Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Om den primära autentiseringstjänsten inte är tillgänglig utfärdar Microsoft Entra Backup Authentication Service automatiskt åtkomsttoken till program för befintliga sessioner. Den här funktionen förbättrar Microsoft Entras motståndskraft avsevärt eftersom omautentiseringar för befintliga sessioner står för mer än 90% av autentiseringarna till Microsoft Entra-ID. Tjänsten säkerhetskopieringsautentisering stöder inte nya sessioner eller autentiseringar av gästanvändare.
För autentiseringar som skyddas av villkorlig åtkomst utvärderas principerna på nytt innan åtkomsttoken utfärdas för att fastställa:
- Vilka principer för villkorsstyrd åtkomst gäller?
- Uppfylls de nödvändiga kontrollerna för principer som gäller?
Under ett avbrott kan tjänsten för säkerhetskopieringsautentisering inte utvärdera alla villkor i realtid för att avgöra om en princip för villkorsstyrd åtkomst gäller. Standardvärden för motståndskraft mot villkorsstyrd åtkomst är en ny sessionskontroll som låter administratörer bestämma mellan:
- Om du vill blockera autentiseringar under ett avbrott när ett principvillkor inte kan utvärderas i realtid.
- Tillåt att principer utvärderas med hjälp av data som samlats in i början av användarens session.
Viktigt!
Standardvärden för motståndskraft aktiveras automatiskt för alla nya och befintliga principer. Microsoft rekommenderar att du håller standardinställningarna för motståndskraft aktiverade för att minska effekten av ett avbrott. Administratörer kan inaktivera standardinställningar för motståndskraft för enskilda principer för villkorsstyrd åtkomst.
Hur fungerar det
Under ett avbrott utfärdar tjänsten för säkerhetskopieringsautentisering åtkomsttoken igen för specifika sessioner:
| Sessionsbeskrivning | Åtkomst beviljad |
|---|---|
| Ny session | Nej |
| Befintlig session – Inga principer för villkorsstyrd åtkomst har konfigurerats | Ja |
| Befintlig session – Principer för villkorsstyrd åtkomst som konfigurerats och de nödvändiga kontrollerna, till exempel MFA, har tidigare uppfyllts | Ja |
| Befintlig session – Principer för villkorsstyrd åtkomst är konfigurerade och de nödvändiga kontrollerna, som MFA, uppfylldes inte tidigare | Bestäms av standardvärden för motståndskraft |
När en befintlig session upphör att gälla under ett Microsoft Entra-avbrott dirigeras begäran om en ny åtkomsttoken till autentiseringstjänsten för säkerhetskopiering och alla principer för villkorsstyrd åtkomst utvärderas på nytt. Om det inte finns några principer för villkorlig åtkomst, eller om alla nödvändiga kontroller, till exempel MFA, var uppfyllda i början av sessionen, utfärdar tjänsten för säkerhetskopieringsautentisering en ny åtkomsttoken för att utöka sessionen.
Om de nödvändiga kontrollerna för en princip inte uppfylldes tidigare utvärderas principen på nytt för att avgöra om åtkomst ska beviljas eller nekas. Alla villkor kan inte omvärderas i realtid under ett avbrott. Exempel på sådana förhållanden:
- Gruppmedlemskap
- Rollmedlemskap
- Inloggningsrisk
- Användarrisk
- Plats för land/region (matcha nya IP- eller GPS-koordinater)
- Autentiseringsstyrkor
När säkerhetskopieringsautentiseringstjänsten är aktiv utvärderas inte de autentiseringsmetoder som krävs av autentiseringsstyrkan. Om du använde en icke-nätfiskebeständig autentiseringsmetod före ett avbrott uppmanas du inte att använda multifaktorautentisering under ett avbrott även om du har åtkomst till en resurs som skyddas av en princip för villkorsstyrd åtkomst med en nätfiskebeständig autentiseringsstyrka.
Standardvärden för motståndskraft aktiverade
När standardvärden för motståndskraft är aktiverade använder tjänsten för säkerhetskopieringsautentisering data som samlats in i början av sessionen för att utvärdera om principen tillämpas utan realtidsdata. Som standard är standardinställningar för motståndskraft aktiverade för alla principer. Du kan inaktivera inställningen för enskilda principer när principutvärdering i realtid behövs för åtkomst till känsliga program under ett avbrott.
Exempel: En princip med standardinställningar för motståndskraft aktiverat kräver att alla användare som tilldelats en privilegierad roll får åtkomst till Microsoft Admin-portaler för att utföra MFA. Om en användare utan administratörsroll kommer åt Azure-portalen före ett avbrott gäller inte principen och användaren får åtkomst utan en MFA-fråga. Under ett avbrott utvärderar Reservautentiseringstjänsten policyn på nytt för att avgöra om användaren behöver en MFA-prompt. Eftersom tjänsten för säkerhetskopieringsautentisering inte kan utvärdera rollmedlemskap i realtid använder den data som samlats in i början av användarens session för att bestämma att principen fortfarande inte gäller. Därför beviljas användaren åtkomst utan att uppmanas att använda MFA.
Standardinställningar för resiliens inaktiverade
När standardvärden för motståndskraft är inaktiverade använder tjänsten för säkerhetskopieringsautentisering inte data som samlats in i början av sessionen för att utvärdera villkor. Om ett principvillkor inte kan utvärderas i realtid under ett avbrott nekas åtkomst.
Exempel: En princip med standardinställningar för motståndskraft inaktiverad kräver att alla användare som tilldelats en privilegierad roll får åtkomst till Microsofts administratörsportaler för att slutföra MFA. Om en användare som inte har tilldelats en administratörsroll kommer åt Azure-portalen före ett avbrott gäller inte principen och användaren beviljas åtkomst utan att uppmanas att använda MFA. Under ett avbrott utvärderar tjänsten för säkerhetskopieringsautentisering principen igen för att avgöra om användaren ska uppmanas att ange MFA. Eftersom autentiseringstjänsten för säkerhetskopiering inte kan utvärdera rollmedlemskap i realtid blockerar den användaren från att komma åt Azure-portalen.
Varning
Om du inaktiverar standardinställningarna för resiliens för en princip som gäller för en grupp eller roll, försämras motståndskraften för alla användare i tenanten. Eftersom grupp- och rollmedlemskap inte kan utvärderas i realtid under ett avbrott nekas inte ens användare som inte tillhör gruppen eller rollen i principtilldelningen åtkomst till programmet inom principens omfång. Om du vill undvika att minska motståndskraften för alla användare som inte omfattas av principens omfång tillämpar du principen på enskilda användare i stället för grupper eller roller.
Standardvärden för testning av motståndskraft
Du kan inte utföra en torrkörning med hjälp av tjänsten för säkerhetskopieringsautentisering eller simulera resultatet av en princip med standardinställningar för motståndskraft aktiverade eller inaktiverade. Microsoft Entra kör månatliga tester med hjälp av tjänsten för säkerhetskopieringsautentisering. Omfånget för dessa tester varierar. Vi testar inte varje klientorganisation varje månad. Om du vill se om token har utfärdats via tjänsten för säkerhetskopieringsautentisering i din klientorganisation kan du använda inloggningsloggarna. IEntra ID>Övervakning & hälsa>Inloggningsloggar lägg till filtret "Token issuer type == Microsoft Entra Backup Auth" för att visa de loggar som bearbetas av Microsoft Entra Backup Authentication Service.
Konfigurera standardinställningar för motståndskraft
Konfigurera standardinställningar för motståndskraft mot villkorsstyrd åtkomst med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph-API:er eller PowerShell.
Administrationscenter för Microsoft Entra
- Logga in på Microsoft Entra administratörscenter som minst en Administratör för villkorsstyrd åtkomst.
- Bläddra till Entra-ID>Villkorsstyrd åtkomst>Principer.
- Skapa en ny princip eller välj en befintlig princip.
- Öppna inställningarna för sessionskontrollen.
- Välj Inaktivera standardinställningar för motståndskraft för att inaktivera inställningen för den här principen. Inloggningar inom principens omfång blockeras under ett Microsoft Entra-avbrott.
- Spara ändringar i principen.
Microsoft Graph-API:er
Hantera standardvärden för motståndskraft för dina principer för villkorsstyrd åtkomst med hjälp av MS Graph API och Microsoft Graph Explorer.
Exempel på url för begäran:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Exempel på begärandetext:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Distribuera den här korrigeringsåtgärden med Microsoft PowerShell när du har installerat modulen Microsoft.Graph.Authentication. Installera den här modulen genom att öppna en upphöjd PowerShell-prompt och köra
Install-Module Microsoft.Graph.Authentication
Anslut till Microsoft Graph och begär de nödvändiga omfången:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Logga in när du uppmanas att göra det.
Skapa en JSON-kropp för PATCH-begäran.
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Kör korrigeringsåtgärden:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Rekommendationer
Microsoft rekommenderar att du aktiverar standardinställningar för motståndskraft. Även om det inte finns några direkta säkerhetsproblem bör du utvärdera om säkerhetskopieringsautentiseringstjänsten ska kunna utvärdera principer för villkorlig åtkomst under ett avbrott med data som samlats in i början av sessionen i stället för i realtid.
Det är möjligt att en användares roll eller gruppmedlemskap har ändrats sedan sessionens början. Med Utvärdering av kontinuerlig åtkomst (CAE) är åtkomsttoken giltiga i 24 timmar men kan återkallas omedelbart. Tjänsten för säkerhetskopieringsautentisering prenumererar på samma återkallningshändelser som CAE. Om en användares token återkallas som en del av CAE kan användaren inte logga in under ett avbrott. När standardvärden för motståndskraft är aktiverade utökas sessioner som upphör att gälla under ett avbrott. Sessioner utökas även om principen har konfigurerats med en sessionskontroll för att framtvinga en inloggningsfrekvens. En princip med standardinställningar för motståndskraft kan till exempel kräva att användarna autentiserar varje timme på nytt för att få åtkomst till en SharePoint-webbplats. Under ett avbrott utökas användarens session även om Microsoft Entra-ID kanske inte är tillgängligt för att autentisera användaren igen.
Nästa steg
- Läs mer om utvärdering av kontinuerlig åtkomst (CAE)