Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als de primaire verificatieservice niet beschikbaar is, geeft de Microsoft Entra Backup Authentication Service automatisch toegangstokens uit voor toepassingen voor bestaande sessies. Deze functionaliteit verbetert de veerkracht van Microsoft Entra aanzienlijk, omdat opnieuw uitgevoerde verificaties voor bestaande sessies goed zijn voor meer dan 90% van de verificaties naar Microsoft Entra ID. De Backup Authentication Service biedt geen ondersteuning voor nieuwe sessies of verificaties door gastgebruikers.
Voor verificaties die worden beveiligd door voorwaardelijke toegang, worden beleidsregels opnieuw geëvalueerd voordat toegangstokens worden uitgegeven om te bepalen:
- Welk beleid voor voorwaardelijke toegang is van toepassing?
- Voldoen de vereiste besturingselementen voor beleidsregels die wel van toepassing zijn?
Tijdens een storing kan de Back-upverificatieservice niet alle voorwaarden in realtime evalueren om te bepalen of een beleid voor voorwaardelijke toegang van toepassing is. De standaardinstellingen voor tolerantie voor voorwaardelijke toegang zijn een nieuw sessiebeheer waarmee beheerders kunnen beslissen tussen:
- Of verificaties tijdens een storing moeten worden geblokkeerd wanneer een beleidsvoorwaarde niet in realtime kan worden geëvalueerd.
- Toestaan dat beleidsregels worden geëvalueerd met behulp van gegevens die zijn verzameld aan het begin van de sessie van de gebruiker.
Belangrijk
Standaardinstellingen voor tolerantie worden automatisch ingeschakeld voor alle nieuwe en bestaande beleidsregels. Microsoft raadt aan de standaardinstellingen voor tolerantie ingeschakeld te houden om de impact van een storing te verminderen. Beheerders kunnen de standaardinstellingen voor tolerantie uitschakelen voor afzonderlijke beleidsregels voor voorwaardelijke toegang.
Hoe werkt het?
Tijdens een storing worden met de Backup Authentication Service toegangstokens opnieuw uitgegeven voor specifieke sessies:
| Beschrijving van sessie | Toegang verleend |
|---|---|
| Nieuwe sessie | Nee |
| Bestaande sessie: er zijn geen beleidsregels voor voorwaardelijke toegang geconfigureerd | Ja |
| Bestaande sessie – Voorwaardelijke toegangsbeleid geconfigureerd en de vereiste controles, zoals MFA, waren al voldaan. | Ja |
| Bestaande sessie: beleid voor voorwaardelijke toegang geconfigureerd en de vereiste controles, zoals MFA, werden eerder niet voldaan. | Bepaald door de standaardinstellingen voor tolerantie |
Wanneer een bestaande sessie verloopt tijdens een Microsoft Entra-storing, wordt de aanvraag voor een nieuw toegangstoken gerouteerd naar de Backup Authentication Service en worden alle beleidsregels voor voorwaardelijke toegang opnieuw geëvalueerd. Als er geen beleid voor voorwaardelijke toegang is of als aan het begin van de sessie aan alle vereiste besturingselementen, zoals MFA, is voldaan, geeft de Backup Authentication Service een nieuw toegangstoken uit om de sessie uit te breiden.
Als niet eerder aan de vereiste besturingselementen van een beleid werd voldaan, wordt het beleid opnieuw geëvalueerd om te bepalen of toegang moet worden verleend of geweigerd. Niet alle voorwaarden kunnen in realtime opnieuw worden geëvalueerd tijdens een storing. Deze omstandigheden zijn onder andere:
- Groepslidmaatschap
- Rollidmaatschap
- Aanmeldingsrisico
- Gebruikersrisico
- Land-/regiolocatie (nieuwe IP- of GPS-coördinaten omzetten)
- Sterktes van authenticatie
Wanneer deze actief is, evalueert de Backup Authentication Service geen verificatiemethoden die vereist zijn voor verificatiesterkten. Als u vóór een storing een niet-phishingbestendige verificatiemethode hebt gebruikt, wordt u tijdens een storing niet gevraagd om meervoudige verificatie, zelfs niet als u toegang hebt tot een resource die wordt beveiligd door een beleid voor voorwaardelijke toegang met een phishingbestendige verificatiesterkte.
Standaardinstellingen voor tolerantie ingeschakeld
Wanneer standaardwaarden voor tolerantie zijn ingeschakeld, gebruikt de Backup Authentication Service gegevens die aan het begin van de sessie worden verzameld om te evalueren of het beleid van toepassing is zonder realtimegegevens. Standaard zijn de standaardinstellingen voor tolerantie ingeschakeld voor alle beleidsregels. U kunt de instelling voor afzonderlijke beleidsregels uitschakelen wanneer realtime beleidsevaluatie nodig is voor toegang tot gevoelige toepassingen tijdens een storing.
Voorbeeld: Voor een beleid waarvoor de standaardinstellingen voor tolerantie zijn ingeschakeld, moeten alle gebruikers een bevoorrechte rol hebben toegewezen die toegang heeft tot Microsoft-beheerportals om MFA uit te voeren. Als een gebruiker zonder beheerdersrol vóór een storing toegang krijgt tot Azure Portal, is het beleid niet van toepassing en krijgt de gebruiker toegang zonder een MFA-prompt. Tijdens een storing evalueert de Backup Authentication Service het beleid opnieuw om te bepalen of de gebruiker een MFA-prompt nodig heeft. Omdat de Backup Authentication Service het rollidmaatschap niet in realtime kan evalueren, worden gegevens gebruikt die worden verzameld aan het begin van de sessie van de gebruiker om te bepalen dat het beleid nog steeds niet van toepassing is. Als gevolg hiervan krijgt de gebruiker toegang zonder dat om MFA wordt gevraagd.
Standaardwaarden voor veerkracht uitgeschakeld
Wanneer de standaardinstellingen voor tolerantie zijn uitgeschakeld, gebruikt de Backup Authentication Service geen gegevens die aan het begin van de sessie worden verzameld om voorwaarden te evalueren. Als tijdens een storing een beleidsvoorwaarde niet in realtime kan worden geëvalueerd, wordt de toegang geweigerd.
Voorbeeld: Voor een beleid waarvoor de standaardinstellingen voor tolerantie zijn uitgeschakeld, moeten alle gebruikers een bevoorrechte rol hebben toegewezen die toegang heeft tot Microsoft-beheerportals om MFA te voltooien. Als er vóór een storing een gebruiker aan wie geen beheerdersrol is toegewezen, toegang krijgt tot Azure Portal, is het beleid niet van toepassing en krijgt de gebruiker toegang zonder om MFA te worden gevraagd. Tijdens een storing zou de Backup Authentication Service het beleid opnieuw beoordelen om te bepalen of de gebruiker om MFA moet worden gevraagd. Omdat de Backup Authentication Service het rollidmaatschap niet in realtime kan evalueren, blokkeert het de gebruiker van toegang tot de Azure-portal.
Waarschuwing
Het uitschakelen van standaardwaarden voor tolerantie voor een beleid dat van toepassing is op een groep of rol vermindert de tolerantie voor alle gebruikers in de tenant. Omdat lidmaatschappen van groepen en rollen niet in real-time kunnen worden geëvalueerd tijdens een storing, wordt zelfs gebruikers die geen deel uitmaken van de groep of rol in de beleidstoewijzing, de toegang tot de applicatie binnen de reikwijdte van het beleid geweigerd. Pas het beleid toe op individuele gebruikers in plaats van op groepen of rollen om te voorkomen dat de veerkracht wordt verminderd voor alle gebruikers die niet binnen het bereik van het beleid vallen.
Standaardinstellingen voor tolerantie testen
U kunt geen droge uitvoering uitvoeren met behulp van de Backup Authentication Service of het resultaat van een beleid simuleren met de standaardinstellingen voor tolerantie ingeschakeld of uitgeschakeld. Microsoft Entra voert maandelijkse tests uit met behulp van de Backup Authentication Service. Het bereik van deze tests varieert. We testen niet elke tenant elke maand. Als u wilt zien of tokens zijn uitgegeven via de Backup Authentication Service binnen uw tenant, kunt u de aanmeldingslogboeken gebruiken. In Entra ID>Bewaking & statuscontrole>aanmeldingslogboeken, voeg het filter "Token issuer type == Microsoft Entra Backup Auth" toe om de logboeken weer te geven die zijn verwerkt door Microsoft Entra Backup Authentication Service.
Standaardinstellingen voor tolerantie configureren
Stel de standaardinstellingen voor voorwaardelijke toegang in met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph-API's of PowerShell.
Microsoft Entra-beheercentrum
- Log in bij het Microsoft Entra-beheerderscentrum als ten minste een Beheerder van voorwaardelijke toegang.
- Blader naar Entra ID>Voorwaardelijke Toegang>Beleid.
- Maak een nieuw beleid of selecteer een bestaand beleid.
- Open de instellingen voor sessiebeheer.
- Selecteer Standaardinstellingen voor tolerantie uitschakelen om de instelling voor dit beleid uit te schakelen. Aanmeldingen binnen het bereik van het beleid worden geblokkeerd tijdens een Microsoft Entra-storing.
- Sla wijzigingen in het beleid op.
Microsoft Graph API's
Beheer de standaardinstellingen voor tolerantie voor uw beleid voor voorwaardelijke toegang met behulp van de MS Graph API en Microsoft Graph Explorer.
Voorbeeld van aanvraag-URL:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Voorbeeldtekst van aanvraag:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
Powershell
Implementeer deze patchbewerking met Behulp van Microsoft PowerShell nadat u de module Microsoft.Graph.Authentication hebt geïnstalleerd. Installeer deze module door een PowerShell-prompt met verhoogde bevoegdheid te openen en uit te voeren
Install-Module Microsoft.Graph.Authentication
Maak verbinding met Microsoft Graph en vraag de vereiste bereiken aan:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
Meld u aan wanneer u hierom wordt gevraagd.
Maak een JSON-hoofdtekst voor de PATCH-aanvraag:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Voer de patchbewerking uit:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Aanbevelingen
Microsoft raadt aan om standaardwaarden voor tolerantie in te schakelen. Hoewel er geen directe beveiligingsproblemen zijn, moet u evalueren of de Back-upverificatieservice beleid voor voorwaardelijke toegang moet evalueren tijdens een storing met behulp van gegevens die aan het begin van de sessie zijn verzameld in plaats van in realtime.
Het is mogelijk dat de rol of het groepslidmaatschap van een gebruiker is gewijzigd sinds het begin van de sessie. Met Continue toegangsevaluatie (CAE) blijven toegangstokens 24 uur geldig, maar zijn ze onderhevig aan onmiddellijke intrekkingsgebeurtenissen. De Backup Authentication Service abonneert zich op dezelfde intrekkingsgebeurtenissen CAE. Als het token van een gebruiker wordt ingetrokken als onderdeel van CAE, kan de gebruiker zich niet aanmelden tijdens een storing. Wanneer de standaardinstellingen voor tolerantie zijn ingeschakeld, worden sessies die verlopen tijdens een storing uitgebreid. Sessies worden uitgebreid, zelfs als het beleid is geconfigureerd met een sessiebeheer om een aanmeldingsfrequentie af te dwingen. Een beleid waarvoor standaardinstellingen voor tolerantie zijn ingeschakeld, kan bijvoorbeeld vereisen dat gebruikers elk uur opnieuw verifiëren om toegang te krijgen tot een SharePoint-site. Tijdens een storing wordt de sessie van de gebruiker uitgebreid, ook al is de Microsoft Entra-id mogelijk niet beschikbaar om de gebruiker opnieuw te verifiëren.
Volgende stappen
- Meer informatie over continue toegangsevaluatie (CAE)