбоя вы не будете запрашивать многофакторную проверку подлинности, даже если доступ к ресурсу, защищенному политикой условного доступа, с помощью защиты от фишинга.
Параметры устойчивости по умолчанию включены
Если включена устойчивость по умолчанию, служба проверки подлинности резервного копирования использует данные, собранные в начале сеанса, чтобы оценить, должна ли политика применяться в отсутствие данных в режиме реального времени. По умолчанию все политики поддерживают устойчивость по умолчанию. Параметр может быть отключен для отдельных политик, если оценка политики в режиме реального времени требуется для доступа к конфиденциальным приложениям во время сбоя.
Пример. Политика с включенными значениями устойчивости по умолчанию требует, чтобы все пользователи назначили привилегированную роль, доступ к порталам Microsoft Администратор для выполнения MFA. Перед сбоем, если пользователь, которому не назначена роль администратора, обращается к портал Azure, политика не будет применена, и пользователь будет предоставлен доступ, не запрашивая MFA. Во время сбоя резервная служба проверки подлинности будет повторно оценивать политику, чтобы определить, должен ли пользователь получить запрос на MFA. Так как резервная служба проверки подлинности не может оценить членство в ролях в реальном времени, чтобы определить, что политика не должна быть применена, она будет использовать данные, собранные в начале сеанса пользователя. В результате пользователю будет предоставлен доступ без запроса на MFA.
Параметры устойчивости по умолчанию отключены
Если параметры устойчивости по умолчанию отключены, то резервная служба проверки подлинности не будет использовать данные, собранные в начале сеанса, для оценки условий. Во время сбоя, если условие политики не может быть оценено в режиме реального времени, доступ запрещен.
Пример. Политика с отключенными значениями устойчивости по умолчанию требует, чтобы все пользователи назначили привилегированную роль, доступ к порталам Microsoft Администратор для выполнения MFA. Перед сбоем, если пользователь, которому не назначена роль администратора, обращается к портал Azure, политика не будет применена, и пользователь будет предоставлен доступ, не запрашивая MFA. Во время сбоя резервная служба проверки подлинности будет повторно оценивать политику, чтобы определить, должен ли пользователь получить запрос на MFA. Так как резервная служба проверки подлинности не может оценить членство в ролях в реальном времени, она блокирует доступ пользователя к порталу Azure.
Предупреждение
Отключение параметров устойчивости по умолчанию для политики, применяемой к группе или роли, снизит устойчивость для всех пользователей в арендаторе. Так как во время сбоя членство в группах и ролях не может быть оценено в реальном времени, даже пользователи, не входящие в группу или роль, указанную в назначении политики, будут лишены доступа к приложению в области действия политики. Чтобы избежать снижения устойчивости для всех пользователей вне области действия политики, рассмотрите возможность применения политики к отдельным пользователям, а не к группам или ролям.
Тестирование параметров устойчивости по умолчанию
На данный момент невозможно осуществить пробный запуск резервной службы проверки подлинности или имитировать результат политики с включенными или отключенными параметрами устойчивости по умолчанию. Microsoft Entra проводит ежемесячные упражнения с помощью службы проверки подлинности резервного копирования. Журналы входа отображаются, используется ли служба проверки подлинности резервного копирования для выдачи маркера доступа. В колонке "Мониторинг удостоверений>и>журналы входа в систему" можно добавить фильтр "Тип издателя токенов == Microsoft Entra Backup Auth", чтобы отобразить журналы, обработанные службой проверки подлинности Резервного копирования Microsoft Entra Backup.
Настройка параметров устойчивости по умолчанию
По умолчанию можно настроить устойчивость условного доступа из Центра администрирования Microsoft Entra, API MS Graph или PowerShell.
Центр администрирования Microsoft Entra
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к условному доступу к защите>.
- Выберите существующую политику или создайте новую.
- Откройте параметры управления сеансом.
- Установите флажок "Отключить стандартные параметры устойчивости", чтобы отключить параметр для этой политики. Входы в область политики блокируются во время сбоя Microsoft Entra
- Сохраните изменения в политике.
Интерфейсы API Microsoft Graph
Можно также управлять параметрами устойчивости по умолчанию для политик условного доступа с помощью интерфейсов API Microsoft Graph и песочницы Microsoft Graph.
Пример URL-адреса запроса:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Пример текста запроса:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Эту операцию исправления можно развернуть с помощью Microsoft PowerShell после установки модуля Microsoft.Graph.Authentication. Чтобы установить этот модуль, откройте командную строку PowerShell с повышенными привилегиями и выполните команду:
Install-Module Microsoft.Graph.Authentication
Подключитесь к Microsoft Graph, запрашивая требуемые области:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Пройдите проверку подлинности при появлении запроса.
Создайте текст JSON для запроса PATCH:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Выполните операцию исправления:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Рекомендации
Корпорация Майкрософт рекомендует включить параметры устойчивости по умолчанию. Даже если прямой угрозы безопасности нет, клиентам следует оценить, хотят ли они разрешить резервной службе проверки подлинности оценивать политики условного доступа во время сбоя, используя данные, собранные в начале сеанса, а не в режиме реального времени.
Возможно, с начала сеанса роль пользователя или членство в группе изменилось. Благодаря Непрерывной оценке доступа (CAE) маркеры доступа действительны в течение 24 часов, но подвержены событиям мгновенного отзыва. Резервная служба проверки подлинности подписывается на те же события отзыва, что и служба CAE. Если маркер пользователя отзывается в процессе CAE, то пользователь не может войти в систему во время сбоя. Если включены параметры устойчивости по умолчанию, то существующие сеансы с истекшим сроком действия будут продлены. Сеансы продлеваются, даже если была настроена политика с элементом управления сеансами для обеспечения частоты входа. Например, для доступа к сайту SharePoint может потребоваться политика с включенной устойчивостью по умолчанию. Во время сбоя сеанс пользователя будет расширен, хотя идентификатор Microsoft Entra может быть недоступен для повторной проверки подлинности пользователя.