Sdílet prostřednictvím

Podmíněný přístup: Výchozí nastavení odolnosti

  • Článek

Pokud došlo k výpadku primární ověřovací služby, může ověřovací služba Microsoft Entra Backup automaticky vydávat přístupové tokeny aplikacím pro existující relace. Tato funkce výrazně zvyšuje odolnost Microsoft Entra, protože opakované ověřování pro existující relace představuje více než 90 % ověřování pro Microsoft Entra ID. Služba záložního ověřování nepodporuje nové relace ani ověřování uživatelů s hostovským účtem.

U ověřování chráněných podmíněným přístupem se zásady před vydáním přístupových tokenů znovu vyhodnotují, aby bylo možné určit:

  1. Které zásady podmíněného přístupu se vztahují?
  2. Byly pro zásady, které se použijí, splněny požadované kontroly?

Během výpadku není možné vyhodnotit všechny podmínky v reálném čase službou ověřování služby Backup a určit, jestli se mají použít zásady podmíněného přístupu. Výchozí nastavení odolnosti podmíněného přístupu je nový ovládací prvek relace, který správcům umožňuje rozhodnout se mezi:

  • Zda během výpadku blokovat ověřování, když nelze v reálném čase vyhodnotit podmínky zásad.
  • Umožnit vyhodnocení zásad pomocí dat, která jsou shromážděna na začátku uživatelovy relace.

Důležité

Výchozí nastavení odolnosti jsou automaticky povolená pro všechny nové a stávající zásady a Microsoft důrazně doporučuje ponechat výchozí hodnoty odolnosti povolené, aby se snížil dopad výpadku. Správci můžou zakázat výchozí nastavení odolnosti jednotlivých zásad podmíněného přístupu.

Jak to funguje?

Během výpadku služba Backup Authentication Service automaticky znovu vytvoří přístupové tokeny pro určité relace:

Popis relace Přístup udělen
Nová relace Ne
Existující relace – nejsou nakonfigurovány žádné zásady podmíněného přístupu. Ano
Existující relace – zásady podmíněného přístupu nakonfigurované a požadované ovládací prvky, jako je MFA, byly již splněny. Ano
Existující relace – zásady podmíněného přístupu byly nakonfigurovány, ale požadované ovládací prvky, jako je vícefaktorové ověřování, nebyly dosud splněny. Určeno výchozími nastaveními odolnosti

Když vyprší platnost existující relace během výpadku Microsoft Entra, požadavek na nový přístupový token se přesměruje do služby ověřování zálohování a všechny zásady podmíněného přístupu se znovu vyhodnotí. Pokud na začátku relace nebyly splněny žádné zásady podmíněného přístupu nebo všechny požadované ovládací prvky, jako je MFA, služba ověřování zálohování vydá nový přístupový token pro rozšíření relace.

Pokud požadované ovládací prvky zásady nebyly dříve splněné, zásada se znovu vyhodnotí a určí, jestli má být udělen nebo odepřen přístup. Během výpadku však nelze znovu vyhodnotit všechny podmínky v reálném čase. Mezi tyto okolnosti patří:

  • Členství ve skupině
  • Členství v rolích
  • Riziko přihlášení
  • Riziko uživatele
  • Umístění země/regionu (určování nových souřadnic IP nebo GPS)
  • Silné stránky ověřování

Pokud je aktivní, služba záložního ověřování nevyhodnocuje metody ověřování vyžadované sílami autentizace . Pokud jste před výpadkem použili metodu ověřování odolnou proti útokům phishing, během výpadku nebudete vyzváni k vícefaktorovém ověřování ani v případě, že se k přístupu k prostředku chráněnému zásadami podmíněného přístupu používá síla ověřování odolná proti útokům phishing.

Výchozí nastavení odolnosti povoleno

Pokud jsou povolené výchozí hodnoty odolnosti, služba ověřování služby Backup používá data shromážděná na začátku relace k vyhodnocení, jestli se zásady mají použít v případě absence dat v reálném čase. Ve výchozím nastavení mají všechny zásady povolená nastavení odolnosti. Nastavení může být pro jednotlivé zásady zakázané, pokud se při výpadku vyžaduje vyhodnocení zásad v reálném čase pro přístup k citlivým aplikacím.

Příklad: Zásada s povolenými výchozími nastaveními odolnosti vyžaduje, aby všichni uživatelé s přidělenou privilegovanou roli, kteří přistupují k portálům pro správu Microsoftu, provedli vícefaktorové ověřování. Před výpadkem, pokud uživatel, který nemá přiřazenou roli správce, přistupuje do portálu Azure, zásady by se nepoužily a uživateli by byl udělen přístup bez výzvy k vícefaktorovému ověření. Během výpadku by služba ověřování zálohování znovu vyhodnocela zásadu, aby určila, jestli má být uživatel vyzván k vícefaktorovém ověřování. Vzhledem k tomu, že služba ověřování zálohování nemůže vyhodnotit členství v rolích v reálném čase, použila by data shromážděná na začátku relace uživatele k určení, že by zásady stále neměly platit. V důsledku toho by byl uživateli udělen přístup bez výzvy k vícefaktorovým ověřováním.

Výchozí nastavení odolnosti jsou deaktivována.

Pokud jsou výchozí hodnoty odolnosti zakázané, služba ověřování zálohování nebude k vyhodnocení podmínek používat data shromážděná na začátku relace. Pokud během výpadku nejde vyhodnotit podmínku zásad v reálném čase, přístup se odepře.

Příklad: Zásada se zakázanými výchozími nastaveními odolnosti vyžaduje, aby všichni uživatelé přidělili privilegovanou roli přistupující k portálům pro správu Microsoftu, aby mohli provádět vícefaktorové ověřování. Před výpadkem, pokud uživatel, který nemá přiřazenou roli správce, přistupuje k portálu Azure, zásady by se neuplatnily a uživateli by byl udělen přístup bez výzvy k vícefaktorovému ověření. Během výpadku by služba ověřování zálohování znovu vyhodnocela zásadu, aby určila, jestli má být uživatel vyzván k vícefaktorovém ověřování. Vzhledem k tomu, že služba ověřování zálohování nemůže vyhodnotit členství v rolích v reálném čase, zablokuje by uživateli přístup k webu Azure Portal.

Varování

Zakázání výchozího nastavení odolnosti pro zásadu, která se vztahuje na skupinu nebo roli, sníží odolnost pro všechny uživatele ve vašem tenantovi. Vzhledem k tomu, že členství ve skupinách a rolích nelze vyhodnotit v reálném čase během výpadku, budou přístup k aplikaci v oboru zásad odepřeni i uživatelé, kteří nepatří do skupiny nebo role v přiřazení zásad. Pokud se chcete vyhnout snížení odolnosti pro všechny uživatele, kteří nejsou v oboru zásad, zvažte použití zásad u jednotlivých uživatelů místo skupin nebo rolí.

Testování výchozích hodnot odolnosti

Pomocí ověřovací služby zálohování není možné provést suché spuštění nebo simulovat výsledek zásady s povolenými nebo zakázanými výchozími nastaveními odolnosti. Microsoft Entra provádí měsíční testování pomocí služby záložního ověřování. Přihlašovací protokoly zobrazují, zda byla použita ověřovací služba zálohování k vydání přístupového tokenu. V části Identita>Sledování a stav>Protokoly přihlášení můžete přidat filtr "Typ vystavitele tokenu == Microsoft Entra Backup Auth" pro zobrazení protokolů zpracovávaných službou ověřování Microsoft Entra Backup.

Konfigurace výchozích hodnot odolnosti

Odolnost podmíněného přístupu můžete nakonfigurovat ve výchozím nastavení z Centra pro správu Microsoft Entra, rozhraní MS Graph API nebo PowerShellu.

Centrum pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte na Ochrana>Podmíněný přístup>Zásady.
  3. Vytvoření nové zásady nebo výběr existující zásady
  4. Otevřete nastavení ovládání relace
  5. Výběrem možnosti Zakázat výchozí nastavení odolnosti zakážete nastavení pro tuto zásadu. Během výpadku Microsoft Entra jsou blokována přihlášení, která spadají pod zásady.
  6. Uložit změny v zásadách

Rozhraní Microsoft Graph API

Pomocí rozhraní MS Graph API a Microsoft Graph Exploreru můžete také spravovat výchozí hodnoty odolnosti pro zásady podmíněného přístupu.

Ukázková adresa URL požadavku:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Text ukázkové žádosti:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Tuto operaci opravy je možné nasadit pomocí Microsoft PowerShellu po instalaci modulu Microsoft.Graph.Authentication. Pokud chcete nainstalovat tento modul, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte

Install-Module Microsoft.Graph.Authentication

Připojte se k Microsoft Graphu a požádejte o požadované obory:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Po zobrazení výzvy se ověřte.

Vytvořte text JSON pro požadavek PATCH:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Spusťte operaci opravy:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Doporučení

Microsoft doporučuje povolit výchozí nastavení odolnosti. I když neexistují žádné přímé obavy ohledně zabezpečení, měli by zákazníci vyhodnotit, jestli chtějí službě ověřování služby Backup povolit vyhodnocení zásad podmíněného přístupu během výpadku pomocí dat shromážděných na začátku relace, a ne v reálném čase.

Je možné, že se od začátku relace změnila role uživatele nebo členství ve skupině. Při průběžném vyhodnocování přístupu (CAE) jsou přístupové tokeny platné po dobu 24 hodin, ale můžou podléhat událostem okamžitého odvolání. Služba ověřování zálohování se přihlásí k odběru stejných událostí odvolání CAE. Pokud je token uživatele odvolán jako součást caE, uživatel se během výpadku nemůže přihlásit. Pokud je povoleno výchozí nastavení odolnosti, stávající relace, které skončí během výpadku, budou prodlouženy. Sezení se prodlužují, i když byla zásada nastavena pomocí kontroly relace k vynucení frekvence přihlášení. Například zásada s povolenými výchozími nastaveními odolnosti může vyžadovat, aby se uživatelé mohli každou hodinu znovu ověřit pro přístup k sharepointovým webům. Během výpadku by se relace uživatele prodloužila, i když Microsoft Entra ID nemusí být k dispozici ke znovuautentizaci uživatele.

Další kroky