Implementarea gestionării sesiunilor și evaluarea continuă a accesului

Finalizat

În implementările complexe, este posibil ca organizațiile să aibă nevoie să restricționeze sesiunile de autentificare. Printre scenarii se numără:

  • Accesul la resurse de pe un dispozitiv negestionat sau partajat.
  • Accesul la informații sensibile dintr-o rețea externă.
  • Prioritate înaltă sau utilizatori executivi.
  • Aplicații de business critice.

Controalele de acces condiționat vă permit să creați politici care vizează cazuri de utilizare specifice din organizația dvs., fără a afecta toți utilizatorii.

Înainte de a explora detalii despre cum să configurați politica, examinați configurația implicită.

Frecvența de conectare a utilizatorului

Frecvența de conectare definește perioada de timp înainte ca un utilizator să se solicite să se conecteze din nou atunci când încearcă să acceseze o resursă.

Configurația implicită Microsoft Entra ID pentru frecvența de conectare a utilizatorului este o fereastră de rulare de 90 de zile. Solicitarea acreditărilor de către utilizatori pare adesea un lucru sensibil de făcut, dar se poate reactiva: Utilizatorii instruiți să introducă acreditările fără a se gândi că le pot furniza în mod neintenționat o solicitare de acreditare rău intenționată.

Este posibil să sune alarmant să nu solicite unui utilizator să se reconecteze; în realitate, orice încălcare a politicilor IT va revoca sesiunea. Printre exemple se numără o modificare de parolă, un dispozitiv incompliant sau o dezactivare a contului. De asemenea, puteți revoca în mod explicit sesiunile utilizatorilor utilizând PowerShell. Configurația implicită Microsoft Entra ID ajunge la "nu solicitați utilizatorilor să-și furnizeze acreditările dacă postura de securitate a sesiunilor lor nu s-a modificat".

Setarea de frecvență de conectare funcționează cu aplicațiile care au implementat protocoale OAUTH2 sau OIDC în conformitate cu standardele. Majoritatea aplicațiilor pentru Windows, Mac și mobil, inclusiv următoarele aplicații web, respectă setarea.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portalul de administrare Microsoft 365
  • Schimb online
  • SharePoint și OneDrive
  • Client web Teams
  • Dynamics CRM Online
  • Portalul Azure

Setarea de frecvență de conectare funcționează și cu aplicațiile SAML, atât timp cât nu își fixează propriile module cookie și sunt redirecționate înapoi la Microsoft Entra ID pentru autentificare în mod regulat.

Frecvența de conectare a utilizatorului și autentificarea multifactor

Frecvența de conectare aplicată anterior doar pentru prima autentificare prin factor pe dispozitivele care au fost asociate Microsoft Entra, Microsoft Entra hibrid s-a asociat și Microsoft Entra s-a înregistrat. Nu a existat o modalitate simplă prin care clienții noștri să implementeze autentificarea multifactor (MFA) pe aceste dispozitive. Pe baza feedbackului de la clienți, se va aplica și frecvența de conectare pentru MFA.

Diagramă cu procesul de conectare multifactor de autentificare cu frecvența de conectare.

Frecvența de conectare a utilizatorului și identitățile dispozitivelor

Dacă aveți Microsoft Entra asociat, Microsoft Entra hibrid asociat sau dispozitivele înregistrate Microsoft Entra, atunci când un utilizator își deblochează dispozitivul sau se conectează interactiv, acest eveniment va satisface și politica de frecvență de conectare. În următoarele două exemple frecvența de conectare a utilizatorului este setată la o oră:

Exemplul 1:

  • La ora 00:00, un utilizator se conectează la dispozitivul său windows 10 Microsoft Entra asociat și începe lucrul la un document stocat în SharePoint Online.
  • Utilizatorul continuă să lucreze la același document pe dispozitiv timp de o oră.
  • La ora 01:00, utilizatorului i se solicită să se conecteze din nou, pe baza cerinței de frecvență de conectare din politica de acces condiționat configurată de administrator.

Exemplul 2:

  • La ora 00:00, un utilizator se conectează la dispozitivul său windows 10 Microsoft Entra asociat și începe lucrul la un document stocat în SharePoint Online.
  • La ora 00:30, utilizatorul se ridică și ia o pauză, blocând dispozitivul.
  • La ora 00:45, utilizatorul revine din întreruperea sa și deblochează dispozitivul.
  • La ora 01:45, utilizatorului i se solicită să se conecteze din nou pe baza cerinței de frecvență de conectare din politica de acces condiționat configurată de administrator de la ultima conectare la 00:45.

Persistența sesiunilor de navigare

O sesiune de browser persistent permite utilizatorilor să rămână conectați după închiderea și redeschiderea ferestrei browserului. ID-ul Microsoft Entra id implicit pentru persistența sesiunii browserului le permite utilizatorilor de pe dispozitivele personale să aleagă dacă să persiste sesiunea, afișând un "Rămâneți conectat?". solicitare după autentificare reușită.

Validare

Utilizați instrumentul de What-If pentru a simula conectarea de la utilizator la aplicația țintă și alte condiții, în funcție de modul în care ați configurat politica. Controalele de gestionare a sesiunilor de autentificare se afișează în rezultatul instrumentului.

Captură de ecran a rezultatelor instrumentului Acces condiționat Ce se întâmplă dacă.

Implementare politică

Pentru a vă asigura că politica funcționează conform așteptărilor, cea mai bună practică recomandată este să o testați înainte de a o rula în producție. În mod ideal, utilizați o entitate găzduită de test pentru a verifica dacă noua politică funcționează așa cum doriți.

Evaluare de acces continuu (CAE)

Expirarea tokenului și reîmprospătarea sunt un mecanism standard în industrie. Atunci când o aplicație client, cum ar fi Outlook, se conectează la un serviciu, cum ar fi Exchange Online, solicitările API sunt autorizate utilizând tokenuri de acces OAuth 2.0. În mod implicit, tokenurile de acces sunt valide timp de o oră, atunci când expiră clientul este redirecționat la Microsoft Entra ID pentru a-l reîmprospăta. Această perioadă de reîmprospătare oferă o oportunitate de reevaluare a politicilor pentru accesul utilizatorilor. De exemplu: putem alege să nu reîmprospătăm simbolul din cauza unei politici de acces condiționat sau pentru că utilizatorul a fost dezactivat în director.

Cu toate acestea, există un interval între momentul în care condițiile se modifică pentru un utilizator și momentul în care sunt impuse modificările de politică. Răspunsul la timp la încălcările politicii sau la problemele de securitate necesită într-adevăr o "conversație" între emitentul simbolului și partea de încredere (aplicație luminată). Această conversație bidirecțional ne oferă două capacități importante. Partea de încredere poate vedea când se modifică proprietățile, cum ar fi locația rețelei și îi spune emitentului simbolului. De asemenea, oferă emitentului simbolului o modalitate de a-i spune părții de încredere să nu mai respecte tokenurile pentru un anumit utilizator, din cauza compromiterii, dezactivării contului sau a altor probleme. Mecanismul pentru această conversație este evaluarea continuă a accesului (CAE).

Beneficii

Există mai multe beneficii cheie pentru evaluarea continuă a accesului.

  • Rezilierea sau modificarea/resetarea parolei de utilizator: revocarea sesiunii de utilizator va fi impusă în timp real.
  • Modificarea locației de rețea: politicile de locație a accesului condiționat vor fi impuse în timp real.
  • Exportul simbolurilor într-un computer din afara unei rețele de încredere poate fi împiedicat cu politicile de locație de acces condiționat.

Fluxul procesului de evaluare și revocare

Diagrama fluxului de proces atunci când un token de acces este revocat și un client trebuie săverifice accesul.

  1. Un client capabil de evaluare a accesului continuu (CAE) prezintă acreditările sau un token de reîmprospătare la Microsoft Entra ID care solicită un token de acces pentru o anumită resursă.
  2. Un token de acces este returnat împreună cu alte artefacte clientului.
  3. Un administrator revocă în mod explicit toate tokenurile de reîmprospătare pentru utilizator. Un eveniment de revocare va fi trimis furnizorului de resurse de la Microsoft Entra ID.
  4. Un token de acces este prezentat furnizorului de resurse. Furnizorul de resurse evaluează validitatea simbolului și verifică dacă există un eveniment de revocare pentru utilizator. Furnizorul de resurse utilizează aceste informații pentru a decide să acorde sau nu acces la resursă.
  5. În cazul diagramei, furnizorul de resurse refuză accesul și trimite o provocare de revendicare 401+ înapoi clientului.
  6. Clientul capabil de CAE înțelege provocarea de revendicare 401+. Aceasta ocolește cache-urile și revine la pasul 1, trimițând tokenul de reîmprospătare împreună cu provocarea de revendicare înapoi la Microsoft Entra ID. Microsoft Entra ID va reevalua apoi toate condițiile și va solicita utilizatorului să reauthenticeze în acest caz.