Adaptív munkamenet élettartam-szabályzatok konfigurálása

Figyelmeztetés

Ha jelenleg nyilvános előzetes verzióban használja a konfigurálható jogkivonat élettartam funkcióját, vegye figyelembe, hogy nem támogatjuk két különböző szabályzat létrehozását ugyanazon felhasználó- vagy alkalmazáskombinációhoz: az egyik ezzel a funkcióval, a másik pedig konfigurálható jogkivonat-élettartam-funkcióval. A Microsoft 2021. január 30-án megszüntette a frissítési és munkamenet-jogkivonatok élettartamára vonatkozó konfigurálható jogkivonat-élettartam funkciót, és lecserélte a feltételes hozzáférésű hitelesítési munkamenet-kezelési funkcióra.

A bejelentkezési gyakoriság engedélyezése előtt győződjön meg arról, hogy a bérlő más újrahitelesítési beállításai le vannak tiltva. Ha engedélyezve van az "MFA megjegyzése megbízható eszközökön" beállítás, mindenképpen tiltsa le a bejelentkezési gyakoriság használata előtt, mivel a két beállítás együttes használata váratlan kéréshez vezethet a felhasználóktól. Az újrahitelesítési kérésekről és a munkamenet élettartamáról további információt a Microsoft Entra többtényezős hitelesítés munkamenet-élettartamának optimalizálása és az újrahitelesítési kérések optimalizálása című cikkben talál.

Házirend üzembe helyezése

Annak érdekében, hogy a szabályzat a várt módon működjön, ajánlott tesztelni, mielőtt éles környezetben üzembe helyeznénk. Ideális esetben használjon tesztbérlesztőt annak ellenőrzéséhez, hogy az új szabályzat a kívánt módon működik-e. További információt a feltételes hozzáférés üzembe helyezésének megtervezése című cikkben talál.

1. szabályzat: Bejelentkezési gyakoriság-vezérlés

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg a védelmi>feltételes hozzáférést.

  3. Válassza az Új szabályzat létrehozása lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. Válassza ki az ügyfél környezetéhez szükséges összes feltételt, beleértve a célfelhő-alkalmazásokat is.

    Feljegyzés

    A legjobb felhasználói élmény érdekében ajánlott azonos hitelesítési gyakoriságot beállítani olyan kulcsfontosságú Microsoft-Office-app, mint az Exchange Online és a SharePoint Online.

  6. A Hozzáférés-vezérlési>munkamenet területen.

    1. Válassza ki a bejelentkezési gyakoriságot.
      1. Válassza az Időszakos újrahitelesítés lehetőséget, adja meg az órák vagy napok értékét, vagy válassza a Minden alkalommal lehetőséget.

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. Mentse a szabályzatot.

2. házirend: Állandó böngésző munkamenet

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg a védelmi>feltételes hozzáférést.

  3. Válassza az Új szabályzat létrehozása lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. Válassza ki az összes szükséges feltételt.

    Feljegyzés

    Ehhez a vezérlőhöz feltételként a "Minden Cloud Apps" lehetőséget kell választania. A böngésző munkamenet-megőrzését a hitelesítési munkamenet jogkivonata szabályozza. A böngésző munkamenetének minden lapja egyetlen munkamenet-jogkivonattal rendelkezik, ezért mindegyiknek meg kell osztania az adatmegőrzési állapotot.

  6. A Hozzáférés-vezérlési>munkamenet területen.

    1. Válassza az Állandó böngésző munkamenet lehetőséget.

      Feljegyzés

      A Microsoft Entra Feltételes hozzáférés állandó böngésző munkamenet-konfigurációja felülbírálja a "Bejelentkezve marad?" beállítását ugyanazon felhasználó céges védjegyzési paneljén, ha mindkét szabályzatot konfigurálta.

    2. Válasszon ki egy értéket a legördülő listából.

  7. Mentse a szabályzatot.

3. szabályzat: A bejelentkezés gyakoriságának szabályozása minden kockázatos felhasználó esetén

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget.
  7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas, majd a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, Jelszómódosítás megkövetelése, majd a Kiválasztás lehetőséget.
  9. A Munkamenet-vezérlők bejelentkezési gyakorisága területen válassza a Minden alkalommal lehetőséget.>
  10. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák csak jelentéskészítési módban megerősítették a beállításokat, a Házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Ellenőrzés

A What If eszközzel szimulálhatja a felhasználótól a célalkalmazásba való bejelentkezést, valamint a szabályzat konfigurálásához szükséges egyéb feltételeket. A hitelesítési munkamenet-felügyeleti vezérlők megjelennek az eszköz eredményében.

Tűréshatár kérése

A szabályzatban minden alkalommal öt perc óra eltérést számítunk ki, hogy ne kérjük a felhasználókat öt percenként többször. Ha a felhasználó az elmúlt 5 percben teljesítette az MFA-t, és egy másik feltételes hozzáférési szabályzatba ütközött, amely ismételt hitelesítést igényel, nem kérünk a felhasználótól. A felhasználók ismételt hitelesítésre való túlzott kérése hatással lehet a hatékonyságukra, és növelheti annak kockázatát, hogy a felhasználók jóváhagyják a nem kezdeményezett MFA-kérelmeket. A "Bejelentkezési gyakoriság – minden alkalommal" csak adott üzleti igényekhez használható.

Ismert problémák

  • Ha mobileszközökhöz konfigurálja a bejelentkezési gyakoriságot: Az egyes bejelentkezési gyakorisági intervallumok után a hitelesítés lassú lehet, átlagosan 30 másodpercet vehet igénybe. Emellett a különböző alkalmazásokban is előfordulhat egyszerre.
  • iOS-eszközökön: Ha egy alkalmazás első hitelesítési tényezőként konfigurálja a tanúsítványokat, és az alkalmazás bejelentkezési gyakorisággal és az Intune mobilalkalmazás-kezelési szabályzatokkal is rendelkezik, a végfelhasználók nem jelentkezhetnek be az alkalmazásba, amikor a szabályzat aktiválódik.

Következő lépések

  • Ha készen áll a feltételes hozzáférési szabályzatok konfigurálására a környezethez, olvassa el a feltételes hozzáférés üzembe helyezésének megtervezése című cikket.