Ensure Sign-in frequency is enabled and browser sessions are not persistent for Administrative users
Prečo je to dôležité
Administratívne účty s neobmedzenou dobou trvania relácie predstavujú kritickú bezpečnostnú medzeru. Ak útočník získa prístup k aktívnej relácii, môže si udržať trvalý prístup k privilegovaným rolám bez toho, aby musel opakovane zadávať MFA výzvy. Presadenie obmedzení frekvencie prihlásenia a blokovanie pretrvávajúcich relácií prehliadača výrazne skracuje časové okno pre únos relácie a náhodné útoky.
Čo kontroluje Aether365
Aether365 overuje, či politiky Conditional Access vynucujú maximálnu frekvenciu prihlásenia 4 hodiny (E3 tenanti) alebo 24 hodín (E5 tenanti používajúci PIM) pre administratívnych používateľov a či sú pretrvávajúce relácie prehliadača nastavené na možnosť Nikdy neuchovávať. Táto kontrola sa zobrazuje v riadiacom paneli Aether365 v sekcii entra-id ako ENTRA.1117.
Ako to opraviť
- Prihláste sa do Azure Portal a otvorte Microsoft Entra ID.
- V ľavom menu vyberte Security a potom Conditional Access.
- Kliknite na + New policy a pomenujte ju vhodne pre administratívnych používateľov.
- V časti Assignments vyberte Users and groups a zahrňte všetky administratívne roly.
- V časti Cloud apps or actions vyberte All cloud apps.
- V časti Conditions nakonfigurujte nastavenia relácie podľa potreby pre vašu licenciu tenanta.
- V časti Session nastavte Sign-in frequency na 4 hodiny (E3) alebo 24 hodín (E5 s PIM).
- V časti Session nastavte Persistent browser session na Never persist.
- Nastavte Enable policy na Report only najprv, potom po overení aktivujte.
Súlad s predpismi
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Control 5.2.2.4 (E3 Level 1)
- Microsoft Entra ID bezpečnostné osvedčené postupy
- Azure bezpečnostné benchmarky pre správu identít (IM-7)
Súvisiace zdroje
- How to configure Conditional Access policies for admin MFA
- Plan a Conditional Access deployment
- Troubleshooting Conditional Access with the What If tool
- Session lifetime and sign-in frequency configuration