מיקרוסופט מחמירה את הגישה לנתונים רגישים ב-Entra ID
שכבת ההגנה החדשה מאפשרת לדרוש מהמשתמשים להתחבר מחדש בכל פעם שהם ניגשים לחומר רגיש
מיקרוסופט, תמונה: Dreamstime
אחרי שנעלה לא מעט משתמשים בסוף השבוע מחוץ למערכת, מיקרוסופט ממשיכה לעדכן את Entra ID ומוסיפה כעת שכבת הגנה חדשה, המאפשרת לדרוש מהמשתמשים להתחבר מחדש בכל פעם שהם ניגשים לחומר רגיש. כן, קראתם נכון, להתחבר מחדש בכל פעם בלי קשר לזמן שעבר מההתחברות האחרונה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
ברגע שמפעילים את השכבה החדשה, שזכתה לשם Reauthentication Every Time, כל ניסיון גישה למערכת נבדק מחדש. אם המערכת מחליטה שתוקף ההרשאה פג או שנדרש אישור חדש, המשתמש מועבר למסך התחברות, כולל אימות רב-שלבי. סגירה של הדפדפן לא מפעילה את המנגנון. רק סיום סשן אמיתי יעשה את זה. לפי מיקרוסופט, המהלך נועד להדק את השליטה בפעולות רגישות, לאפשר שקיפות מלאה על מי עושה מה ומתי, ובעיקר לצמצם את הסיכוי שאישור גישה ימשיך לפעול גם כשהמשתמש כבר לא אמור להיחשף למידע.
השימושים האפשריים ברורים. אפשר להחיל את המדיניות על מערכות שמכילות מידע רגיש, על תהליכים שדורשים הרשאות זמניות, על חיבורים דרך VPN ועל גישה לשולחנות עבודה בענן. גם פעולות כמו רישום למערכת ניהול מכשירים נחשבות מבחינת מיקרוסופט לפעולות שדורשות אימות מחודש.מי שרוצה, יכול להחיל את זה רק על משתמשים מסוימים. למשל כאלה שהמערכת זיהתה אצלם דפוסי התנהגות חריגים או פעילות שנראית חשודה.
כדי להימנע מהצפה מיותרת, המדיניות כוללת מגבלה של פעם אחת כל חמש דקות. כלומר גם אם מנסים לגשת לכמה מערכות שונות בפרק זמן קצר, תידרש רק התחברות אחת.
לאחר העדכון מיקרוסופט הבהירה כי שימוש יתר במדיניות הזו עלול להוביל לעייפות MFA – תופעה שבה המשתמשים מתעלמים מאימותים פשוט כי נמאס להם. לכן, היא ממליצה להפעיל את הפיצ'ר רק על מערכות קריטיות במיוחד, ולהעדיף מדיניות לפי תדירות זמן קבועה באפליקציות כמו Microsoft 365.
