Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
如果主身份验证服务不可用,Microsoft Entra备份身份验证服务会自动向现有会话的应用程序颁发访问令牌。 此功能显著提高了Microsoft Entra复原能力,因为现有会话的重新身份验证占Microsoft Entra ID身份验证的 90% 以上。 备份身份验证服务不支持来宾用户的新会话或身份验证。
对于受条件访问保护的身份验证,在颁发访问令牌之前重新评估策略以确定:
- 应用哪些条件访问策略?
- 对于适用的政策,是否满足所需的控制措施?
在中断期间,备份身份验证服务无法实时评估所有条件,以确定条件访问策略是否适用。 条件访问复原默认值是一个新的会话控件,允许管理员在以下两者之间做出决定:
- 无法实时评估策略条件时,在中断期间是否阻止身份验证。
- 允许使用在用户会话开始时收集的数据来评估策略。
重要
为所有新策略和现有策略自动启用复原默认值。 Microsoft建议保持启用复原默认设置,以减少中断的影响。 管理员可以为单个条件访问策略禁用复原默认值。
工作原理
在服务中断期间,备份身份验证服务会重新颁发特定会话的访问令牌:
| 会话描述 | 授予访问权限 |
|---|---|
| 新会话 | 否 |
| 现有会话 - 未配置条件访问策略 | 是 |
| 现有会话 - 已配置的条件访问策略和必要的控制措施(如多因素身份验证,MFA)以前已得到满足 | 是 |
| 现有会话 - 配置的条件访问策略和所需的控制(如 MFA)以前未得到满足 | 由复原能力默认值确定 |
當现有会话在 Microsoft Entra 中断期间过期时,请求将路由到备份身份验证服务以获取新的访问令牌,并重新评估所有条件访问策略。 如果没有条件访问策略,或者如果在会话开始时满足所有必需的控制(如 MFA),则备份身份验证服务会发出新的访问令牌来扩展会话。
如果以前未满足策略所需的控制,则重新评估策略以确定是应授予还是拒绝访问权限。 并非所有条件都可以在中断期间实时重新评估。 这些情况包括:
- 组成员身份
- 角色成员身份
- 登录风险
- 用户风险
- 国家/地区位置(解析新的 IP 或 GPS 坐标)
- 身份验证强度
激活时,备份身份验证服务不会评估身份验证强度所需的身份验证方法。 如果你在中断前使用了非防钓鱼身份验证方法,则在中断期间,即使访问受具有防钓鱼身份验证强度的条件访问策略保护的资源,系统也不会提示你进行多重身份验证。
已启用复原能力默认值
启用复原默认值后,备份身份验证服务将使用会话开始时收集的数据来评估策略是否适用而不使用实时数据。 默认情况下,为所有策略启用复原默认值。 当需要实时策略评估才能在中断期间访问敏感应用程序时,可以禁用单个策略的设置。
示例:启用复原能力默认值的策略要求所有分配有访问 Microsoft 管理门户的特权角色的用户执行 MFA。 在中断之前,如果没有管理员角色的用户访问Azure门户,则策略不适用,并且用户在没有 MFA 提示的情况下获取访问权限。 在服务中断期间,备份身份验证服务会重新评估策略,以确定用户是否需要 MFA 提示符。 由于备份身份验证服务无法实时评估角色成员身份,因此它使用用户会话开始时收集的数据来确定策略仍然不适用。 因此,在未提示进行 MFA 的情况下授予用户访问权限。
已禁用复原能力默认值
禁用复原默认值后,备份身份验证服务不会使用会话开始时收集的数据来评估条件。 在中断期间,如果无法实时评估策略条件,则拒绝访问。
示例:禁用复原默认值的策略要求所有用户分配了访问Microsoft管理门户的 特权角色 才能完成 MFA。 在中断之前,如果未分配管理员角色的用户访问Azure门户,则策略不适用,并且不会提示用户进行 MFA 访问。 在中断期间,备份身份验证服务将重新评估策略,以确定是否应该提示用户执行 MFA。 备份身份验证服务无法实时评估角色成员身份,它会阻止用户访问 Azure portal.
警告
禁用适用于组或角色的策略的复原默认值可降低租户中所有用户的复原能力。 由于在服务中断期间无法实时评估组和角色成员身份,因此即使不属于策略分配中的组或角色的用户也被拒绝访问策略范围内的应用程序。 为了避免减少策略范围内所有用户的复原能力,请将策略应用于单个用户,而不是组或角色。
测试复原能力默认值
无法使用备份身份验证服务执行试运行,也不能模拟启用了或禁用复原默认值的策略的结果。 Microsoft Entra使用备份身份验证服务运行每月测试。 这些测试的范围各不相同。 我们每月不测试每个租户。 若要查看令牌是否已通过租户中的备份身份验证服务颁发,可以使用登录日志。 在Entra ID>监控与健康>登录日志,添加筛选器“令牌颁发者类型 == Microsoft Entra 备份身份验证”以显示由 Microsoft Entra 备份身份验证服务处理的日志。
配置复原能力默认值
使用 Microsoft Entra 管理中心、Microsoft Graph 接口或 PowerShell 设置条件访问弹性默认设置。
Azure门户
- 登录到 Azure 门户,作为至少 条件访问管理员。
- 导航到 Microsoft Entra ID>安全性>条件访问
- 创建新策略或选择现有策略
- 打开会话控制设置。
- 选择“ 禁用复原默认设置 ”以禁用此策略的设置。 在Microsoft Entra中断期间,策略范围内的登录会被阻止。
- 保存对策略的更改。
Microsoft Graph API
使用 MS Graph API管理条件访问策略的复原能力默认值。
示例请求 URL:
PATCH https://microsoftgraph.chinacloudapi.cn/beta/identity/conditionalAccess/policies/policyId
示例请求正文:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
安装 Microsoft.Graph.Authentication 模块后,使用 Microsoft PowerShell 部署此修补程序作。 通过打开提升权限的 PowerShell 窗口并运行命令来安装此模块
Install-Module Microsoft.Graph.Authentication
连接到Microsoft Graph并请求所需的范围:
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes 'Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All'
出现提示时登录。
为 PATCH 请求创建 JSON 正文。
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
运行修补操作:
Invoke-MgGraphRequest -Method PATCH -Uri https://microsoftgraph.chinacloudapi.cn/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
建议
Microsoft 建议启用复原能力默认值。 虽然没有直接的安全问题,但评估是否使用会话开始时收集的数据(而不是实时)让备份身份验证服务在中断期间评估条件访问策略。
自会话开始以来,用户的角色或组成员身份可能已更改。 使用 持续访问评估(CAE)时,访问令牌在 24 小时内保持有效,但可能会在即时吊销事件中被撤销。 备份身份验证服务订阅与 CAE 相同的吊销事件。 如果用户的令牌作为 CAE 的一部分吊销,则用户在中断期间无法登录。 启用复原默认值后,中断期间过期的会话将延长。 即使策略配置为使用会话控制来强制登录频率,会议仍会被延长。 例如,启用了复原默认值的策略可能需要用户每小时重新进行身份验证才能访问SharePoint站点。 在中断期间,即使Microsoft Entra ID可能无法重新对用户进行身份验证,用户的会话也会延长。
后续步骤
- 详细了解 持续访问评估(CAE)