Thema
Dieser Artikel erklärt den Ablauf von Token in NinjaOne SaaS Backup.
Umgebung
NinjaOne SaaS Backup:
Beschreibung
In Unternehmen, in denen häufig Fehler bei der Geräteautorisierung auftreten, sollten Sie mit Ihrem Kunden prüfen, ob er MFA-Einstellungen wie "Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten merken" oder "Conditional Policy" in Azure AD/M365 aktiviert hat. Wir haben festgestellt, dass Kunden, die diese Einstellungen verwenden, mit diesem Problem konfrontiert sind. Die konfigurierte Richtlinie / MFA-Einstellung führt dazu, dass das Gerätetoken abläuft, sodass ein Berechtigungsfehler vorliegt.
Die Einstellungen können wie folgt überprüft werden: "Azure Portal -> Users -> Per-user MFA -> Service Settings Tab".
Sie können auch überprüfen, ob die "Richtlinie zum Ablauf des Kennworts" auf dem Mandanten aktiviert ist.
- Besuchen Sie URL https://admin.microsoft.com/AdminPortal/Home?#/Settings/SecurityPrivacy
- Verifizieren Sie, ob der Passwortablauf nach x Tagen aktiviert ist.
Wenn es mindestens einen globalen Administrator mit Azure AD Premium-Lizenz gibt, kann ein bedingter Zugriff erstellt werden, um den Ablauf des Tokens zu konfigurieren; andernfalls folgt es der Standardkonfiguration (90 Tage), wie von Microsoft erläutert(Konfigurierbare Token-Lebensdauer - Microsoft Entra ).
Beispiel:
“AADSTS50173: Die zugewiesene Berechtigung ist abgelaufen, da sie widerrufen wurde; es wird ein neues Auth-Token benötigt. Der Benutzer hat möglicherweise sein Passwort geändert oder zurückgesetzt."
Dieser Fehler ist auf eine Änderung des Backup-Admins oder des Passworts des Backup-Admins zurückzuführen. Wenn eine AD Richtlinie vorschreibt, dass das Backup Admin / Backup Admin Passwort in einem bestimmten Intervall abläuft oder erneuert wird, bitten Sie Ihren Kunden, den NinjaOne SaaS Backup Backup Admin von der Richtlinie auszuschließen.
| Fehlercode | Grund | Auflösung |
| AADSTS700082 | Das Refresh-Token istaufgrund von Inaktivität abgelaufen. Der Standardzeitraum ist 14 Tage, und wir haben einen Cron, der das Refresh-Token alle 7 Tage erneuert. Einige Mandanten haben jedoch einen individuellen inaktiven Zeitraum von weniger als 7 Tagen. Ein anderer Grund kann ein Problem auf unserer Seite sein, das das Refresh-Token aufgrund eines Fehlers im cron nicht erneuert. | Dies ist vor allem aufunserer Seite der Fall. Wir müssen unsere cronsüberprüfen; wir habenkeine Protokolle oder Berichte wie die letzten Aktualisierungs-Tokens erneute Zeit. Und Unterstützung für eine häufigere Erneuerung der Token und konfigurierbare Erneuerungszeiten für Mieter mit einem aktiven Zeitraum von weniger als 7 Tagen. |
| AADSTS50078 | Das Aktualisierungs-Token ist aufgrund einer im Azure-Mandanten konfigurierten Richtlinie ungültig. Unsere Anwendung oder unser Backup-Admin sollte in eine Richtlinie aufgenommen werden, die zum Ablauf des Tokens führt. | Kunden müssen unsere Anwendungs- und Backup-Administration von den Conditional Policies in ihrem Tenant ausschließen. Wenn dies bei Gerätetoken der Fall ist, könnte es daran liegen, dass "Multi-Faktor-Authentifizierung auf vertrauenswürdigem Gerät merken" aktiviert ist. Möglicherweise müssen Kunden diese Funktion deaktivieren, eine Richtlinie für den bedingten Zugriff erstellen und unseren Backup-Administrator ausschließen. |
| AADSTS50173 | Der Benutzer hat sein Kennwort zurückgesetzt oder geändert, oder sein Kennwort ist abgelaufen verfallsdatum richtlinie. | Der Kunde muss sich erneut authentifizieren, wenn er sein Passwort zurückgesetzt oder geändert hat. Wenn sie eineKennwortrichtlinie haben, können sie diese von unserem Backup-Admin aus deaktivieren. |
| AADSTS500341 | Entweder ihr Org-Admin, der die Hauptanwendung authentifiziert hat, oder unser Backup-Admin wird gelöscht aus dem Mandanten. | Wenn ihr globaler Admin gelöscht wird , müssen sie sich mit einem anderen Org-Admin neu authentifizieren. Wenn der Backup-Administrator gelöschtwird, erstellt unser System automatisch einen neuen, und der Benutzer muss MFA einrichten und sich mit dem neuen Backup-Administrator neu authentifizieren. |
| AADSTS50076 | Azure-Sicherheitsvorgaben können im Mieter und im Admin-Setup MFA nach der Authentifizierung aktiviert sein, was zu ungültigen Token führt. Wenn sie das MFA-Gerät zurücksetzen und die MFA auf einem Org-Admin oder Backup-Admin zurücksetzen, werden die Token ungültig. | Am besten wäre es, die Sicherheitsvorgaben zu deaktivieren und Richtlinien für den bedingten Zugriff zu verwenden, wenn sie über eine Azure-Premiumlizenz verfügen, und unsere Anwendung und den Backup-Admin von der Richtlinie auszuschließen. Wenn nicht, müssen sie sich bei jeder Aktualisierung der MFA-Einstellungen neu authentifizieren. |
| AADSTS70043 | Das Refresh-Token ist abgelaufen oder ungültig, weil die Häufigkeit der Anmeldung durch bedingten Zugang oder Token lebensdauer konfiguriert. | Kundensie müssen unsere Anwendung und den Backup-Administrator von den Richtlinien ausschließen, falls diese konfiguriert sind. |