Cookieinställningar för åtkomst till lokala program i Microsoft Entra-ID
Microsoft Entra-ID har åtkomst och sessionscookies för åtkomst till lokala program via programproxy. Ta reda på hur du använder cookieinställningarna för programproxy.
Vilka är cookieinställningarna?
Programproxy använder följande inställningar för åtkomst och sessionscookie.
| Cookieinställning | Standardvärde | beskrivning | Rekommendationer |
|---|---|---|---|
| Använd endast HTTP-cookie | Nej | Ja tillåter att programproxyn inkluderar HTTPOnly-flaggan i HTTP-svarshuvuden. Den här flaggan ger extra säkerhetsfördelar, till exempel förhindrar den skriptning på klientsidan (CSS) från att kopiera eller ändra cookies. Innan vi stödde inställningen ENDAST HTTP krypterade och överförde programproxy cookies via en säker TLS-kanal (Transport Layer Security) för att skydda mot ändringar. |
Använd Ja på grund av de extra säkerhetsfördelarna. Använd Nej för klienter eller användaragenter som kräver åtkomst till sessionscookien. Använd till exempel Nej för RDP (Remote Desktop Protocol) eller Microsoft Terminal Services Client (MTSC) som ansluter till en fjärrskrivbordsgatewayserver via programproxy. |
| Använd säker cookie | Ja | Ja tillåter att programproxyn inkluderar flaggan Säker i HTTP-svarshuvuden. Säkra cookies förbättrar säkerheten genom att överföra cookies via en TLS-skyddad kanal, till exempel HTTPS. TLS förhindrar cookieöverföring i klartext. | Använd Ja på grund av de extra säkerhetsfördelarna. |
| Använd beständig cookie | Nej | Ja tillåter att programproxyn anger att dess åtkomstcookies inte upphör att gälla när webbläsaren stängs. Beständigheten varar tills åtkomsttoken upphör att gälla eller tills användaren manuellt tar bort de beständiga cookies. | Använd Nej på grund av säkerhetsrisken som är associerad med att hålla användarna autentiserade. Vi föreslår att du bara använder Ja för äldre program som inte kan dela cookies mellan processer. Det är bättre att uppdatera ditt program för att hantera delning av cookies mellan processer i stället för att använda beständiga cookies. Du kan till exempel behöva beständiga cookies så att en användare kan öppna Office-dokument i utforskarvyn från en SharePoint-webbplats. Utan beständiga cookies kan den här åtgärden misslyckas om åtkomstcookies inte delas mellan webbläsaren, utforskarprocessen och Office-processen. |
SameSite Cookies
Cookies som inte anger attributet SameSite behandlas som om de hade angetts till SameSite=Lax. Attributet SameSite deklarerar hur cookies ska begränsas till en kontext på samma plats. När den är inställd Laxpå skickas cookien endast till begäranden på samma webbplats eller till navigering på den översta nivån. Programproxy kräver dock att dessa cookies bevaras i tredjepartskontexten för att hålla användarna korrekt inloggade under sessionen. På grund av kravet gjordes uppdateringar:
- Ange attributet SameSite till Ingen. cookies för programproxysessioner skickas korrekt i tredjepartskontexten.
- Ange inställningen Använd säker cookie för att använda Ja som standard. Chrome avvisar cookies som inte använder
Secureflaggan. Ändringen gäller för alla befintliga program som publiceras via programproxy. Åtkomstcookies för programproxy är inställda på Säker och överförs endast via HTTPS. Ändringen gäller endast sessionscookies.
Om ditt serverdelsprogram dessutom har cookies som behöver kontext från tredje part måste du uttryckligen välja att använda genom att ändra ditt program för att använda SameSite=None. Programproxy översätter Set-Cookie huvudet till dess URL:er och respekterar inställningarna.
Ange cookieinställningarna – Administrationscenter för Microsoft Entra
Så här anger du cookieinställningarna med hjälp av administrationscentret för Microsoft Entra:
- Logga in på administrationscentret för Microsoft Entra som minst programadministratör.
- Bläddra till Programproxy för Identity>Applications>Enterprise-program.>
- Under Ytterligare inställningar ställer du in cookieinställningen på Ja eller Nej.
- Välj Spara för att tillämpa ändringarna.
Visa aktuella cookieinställningar – PowerShell
Om du vill se de aktuella cookieinställningarna för programmet använder du det här PowerShell-kommandot:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Ange cookieinställningar – PowerShell
I följande PowerShell-kommandon <ObjectId> är objectid för programmet.
Endast http-cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Säker cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Beständiga cookies
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false