Entra ID MFA asetusten muokkaus (Conditional Access)

Lemonsoft käyttää OAuth 2.0 protokollaa kirjautumisissa, joka tarkoittaa kirjautumisen hyväksyntää ensimmäisen kirjautumisen yhteydessä. Ensimmäisellä kirjautumiskerralla kysytään käyttäjän salasana ja, jos MFA on asetettu, myös MFA hyväksyntää. Kun hyväksyntä on annettu on kyseisen koneen selain hyväksytty käyttäjä. Siten uloskirjautumisen jälkeen uusi kirjautuminen hyväksytään ilman MFA kyselyitä.

MFA kyselyitä voidaan kuitenkin hallinnoida tarkemmin Entra ID:n Conditional Access -ominaisuuden avulla.

Mikä on Conditional Access?

Conditional Access on Microsoft Entra ID -palvelun ominaisuus, joka mahdollistaa käyttöoikeuksien hallinnan eri tilanteissa. Conditional Access -säännöillä voit määritellä, mitä ehtoja käyttäjän tai laitteen on täytettävä, jotta pääsee käsiksi tiettyihin sovelluksiin tai resursseihin. Esimerkiksi voit vaatia, että käyttäjä on osa tiettyä ryhmää, käyttää tiettyä laitetta tai sijaitsee tietyllä alueella.

Miten kiristää Microsoft Entra ID -politiikkaa?

Microsoft Entra ID -politiikkaa voit kiristää luomalla Conditional Access -sääntöjä, jotka rajoittavat tai estävät pääsyn sovelluksiin tai resursseihin tietyissä tilanteissa. Conditional Access -sääntöjä voit luoda Microsoft Entra ID -hallintapaneelissa tai PowerShell-komentoja käyttäen. Conditional Access -sääntöjä voit soveltaa joko kaikkiin käyttäjiin, tiettyihin käyttäjäryhmiin tai tiettyihin sovelluksiin tai resursseihin.

Miten pakottaa uudelleenkirjautumista minimissään viiden minuutin välein?

Voit pakottaa uudelleenkirjautumista viiden minuutin välien Conditional Access -säännöllä, joka vaatii uudelleenautentikointia joka kerta, kun käyttäjä yrittää päästä käsiksi tiettyyn sovellukseen tai resurssiin. Tämä voidaan tehdä seuraavasti:

  • Kirjaudu sisään Microsoft Entra ID -hallintapaneeliin ja valitse vasemmasta valikosta "Conditional Access".

  • Valitse "New policy" ja anna säännölle nimi, esimerkiksi "Reauthentication Every Time".

  • Valitse "Assignments" ja määritä, keitä sääntö koskee. Voit valita joko "All users" tai "Select users and groups" ja valita haluamasi käyttäjät tai ryhmät.

  • Valitse "Target Resources" ja määritä, mitä sovelluksia tai resursseja sääntö koskee. Valitse Lemonsoftin Azure AD Login applikaatio.

  • Valitse "Access controls" ja määritä, mitä ehtoja käyttäjän tai laitteen on täytettävä, jotta pääsee käsiksi sovelluksiin tai resursseihin. Valitse "Session" ja ruksaa "Sign-in frequency" kohdasta ”Every Time” joka on käytännössä viiden minuutin välein.

  • Valitse "Enable policy" ja "Create" tallentaaksesi säännön.

Tämän jälkeen, kun käyttäjä yrittää päästä käsiksi sovellukseen tai resurssiin, jota sääntö koskee ja käyttäjä on kirjannut aktiivisen istunnon ulos Lemonsoftin ”Lopeta ja kirjaudu -toiminnolla”, hän joutuu kirjautumaan uudelleen Microsoft Entra ID -palveluun.

 

Lue lisää Microsoftin Learn dokumentista osoitteessa: Conditional Access adaptive session lifetime policies - Microsoft Entra ID