Вступ

Умовний доступ – це функція Azure Active Directory (AZURE AD), яка дає змогу керувати тим, як і коли користувачі можуть отримати доступ до програм і служб. Незважаючи на свою корисність, ви маєте знати, що за допомогою умовного доступу може виникнути несприятливий або неочікуваний ефект для користувачів у вашій організації, які використовують Microsoft Flow для підключення до служб Microsoft, які стосуються політики умовного доступу.

Загальні відомості

Політики умовного доступу керуються на порталі Лазур і можуть мати кілька вимог, зокрема (але не обмежуються нижче):

  • Користувачі мають входити, використовуючи багатофакторну автентифікацію ( зазвичай це пароль плюс Біометричні або інший пристрій), щоб отримати доступ до деяких або всіх хмарних служб.

  • Користувачі можуть отримати доступ до деяких або всіх хмарних служб лише з корпоративної мережі, а не з домашньої мережі.

  • Користувачі можуть використовувати лише затверджені пристрої або клієнтські програми, щоб отримати доступ до деяких або всіх хмарних служб.

На знімку екрана нижче показано приклад політики МЗС, що вимагає від МЗС для певних користувачів, коли вони мають доступ до порталу керування Лазурому.

Потребують декількох факторів дозволу користувача під час доступу до до порталу керування для Azure

Ви також можете відкрити конфігурацію МЗС на порталі Лазур. Щоб зробити це, виберіть елемент " блакитні активні каталоги > користувачі та групи > всіх користувачів> багатофакторну автентифікацію, а потім настройте політики за допомогою вкладки" Параметри служби ".

Вибір кількох факторів автентифікації Azure портал Також можна настроїти МЗС в центрі адміністрування Microsoft 365. До передплатників Office 365 можна скористатися підмножиною можливостей «блакитний МЗС». Докладні відомості про ввімкнення функції МЗС наведено в статті Настроювання багатофакторної автентифікації для користувачів Office 365

Виберіть Azure автентифікації в кількох факторів центру адміністрування в Office 365

Запам'ятайте відомості декількох факторів автентифікації параметр

Параметр " пам'ятати про багатофакторну автентифікацію " може допомогти зменшити кількість входів користувача за допомогою стійкого файлу cookie. Ця політика керує параметрами Azure AD, які описано в розділі запам'ятовувати багатофакторну автентифікацію для надійних пристроїв.

На жаль, цей параметр змінює настройки політики маркерів, які роблять термін дії потоків кожні 14 днів. Це одна з найпоширеніших причин, через які передавання підключень відбувається не частіше після ввімкнення засобу "МЗС". Радимо не використовувати цей параметр. Натомість можна домогтися того ж функціоналу за допомогою наведеної нижче політики терміну дії маркера.

Рекомендовані настройки тривалості життя маркера після ввімкнення МЗС

Основним несприятливим ефектом умовного доступу в потоці викликано параметри в таблиці нижче. У таблиці показано значення за замовчуванням для параметрів терміну дії маркера. Радимо не змінювати ці значення.

Налаштування

Рекомендоване значення

Вплив на потік

MaxInactiveTime

90 днів

Якщо будь-яке передавання потоку простоює (не використовується за допомогою потоку) довше, ніж цей проміжок часу, будь-який новий потік запускається після завершення терміну дії, і повертає таке повідомлення про помилку:

AADSTS70008: маркер оновлення минув через бездіяльність. Маркер був виданий вчасно і був неактивний для 90.00:00:00

MaxAgeMultiFactor

До-відкликаний

Цей параметр керує тим, як діють довгі багатофакторні маркери оновлення (типи маркерів, які використовуються в потоці з'єднання).

Параметр за замовчуванням означає, що ви не можете використовувати обмеження для використання потоку, якщо адміністратор клієнта не відкликає доступ до користувача.

Установлення цього значення до будь-якого фіксованого проміжку часу означає, що після цієї тривалості (незалежно від використання або бездіяльності) потік з'єднання стає недійсним, а потік працює, а потім не вдасться. Коли це станеться, створюється таке повідомлення про помилку. Ця помилка вимагає, щоб користувачі могли відновити або повторно створити підключення.

AADSTS50076: через зміни конфігурації, внесені адміністратором, або тому, що ви переїхали в нове розташування, потрібно використовувати багатофакторну автентифікацію, щоб отримати доступ...

MaxAgeSingleFactor

До-відкликаний

Ця настройка збігається з параметром MaxAgeMultiFactor  , але для однофакторних маркерів оновлення.

MaxAgeSessionMultiFactor

До-відкликаний

Немає прямої дії для передавання потокових підключень. Цей параметр визначає термін дії сеансу користувача для веб-програм. Цей параметр може бути змінений адміністраторами, залежно від того, як часто вони хочуть, щоб користувачі ввійшли в веб-програми, перш ніж закінчиться термін дії сеансу користувача.

Деякі настройки, настроєні як частину ввімкнення багатофакторної системи, можуть вплинути на підключення до потоків. Коли МЗС активовано з центру адміністрування Microsoft 365 і вибрано параметр "Запам'ятати багатофакторну автентифікацію ", настроєний значення перевизначить параметри політики маркера за замовчуванням, MaxAgeMultiFactor та maxagesessionmultifactor.Під час завершення терміну дії MaxAgeMultiFactorне вдається виконати передавання підключень   , і він вимагає, щоб користувач використовував явний вхід, щоб виправити підключення.

Радимо використовувати політику маркерів замість параметра " пам'ятати про багатофакторну автентифікацію", щоб настроїти різні значення для параметрів MaxAgeMultiFactor і maxдесяткових настройок. Політика маркера дає змогу відстежувати зв'язки, а також контролювати сеанс входу користувачів для веб-програм Office 365. У MaxAgeMultiFactor має бути достатньо тривалий період – це ідеальне значення, яке не відповідно відкликаний. Це потрібно зробити, щоб зв'язки потоків постійно працювали, доки не буде скасовано маркер оновлення. Під час сеансу входу в обліковий _ код для користувача не впливає на сеанс. Адміністратор клієнта може вибрати потрібне значення, залежно від того, як часто вони мають входити в веб-застосунки Office 365, перш ніж закінчиться термін дії сеансу.

Щоб переглянути політики Active Directory в організації, можна скористатися такими командами. Час, який настроюється в "Блакитний" (ознайомлювальну версію)документ містить певні вказівки для запитів і оновлення параметрів у вашій організації.

Перегляд наявної політики тривалості життя маркерів

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

Виконайте команди в наступних розділах, щоб створити політику або змінити наявну політику в таких ситуаціях:

  • Параметр " запам'ятати багатофакторну автентифікацію " ввімкнуто в центрі адміністрування Microsoft 365.

  • Наявну політику тривалості життя маркера настроєно за допомогою скорочного значення терміну дії для параметра MaxAgeMultiFactor .

Створення нової політики довічного маркера

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Змінення наявної політики довічного маркера

Якщо політика організації за замовчуванням уже існує, оновіть та змініть настройки, виконавши наведені нижче дії.

  1. Виконайте таку команду, щоб знайти ІДЕНТИФІКАТОР політики, який має атрибут Isorganationaldefault (значення True).   get-azureadpolicy

  2. Щоб оновити параметри політики маркерів, виконайте таку команду:   PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')

    Примітка. Будь-які додаткові настройки, настроєні в вихідній політиці, потрібно скопіювати до цієї команди.

Після настроювання політики адміністратори клієнта можуть зняти прапорець пам'ятати про багатофакторну автентифікацію ,оскільки термін дії сеансу користувача настроєно за допомогою політики тривалості життя маркера. Параметри політики своєму житті?, які працюють за допомогою маркерів, мають бути в таких умовах:

  • Веб-застосунки Office 365 налаштовано на завершення терміну дії сеансу користувача після X дн (14 днів, наприклад, на кроці 2).

  • Програма попросить користувачів знову ввійти за допомогою програми МЗС.

Додаткова інформація

Ефекти на порталі потоків і вбудовані досліди

У цьому розділі описано деякі несприятливі наслідки, які можуть мати умовний доступ для користувачів у вашій організації, які використовують потік для підключення до служб корпорації Майкрософт, що стосуються політики.  

Ефект 1: помилка на майбутніх прогонів

Якщо ввімкнути політику умовного доступу після створення потоків і з'єднань, не вдається перейти в майбутньому. Власники підключень бачитимуть таке повідомлення про помилку на порталі потоків, коли вони досліджують помилки, які не вдалося виконати:

AADSTS50076: через зміни конфігурації, внесені адміністратором, або тому, що ви переїхали в нове розташування, потрібно використовувати багатофакторну автентифікацію, щоб отримати доступ до <служби>.

Відомості про повідомлення про помилку, часу, стану помилки, відомості про помилку та виправлення Коли користувачі переглядають підключення на порталі потоків, відображається повідомлення про помилку приблизно такого вигляду:

Стан помилку відображатиметься передавання говорити не вдалося оновити маркер доступу, для служби

Щоб вирішити цю проблему, користувачі повинні ввійти на портал потоків в умовах, які відповідають політиці Access служби, у якій вони намагаються отримати доступ (наприклад, багатофакторну корпоративну мережу тощо), а потім відновлювати або повторно створювати підключення.  

Ефект 2: Автоматична Помилка створення з'єднання

Якщо користувачі не ввійшли в систему, використовуючи умови, які відповідають політиці, створення автоматичного підключення до сторонніх служб Microsoft, які контролюються політиками умовного доступу не вдасться. Користувачам потрібно вручну створити та автентифікувати підключення за допомогою умов, які відповідають політиці умовного доступу служби, яку вони прагнуть отримати. Ця поведінка також стосується 1-шаблонів, створених на порталі потоків.

Автоматичне підключення до створення помилку AADSTS50076

Щоб вирішити цю проблему, користувачі повинні ввійти на портал потоків в умовах, які відповідають політиці Access служби, до якої вони прагнуть отримати доступ (наприклад , багатофакторну корпоративну мережу тощо ),перш ніж створювати шаблон.  

Ефект 3: користувачі не можуть створювати підключення безпосередньо

Якщо користувачі не ввійшли в потік, використовуючи умови, які відповідають політиці, вони не можуть створювати підключення безпосередньо через PowerApps або Flow. Під час спроби створити підключення користувачі бачитимуть таке повідомлення про помилку:

AADSTS50076: через зміни конфігурації, внесені адміністратором, або тому, що ви переїхали в нове розташування, потрібно використовувати багатофакторну автентифікацію, щоб отримати доступ до <служби>.

Помилка AADSTS50076, під час спроби підключення

Щоб вирішити цю проблему, користувачі мають входити в розділі умови, які відповідають політиці Access служби, яку вони намагаються отримати, а потім знову створіть підключення.  

Ефект 4: користувачі та збирачі електронної пошти на порталі потоків Fail

Якщо служба Exchange Online або SharePoint Access керує політикою умовного доступу, і якщо користувачі не ввійшли в положення під тією самою політикою, користувачам і збирачам електронної пошти на порталі потоків не вдасться. Користувачі не можуть отримати повні результати для груп у своїй організації, коли вони виконують такі запити (групи Office 365 не буде повернуто для цих запитів):

  • Надання спільного доступу до потоку права власності або лише для виконання

  • Вибір адрес електронної пошти під час створення потоку в конструкторі

  • Вибір користувачів на панелі " перебіг виконання " під час вибору входів до потоку

Ефект 5: використання функцій потоків, вбудованих в інші служби Microsoft

Коли потік вбудовано в Microsoft Services, як-от SharePoint, PowerApps, Excel і робочі групи, користувачі потоків також можуть використовувати умовне використання та багатофакторну політику залежно від того, як вони автентифіковано для приймаючої служби. Наприклад, якщо користувач входить до служби SharePoint, використовуючи однофакторну автентифікацію, але намагається створити або використати потік, для якого потрібен Багатофакторний доступ до Microsoft Graph, користувач отримує повідомлення про помилку.  

Ефект 6: спільний доступ до потоків за допомогою списків і бібліотек SharePoint

Під час спроби надати спільний доступ до прав власності або лише під час виконання за допомогою списків і бібліотек SharePoint, потік не може надати коротке ім'я списків. Натомість відображається унікальний ідентифікатор списку. Щоб відобразити ідентифікатор, а не коротке ім'я, на сторінці властивостей потоків для уже загальних потоків буде можливість відображати лише всі сегменти для власника та лише Run-Only.

Що ще важливіше, користувачі можуть також не в змозі виявити або виконати свої потоки зі служби SharePoint. Це пояснюється тим, що в даний час дані політики умовного доступу не передаються між надбудовою Power автоматизувати та SharePoint, щоб дозволити SharePoint приймати рішення про доступ.

Спільний потоків SharePoint списків і бібліотек

Власники, можна переглянути URL-адресу сайту та Ідентифікатор списку  

Ефект 7: створення потоків, що не є в списку SharePoint

Дії, пов'язані з ефектом 6, створення та виконання потоків на основі SharePoint, як-от "запит на вихід" і "затвердження сторінки", можна заблокувати за допомогою політик умовного доступу. Документація SharePoint про політики умовного доступу вказує на те, що ці політики можуть спричинити проблеми з доступом, які впливають на програми для перших і сторонніх постачальників. 

Цей сценарій застосовується як до мережного розташування, так і для політики умовного доступу (наприклад, "заборонити некеровані пристрої"). Підтримка створення потоків на основі служби SharePoint зараз виконується в стадії розробки. Ми опублікуємо докладні відомості в цій статті, коли ця підтримка стане доступною.

У проміжний період ми радимо користувачам створювати схожі потоки самостійно, а також ділитися ними, використовуючи потрібні користувачі, або вимкнути політики умовного доступу, якщо потрібна ця функція.

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Наскільки ви задоволені якістю перекладу?

Що вплинуло на ваші враження?

Маєте ще один відгук? (Необов'язково)

Дякуємо за ваш відгук!

×