Optimieren von Aufforderungen zur erneuten Authentifizierung und Grundlegendes zur Sitzungslebensdauer für die Multi-Faktor-Authentifizierung von Microsoft Entra

Microsoft Entra ID verfügt über mehrere Einstellungen, mit denen bestimmt wird, wie oft Benutzer sich erneut authentifizieren müssen. Diese erneute Authentifizierung kann mit einem ersten Faktor wie einem Kennwort, FIDO oder dem kennwortlosen Microsoft Authenticator erfolgen, oder um eine Multi-Faktor-Authentifizierung durchzuführen. Sie können diese Einstellungen für die erneute Authentifizierung nach Bedarf für Ihre Umgebung und die gewünschte Benutzererfahrung konfigurieren.

Die Standardkonfiguration von Microsoft Entra ID sieht für die Anmeldehäufigkeit von Benutzern ein rollierendes Zeitfenster von 90 Tagen vor. Benutzer zur Angabe von Anmeldeinformationen aufzufordern, kann häufig sinnvoll erscheinen, sich aber nachteilig auswirken. Wenn Benutzer darin geschult werden, ihre Anmeldeinformationen ohne Nachdenken einzugeben, können sie diese versehentlich in einer böswilligen Eingabeaufforderung für Anmeldeinformationen angeben.

Es klingt vielleicht beunruhigend, keine erneute Anmeldung von einem Benutzer zu fordern, tatsächlich wird die Sitzung bei einer Verletzung der IT-Richtlinien jedoch widerrufen. Zu den Beispielen zählen eine Kennwortänderung, ein nicht konformes Gerät oder eine Kontodeaktivierung. Sie können Benutzersitzungen auch explizit mit Microsoft Graph PowerShell widerrufen.

In diesem Artikel werden die empfohlenen Konfigurationen und die Funktionsweise der verschiedenen Einstellungen sowie deren Interaktion erläutert.

Damit Sie Ihren Benutzern die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit bieten können, indem sie aufgefordert werden, sich mit der richtigen Häufigkeit anzumelden, empfehlen wir die folgenden Konfigurationen:

  • Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen:
    • Aktivieren Sie das einmalige Anmelden (Single Sign-on, SSO) über mehrere Anwendungen hinweg mithilfe von verwalteten Geräten oder nahtlosem einmaligem Anmelden.
    • Wenn eine erneute Authentifizierung erforderlich ist, verwenden Sie eine Richtlinie für bedingten Zugriff für die Anmeldehäufigkeit.
    • Für Benutzer, die sich von nicht verwalteten Geräten oder über mobile Geräte anmelden, sind persistente Browsersitzungen möglicherweise nicht geeignet. Alternativ können Sie den bedingten Zugriff verwenden, um persistente Browsersitzungen mit Richtlinien für die Anmeldehäufigkeit zu aktivieren. Begrenzen Sie die Dauer auf einen geeigneten Zeitraum basierend auf dem Anmelderisiko, bei dem ein Benutzer mit geringerem Risiko über eine längere Sitzungsdauer verfügt.
  • Wenn Sie über Lizenzen für Microsoft 365-Apps oder den kostenlosen Microsoft Entra-Tarif verfügen:
    • Aktivieren Sie das einmalige Anmelden (Single Sign-on, SSO) über mehrere Anwendungen hinweg mithilfe von verwalteten Geräten oder nahtlosem einmaligem Anmelden.
    • Lassen Sie die Option Remain signed-in (Angemeldet bleiben) aktiviert, und weisen Sie Ihre Benutzer an, sie zu akzeptieren.
  • Stellen Sie in Szenarien mit mobilen Geräten sicher, dass Ihre Benutzer die Microsoft Authenticator-App verwenden. Diese App wird als Broker für andere Microsoft Entra-Verbund-Apps verwendet und reduziert die Authentifizierungsaufforderungen auf dem Gerät.

Unsere Untersuchungen zeigen, dass diese Einstellungen für die meisten Mandanten geeignet sind. Einige Kombinationen dieser Einstellungen, wie z. B. MFA merken und Angemeldet bleiben, können dazu führen, dass Ihre Benutzer zu oft aufgefordert werden, sich zu authentifizieren. Reguläre Aufforderungen für die erneute Authentifizierung sind schlecht für die Produktivität der Benutzer und machen diese unter Umständen anfälliger für Angriffe.

Konfigurationseinstellungen für die Microsoft Entra-Sitzungslebensdauer

Sie können Optionen für die Microsoft Entra-Sitzungslebensdauer konfigurieren, um die Häufigkeit der Authentifizierungsaufforderungen für Ihre Benutzer zu optimieren. Machen Sie sich mit den Anforderungen Ihres Unternehmens und Ihrer Benutzer vertraut, und konfigurieren Sie die Einstellungen, die für Ihre Umgebung die beste Kombination bieten.

Evaluieren der Richtlinien für die Sitzungslebensdauer

Ohne Einstellungen für die Sitzungslebensdauer sind in der Browsersitzung keine persistenten Cookies vorhanden. Jedes Mal, wenn ein Benutzer den Browser schließt und öffnet, wird eine Aufforderung zur erneuten Authentifizierung angezeigt. In Office-Clients ist der Standardzeitraum ein rollierendes Fenster von 90 Tagen. Wenn ein Benutzer mit dieser Office-Standardkonfiguration sein Kennwort zurücksetzt oder 90 Tage lang inaktiv war, wird er aufgefordert, sich mit allen erforderlichen Stufen (der ersten und der zweiten Stufe) erneut zu authentifizieren.

Einem Benutzer werden möglicherweise mehrere MFA-Aufforderungen auf einem Gerät angezeigt, das in Microsoft Entra nicht über eine Identität verfügt. Mehrere Aufforderungen treten auf, wenn jede Anwendung über ein eigenes OAuth-Aktualisierungstoken verfügt, das nicht mit anderen Client-Apps gemeinsam verwendet wird. In diesem Szenario erfolgen mehrere MFA-Aufforderungen, da jede Anwendung ein OAuth-Aktualisierungstoken für die Validierung per MFA anfordert.

In Microsoft Entra ID legt die restriktivste Richtlinie für die Sitzungslebensdauer fest, wann sich der Benutzer erneut authentifizieren muss. Nehmen Sie das folgende Szenario als Beispiel:

  • Aktivieren Sie die Option Remain signed-in (Angemeldet bleiben), die ein persistentes Browsercookie verwendet, und
  • aktivieren Sie außerdem die Option Remember MFA for 14 days (MFA 14 Tage lang speichern).

In diesem Beispielszenario muss sich der Benutzer alle 14 Tage erneut authentifizieren. Dieses Verhalten folgt der restriktivsten Richtlinie, auch wenn die Option Angemeldet bleiben selbst es nicht erfordert, dass sich der Benutzer im Browser erneut authentifiziert.

Verwaltete Geräte

Geräte, die mit Microsoft Entra ID über den Microsoft Entra-Beitritt oder den hybriden Microsoft Entra-Beitritt verbunden sind, erhalten ein Primäres Aktualisierungstoken (Primary Refresh Token (PRT)) zur anwendungsübergreifenden Verwendung des einmaligen Anmeldens (Single Sign-On, SSO). Dieses PRT ermöglicht es einem Benutzer, sich einmal auf dem Gerät anzumelden, und erlaubt es IT-Mitarbeitern, sicherzustellen, dass die Sicherheits- und Compliancestandards erfüllt sind. Wenn ein Benutzer aufgefordert werden muss, sich für einige Apps oder Szenarien auf einem verbundenen Gerät häufiger anzumelden, ist dies mithilfe der Anmeldehäufigkeit mit bedingtem Zugriff möglich.

Anzeigen der Option, angemeldet zu bleiben

Wenn ein Benutzer Ja für die Eingabeaufforderung Angemeldet bleiben? während der Anmeldung auswählt, wird im Browser ein persistentes Cookie festgelegt. Dieses persistente Cookie speichert sowohl die erste als auch die zweite Stufe und gilt nur für Authentifizierungsanforderungen im Browser.

Screenshot of example prompt to remain signed in

Wenn Sie über eine P1- bzw. P2-Lizenz für Microsoft Entra ID verfügen, empfehlen wir die Verwendung der Richtlinie für den bedingten Zugriff für eine persistente Browsersitzung. Diese Richtlinie überschreibt die Einstellung Stay signed in? (Angemeldet bleiben?) und bietet eine verbesserte Benutzererfahrung. Wenn Sie nicht über eine P1 bzw. P2-Lizenz für Microsoft Entra ID verfügen, empfiehlt es sich, die Einstellung „Angemeldet bleiben“ für Ihre Benutzer zu aktivieren.

Weitere Informationen zum Konfigurieren der Option „Angemeldet bleiben“ für Benutzer, finden Sie unter Verwalten der Eingabeaufforderung „Angemeldet bleiben?“.

Speichern der Multi-Faktor-Authentifizierung

Mit dieser Einstellung können Sie Werte zwischen 1 und 365 Tagen konfigurieren und ein persistentes Cookie im Browser festlegen, wenn ein Benutzer die Option Die nächsten X Tage nicht erneut fragen auswählt.

Screenshot of example prompt to approve a sign-in request

Mit dieser Einstellung wird die Anzahl der Authentifizierungen für Web-Apps verringert, und die Anzahl der Authentifizierungen für moderne Authentifizierungsclients wie etwa Office-Clients wird erhöht. Diese Clients geben normalerweise nur nach einer Kennwortzurücksetzung oder nach einer 90-tägigen Inaktivität eine Anforderung aus. Wenn Sie diesen Wert jedoch auf weniger als 90 Tage festlegen, werden die MFA-Standardaufforderungen für Office-Clients verkürzt und die Häufigkeit für erneute Authentifizierungen erhöht. In Verbindung mit Remain signed-in (Angemeldet bleiben) oder Richtlinien für den bedingten Zugriff kann sich dadurch die Anzahl der Authentifizierungsanforderungen erhöhen.

Wenn Sie MFA speichern verwenden und über eine P1- bzw. P2-Lizenz für Microsoft Entra ID verfügen, empfiehlt sich ggf. eine Migration dieser Einstellungen zur Anmeldehäufigkeit mit bedingtem Zugriff. Oder verwenden Sie stattdessen die Option Keep me signed in? (Angemeldet bleiben?).

Weitere Informationen finden Sie unter Speichern der Multi-Faktor-Authentifizierung.

Verwalten von Authentifizierungssitzungen mit bedingtem Zugriff

Die Anmeldehäufigkeit ermöglicht es dem Administrator, die Anmeldehäufigkeit auszuwählen, die sowohl für die erste als auch für die zweite Stufe sowohl im Client als auch im Browser gilt. Die Verwendung dieser Einstellungen zusammen mit verwalteten Geräten empfiehlt sich in Szenarien, in denen Sie die Authentifizierungssitzung beschränken müssen, wie etwa für kritische Geschäftsanwendungen.

Bei einer persistenten Browsersitzung können Benutzer angemeldet bleiben, nachdem sie ihr Browserfenster geschlossen und erneut geöffnet haben. So ähnlich wie bei der Einstellung Remain signed-in (Angemeldet bleiben) wird im Browser ein persistentes Cookie festgelegt. Da dies jedoch vom Administrator konfiguriert ist, ist es nicht erforderlich, dass der Benutzer Ja für die Option Stay signed-in? (Angemeldet bleiben?) auswählt, was wiederum eine bessere Benutzererfahrung bietet. Wenn Sie die Option Remain signed-in? (Angemeldet bleiben?) verwenden, empfehlen wir Ihnen, dass Sie stattdessen die Richtlinie Persistente Browsersitzung aktivieren.

Weitere Informationen. Siehe Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff

Konfigurierbare Tokengültigkeitsdauer

Diese Einstellung ermöglicht die Konfiguration der Gültigkeitsdauer für das von Microsoft Entra ID ausgestellte Token. Diese Richtlinie wird ersetzt durch die Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. Wenn Sie aktuell eine konfigurierbare Tokengültigkeitsdauer verwenden, empfiehlt es sich, die Migration zu den Richtlinien für bedingten Zugriff zu starten.

Überprüfen Ihrer Mandantenkonfiguration

Da Sie nun wissen, wie die verschiedenen Einstellungen funktionieren und welche Konfiguration empfohlen wird, können Sie Ihre Mieter überprüfen. Sie können damit beginnen, sich die Anmeldeprotokolle anzusehen, um zu verstehen, welche Richtlinien für die Sitzungsdauer während der Anmeldung angewendet wurden.

Gehen Sie unter jedem Anmeldeprotokoll auf die Registerkarte Authentifizierungsdetails und erkunden Sie Angewandte Richtlinien für die Sitzungslebensdauer. Weitere Informationen finden Sie im Artikel Informationen zu den Details der Anmeldeprotokollaktivität.

Screenshot of authentication details.

Führen Sie die folgenden Schritte aus, um die Option Remain signed-in (Angemeldet bleiben) zu konfigurieren oder zu überprüfen:

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
  2. Wechseln Sie zu Identität>Unternehmensbranding, und wählen Sie anschließend für jedes Gebietsschema Option „Angemeldet bleiben“ anzeigen aus.
  3. Wählen Sie Ja und anschließend Speichern aus.

Führen Sie die folgenden Schritte aus, um die Einstellungen für die Multifaktor-Authentifizierung auf vertrauenswürdigen Geräten zu speichern:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
  2. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung.
  3. Wählen Sie unter Konfigurieren die Option Zusätzliche cloudbasierte MFA-Einstellungen aus.
  4. Scrollen Sie auf der Seite Diensteinstellungen für die Multi-Faktor-Authentifizierung zu Einstellungen für die Multi-Faktor-Authentifizierung speichern. Deaktivieren Sie die Einstellung, indem Sie das Kontrollkästchen deaktivieren.

Führen Sie die folgenden Schritte aus, um Richtlinien für bedingten Zugriff für die Anmeldehäufigkeit und eine persistente Browsersitzung zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Konfigurieren Sie eine Richtlinie mithilfe der in diesem Artikel beschriebenen empfohlenen Optionen für die Sitzungsverwaltung.

Zum Überprüfen der Tokengültigkeitsdauer verwenden Sie Azure AD PowerShell, um Microsoft Entra-Richtlinien abzufragen. Deaktivieren Sie alle Richtlinien, die Sie eingerichtet haben.

Wenn mehr als eine Einstellung in Ihrem Mandanten aktiviert ist, empfehlen wir Ihnen, die Einstellungen ausgehend von der für Sie verfügbaren Lizenzierung zu aktualisieren. Wenn Sie beispielsweise über eine P1- bzw. P2-Lizenz für Microsoft Entra verfügen, sollten Sie nur die Richtlinie für bedingten Zugriff für die Anmeldehäufigkeit und die persistente Browsersitzung verwenden. Wenn Sie über Microsoft 365-Apps oder Microsoft Entra Free-Lizenzen verfügen, verwenden Sie die Konfiguration Angemeldet bleiben?.

Wenn Sie konfigurierbare Tokengültigkeitsdauern aktiviert haben, wird diese Funktion bald entfernt. Planen Sie eine Migration zu einer Richtlinie für bedingten Zugriff.

In der folgenden Tabelle werden die Empfehlungen auf Grundlage von Lizenzen zusammengefasst:

Microsoft Entra ID-Free und Microsoft 365-Apps Microsoft Entra ID-P1 bzw. -P2
SSO Microsoft Entra-Beitritt oder Hybrider Microsoft Entra-Beitritt oder Nahtloses einmaliges Anmelden für nicht verwaltete Geräte. Microsoft Entra-Beitritt
Microsoft Entra Hybrid Join
Einstellungen für die erneute Authentifizierung Angemeldet bleiben Verwenden Sie Richtlinien für bedingten Zugriff für die Anmeldehäufigkeit und eine persistente Browsersitzung.

Nächste Schritte

Führen Sie als Erstes die Tutorials Schützen von Benutzeranmeldeereignissen mit der Multi-Faktor-Authentifizierung von Microsoft Entra oder Verwenden von Risikoerkennungen für Benutzeranmeldungen, um die Multi-Faktor-Authentifizierung von Microsoft Entra oder Kennwortänderungen auszulösen durch.