如果主身份验证服务不可用,Microsoft Entra 备份身份验证服务会自动为现有会话向应用程序颁发访问令牌。 此功能显著增强了 Microsoft Entra 的弹性,因为现有会话的重新身份验证占 Microsoft Entra ID 总身份验证的 90% 以上。 备份身份验证服务不支持来宾用户的新会话或身份验证。
对于受条件访问保护的身份验证,在颁发访问令牌之前重新评估策略以确定:
- 应用哪些条件访问策略?
- 对于应用的策略,是否满足所需的控件?
在中断期间,备份身份验证服务无法实时评估所有条件,以确定条件访问策略是否适用。 条件访问复原默认值是一个新的会话控件,允许管理员在以下两者之间做出决定:
- 无法实时评估策略条件时,在中断期间是否阻止身份验证。
- 允许使用在用户会话开始时收集的数据来评估策略。
重要
为所有新策略和现有策略自动启用复原默认值。 Microsoft建议保持启用复原默认设置,以减少中断的影响。 管理员可以为单个条件访问策略禁用复原默认值。
工作原理
在服务中断期间,备份身份验证服务会重新颁发特定会话的访问令牌:
会话描述 | 授予访问权限 |
---|---|
新会话 | 否 |
现有会话 - 未配置条件访问策略 | 是 |
现有会话 - 配置的条件访问策略和所需的控制(如 MFA)以前已得到满足 | 是 |
现有会话 - 配置的条件访问策略和所需的控制(如 MFA)以前未得到满足 | 由复原能力默认值确定 |
当现有会话在Microsoft Entra 服务中断期间过期时,将重新评估新的访问令牌路由到备份身份验证服务的请求,并重新评估所有条件访问策略。 如果没有条件访问策略,或者如果在会话开始时满足所有必需的控制(如 MFA),则备份身份验证服务会发出新的访问令牌来扩展会话。
如果以前未满足策略所需的控制,则重新评估策略以确定是应授予还是拒绝访问权限。 并非所有条件都可以在中断期间实时重新评估。 这些情况包括:
- 组成员身份
- 角色成员身份
- 登录风险
- 用户风险
- 国家/地区位置(解析新的 IP 或 GPS 坐标)
已启用复原能力默认值
启用复原默认值后,备份身份验证服务将使用会话开始时收集的数据来评估策略是否适用而不使用实时数据。 默认情况下,为所有策略启用复原默认值。 当需要实时策略评估才能在中断期间访问敏感应用程序时,可以禁用单个策略的设置。
示例:启用复原能力默认值的策略要求所有分配有访问 Microsoft 管理门户的特权角色的用户执行 MFA。 在中断之前,如果没有管理员角色的用户访问 Azure 门户,则策略不适用,并且用户在没有 MFA 提示的情况下获取访问权限。 在服务中断期间,备份身份验证服务会重新评估策略,以确定用户是否需要 MFA 提示符。 由于备份身份验证服务无法实时评估角色成员身份,因此它使用用户会话开始时收集的数据来确定策略仍然不适用。 因此,在未提示进行 MFA 的情况下授予用户访问权限。
已禁用复原能力默认值
禁用复原默认值后,备份身份验证服务不会使用会话开始时收集的数据来评估条件。 在中断期间,如果无法实时评估策略条件,则拒绝访问。
示例:禁用复原默认值的策略要求所有用户分配了访问Microsoft管理门户的 特权角色 才能完成 MFA。 在服务中断之前,如果未分配管理员角色的用户访问 Azure 门户,则策略不适用,并且不会提示用户进行 MFA 访问。 在中断期间,备份身份验证服务将重新评估策略,以确定是否应该提示用户执行 MFA。 由于备份身份验证服务无法实时评估角色成员身份,因此会阻止用户访问 Azure 门户。
警告
禁用适用于组或角色的策略的复原默认值可降低租户中所有用户的复原能力。 由于在服务中断期间无法实时评估组和角色成员身份,因此即使不属于策略分配中的组或角色的用户也被拒绝访问策略范围内的应用程序。 为了避免减少策略范围内所有用户的复原能力,请将策略应用于单个用户,而不是组或角色。
测试复原能力默认值
无法使用备份身份验证服务执行试运行,也不能模拟启用了或禁用复原默认值的策略的结果。 Microsoft Entra 使用备份身份验证服务每月运行测试。 登录日志指示备份身份验证服务是否颁发了访问令牌。 在 Entra ID>监视和运行状况>登录日志中,添加筛选器“令牌颁发者类型 == Microsoft Entra Backup Auth”,以显示Microsoft Entra Backup Authentication Service 处理的日志。
配置复原能力默认值
使用 Microsoft Entra 管理中心、Microsoft Graph API 或 PowerShell 设置条件访问复原能力默认值。
Azure 门户
- 导航到“Microsoft Entra ID”>“安全”>“条件访问”
- 创建新策略或选择现有策略
- 打开会话控制设置。
- 选择“ 禁用复原默认设置 ”以禁用此策略的设置。 在Microsoft Entra 服务中断期间,策略范围内的登录会被阻止。
- 保存对策略的更改。
Microsoft 图形 API
使用 MS Graph API 管理条件访问策略的复原默认值。
示例请求 URL:
PATCH https://microsoftgraph.chinacloudapi.cn/beta/identity/conditionalAccess/policies/policyId
示例请求正文:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
安装 Microsoft.Graph.Authentication 模块后,使用 Microsoft PowerShell 部署此修补程序作。 通过打开提升权限的 PowerShell 窗口并运行命令来安装此模块
Install-Module Microsoft.Graph.Authentication
连接到 Microsoft Graph 并请求所需的范围:
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes 'Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All'
出现提示时登录。
为 PATCH 请求创建 JSON 正文。
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
运行修补作:
Invoke-MgGraphRequest -Method PATCH -Uri https://microsoftgraph.chinacloudapi.cn/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
建议
Microsoft 建议启用复原能力默认值。 虽然没有直接的安全问题,但评估是否使用会话开始时收集的数据(而不是实时)让备份身份验证服务在中断期间评估条件访问策略。
自会话开始以来,用户的角色或组成员身份可能已更改。 使用 持续访问评估(CAE)时,访问令牌在 24 小时内保持有效,但可能会在即时吊销事件中被撤销。 备份身份验证服务订阅相同的吊销事件 CAE。 如果用户的令牌作为 CAE 的一部分吊销,则用户在中断期间无法登录。 启用复原默认值后,中断期间过期的会话将延长。 即使策略配置为使用会话控制来强制实施登录频率,会话也会扩展会话。 例如,启用了复原能力默认值的策略可能要求用户每隔一小时重新进行身份验证,以访问 SharePoint 站点。 在中断期间,即使Microsoft Entra ID 可能无法重新对用户进行身份验证,用户的会话也会延长。
后续步骤
- 详细了解 持续访问评估(CAE)