Bearbeiten

Verwalten der Eingabeaufforderung „Angemeldet bleiben?“ prompt

  • Anleitung

Die Eingabeaufforderung Angemeldet bleiben? wird angezeigt, nachdem sich ein Benutzer erfolgreich angemeldet hat. Dieser Prozess wird als Angemeldet bleiben (Keep me signed in, KMSI) bezeichnet und war zuvor Teil des Prozesses zum Anpassen des Brandings.

In diesem Artikel wird erläutert, wie der KMSI-Prozess funktioniert, wie er für Kunden aktiviert wird und wie Sie KMSI-Probleme beheben können.

Voraussetzungen

Zum Konfigurieren der Option „Angemeldet bleiben“ ist eine der folgenden Lizenzen erforderlich:

  • Microsoft Entra ID-P1 bzw. -P2
  • Office 365 (für Office-Apps)
  • Microsoft 365

Sie müssen über die Rolle Globaler Administrator verfügen, um die Eingabeaufforderung „Angemeldet bleiben?“ aktivieren zu können. an.

Wie funktioniert dies?

Wenn ein Benutzer die Eingabeaufforderung Angemeldet bleiben? mit Ja beantwortet, wird ein Cookie für die dauerhafte Authentifizierung ausgestellt. Das Cookie muss in einer Sitzung gespeichert werden, damit KMSI funktioniert. KMSI funktioniert nicht mit lokal gespeicherten Cookies. Wenn KMSI nicht aktiviert ist, wird ein nicht dauerhaftes Cookie ausgegeben. Es ist 24 Stunden oder bis zum Schließen des Browsers gültig.

Das folgende Diagramm zeigt den Benutzeranmeldeflow für einen verwalteten Mandanten und einen Verbundmandanten mit Verwendung der Eingabeaufforderung „Angemeldet bleiben?“. Dieser Flow enthält intelligente Logik, sodass die Option Angemeldet bleiben? nicht angezeigt wird, wenn das ML-System eine Anmeldung mit hohem Risiko oder eine Anmeldung von einem gemeinsam genutzten Gerät erkennt. Bei Verbundmandanten wird die Eingabeaufforderung angezeigt, nachdem sich der Benutzer erfolgreich beim Verbundidentitätsdienst authentifiziert hat.

Einige Features von SharePoint Online und Office 2010 setzen voraus, dass Benutzer wählen können, angemeldet zu bleiben. Wenn Sie Option „Angemeldet bleiben“ anzeigen deaktivieren, werden Ihren Benutzern während des Anmeldevorgangs möglicherweise andere, unerwartete Eingabeaufforderungen angezeigt.

Diagramm, in dem der Benutzeranmeldeflow für einen verwalteten Mandanten im Vergleich zu einem Verbundmandanten dargestellt ist.

Aktivieren der Eingabeaufforderung „Angemeldet bleiben?“ prompt

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Die Einstellung „Angemeldet bleiben“ wird in Benutzereinstellungen verwaltet.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Navigieren Sie zu Identität>Benutzer>Benutzereinstellungen.

    Screenshot der Seite „Benutzereinstellungen“ in der Microsoft Entra-ID.

  3. Legen Sie den Umschalter „Benutzer angemeldet lassen“ anzeigen auf Ja fest.

    Screenshot der Option „‘Benutzer angemeldet lassen‘ anzeigen“.

    Problembehandlung für „Angemeldet bleiben?“ issues

    Wenn Benutzer*innen nicht auf die Aufforderung Angemeldet bleiben? reagieren, sondern den Anmeldeversuch abbrechen, wird in den Microsoft Entra-Anmeldeprotokollen ein Anmeldeprotokolleintrag angezeigt. Die Aufforderung, die der Benutzer sieht, wird als „Interrupt“ bezeichnet.

    Screenshot der Beispieleingabeaufforderung „Angemeldet bleiben?“

    Details zum Anmeldefehler finden Sie in den Anmeldeprotokollen. Wählen Sie den betroffenen Benutzer aus der Liste aus, und suchen Sie im Abschnitt Grundlegende Informationen nach den folgenden Details.

    • Anmeldefehlercode: 50140
    • Fehlerursache: Dieser Fehler ist beim Anmelden des Benutzers aufgrund des Interrupts bei „Angemeldet bleiben?“ aufgetreten.

    Sie können verhindern, dass Benutzern der Interrupt angezeigt wird, indem Sie in den Benutzereinstellungen die Einstellung Option „Angemeldet bleiben“ anzeigen auf Nein festlegen. Mit dieser Einstellung wird die Aufforderung „„Angemeldet bleiben?“ für alle Benutzer*innen in Ihrem Verzeichnis deaktiviert.

    Sie können auch die Steuerelemente für persistente Browsersitzungen im bedingten Zugriff verwenden, um zu verhindern, dass Benutzern die Eingabeaufforderung „Angemeldet bleiben?“ angezeigt wird. Mit dieser Option können Sie die Aufforderung „Angemeldet bleiben?“ für eine ausgewählte Gruppe von Benutzer*innen (z. B. in der Gruppe „Globale Administratoren“) deaktivieren, ohne dass sich dies auf das Anmeldeverhalten für die übrigen Benutzer*innen im Verzeichnis auswirkt.

    Um sicherzustellen, dass die KMSI-Eingabeaufforderung nur angezeigt wird, wenn der Benutzer davon profitieren kann, wird die KMSI-Eingabeaufforderung in den folgenden Szenarien absichtlich nicht angezeigt:

    • Der Benutzer ist über nahtloses SSO und integrierte Windows-Authentifizierung (Integrated Windows Authentication, IWA) angemeldet.
    • Der Benutzer ist über Active Directory-Verbunddienste (AD FS) und IWA angemeldet.
    • Der Benutzer ist ein Gast im Mandanten.
    • Die Risikobewertung des Benutzers ist hoch.
    • Die Anmeldung erfolgt während des Benutzer- oder Administratoreinwilligungsflows.
    • Persistente Browsersitzungssteuerung ist in einer Richtlinie für bedingten Zugriff konfiguriert

Zugehöriger Inhalt