Verificatieprompts optimaliseren en meer informatie over de levensduur van de sessie voor Azure AD Multi-Factor Authentication

Azure Active Directory (Azure AD) heeft meerdere instellingen die bepalen hoe vaak gebruikers zich opnieuw moeten verifiëren. Deze verificatie kan met een eerste factor zijn, zoals wachtwoord, FIDO of wachtwoordloze Microsoft Authenticator, of meervoudige verificatie (MFA) zijn. U kunt deze instellingen voor opnieuw verifiëren naar wens configureren voor uw eigen omgeving en het type gebruikerservaring dat u wilt bieden.

De standaardconfiguratie van Azure AD voor de aanmeldingsfrequentie van gebruikers is een doorlopende periode van 90 dagen. Gebruikers vragen om referenties lijkt vaak een verstandig om te doen, maar kan averechts werken. Als gebruikers getraind zijn om zonder na te denken hun referenties in te voeren, kunnen ze deze onbedoeld opgeven bij een kwaadwillende prompt.

Het klinkt misschien zorgwekkend om een gebruiker niet te vragen om zich opnieuw aan te melden, maar met een schending van IT-beleid wordt de sessie ingetrokken. Enkele voorbeelden zijn een wachtwoordwijziging, een apparaat dat niet compatibel is of een bewerking voor het uitschakelen van een account. U kunt ook de sessies van gebruikers expliciet intrekken met behulp van PowerShell.

In dit artikel worden aanbevolen configuraties beschreven en wordt beschreven hoe verschillende instellingen werken en met elkaar communiceren.

Om uw gebruikers de juiste balans tussen beveiliging en gebruiksgemak te bieden door hen te vragen zich met de juiste frequentie aan te melden, raden we de volgende configuraties aan:

  • Als u Azure AD Premium hebt:
    • Schakel eenmalige aanmelding (SSO) in voor toepassingen met behulp van beheerde apparaten of naadloze eenmalige aanmelding.
    • Als verificatie is vereist, gebruikt u een beleid voor de aanmeldingsfrequentie voor voorwaardelijke toegang.
    • Voor gebruikers die zich aanmelden vanaf niet-beheerde apparaten of scenario's voor mobiele apparaten, hebben permanente browsersessies mogelijk niet de voorkeur. U kunt ook voorwaardelijke toegang gebruiken om permanente browsersessies met frequentiebeleid voor aanmeldingen in te schakelen. Beperk de duur tot een geschikte tijd op basis van het aanmeldingsrisico, waarbij een gebruiker met minder risico een langere sessieduur heeft.
  • Als u licenties voor Microsoft 365-apps of de gratis Azure AD-laag hebt:
  • Zorg ervoor dat uw gebruikers de Microsoft Authenticator-app gebruiken voor scenario's met mobiele apparaten. Deze app wordt gebruikt als broker voor andere federatieve Azure AD-apps en vermindert het aantal verificatieprompts op het apparaat.

Uit ons onderzoek blijkt dat deze instellingen geschikt zijn voor de meeste tenants. Sommige combinaties van deze instellingen, zoals MFA onthouden en Aangemeld blijven, kunnen ertoe leiden dat uw gebruikers te vaak worden geverifieerd. Regelmatige verificatieprompts zijn slecht voor de productiviteit van gebruikers en kunnen ze kwetsbaarder maken voor aanvallen.

Configuratie-instellingen voor levensduur van Azure AD-sessie

Als u de frequentie van verificatieprompts voor uw gebruikers wilt optimaliseren, kunt u opties voor de levensduur van Azure AD-sessies configureren. Krijg inzicht in de behoeften van uw bedrijf en gebruikers en configureer instellingen die het beste evenwicht bieden voor uw omgeving.

Beleid voor levensduur van sessies evalueren

Zonder instellingen voor de levensduur van sessies zijn er geen permanente cookies in de browsersessie. Telkens wanneer een gebruiker de browser sluit en opent, krijgt deze een verificatieprompt. In Office-clients is de standaardperiode een doorlopend venster van 90 dagen. Als de gebruiker met deze standaardconfiguratie van Office zijn wachtwoord opnieuw heeft ingesteld of als er meer dan 90 dagen inactiviteit is geweest, moet de gebruiker zich opnieuw verifiëren met alle vereiste factoren (eerste en tweede factor).

Een gebruiker kan meerdere MFA-prompts zien op een apparaat dat geen identiteit heeft in Azure AD. Er worden meerdere prompts weergegeven wanneer elke toepassing een eigen OAuth-vernieuwingstoken heeft dat niet wordt gedeeld met andere client-apps. In dit scenario wordt MFA meerdere keren gevraagd wanneer elke toepassing een OAuth-vernieuwingstoken aanvraagt om te worden gevalideerd met MFA.

In Azure AD bepaalt het meest beperkende beleid voor de levensduur van de sessie wanneer de gebruiker zich opnieuw moet verifiëren. Denkt u zich het volgende scenario eens in:

  • U schakelt Aangemeld blijven in, waarbij gebruik wordt gemaakt van een permanente browsercookie, en
  • U schakelt ook MFA gedurende 14 dagen onthouden in

In dit voorbeeldscenario moet de gebruiker zich elke 14 dagen opnieuw verifiëren. Dit gedrag volgt het meest beperkende beleid, hoewel de optie Aangemeld blijven op zichzelf de gebruiker niet zou verplichten om zich opnieuw te verifiëren in de browser.

Beheerde apparaten

Apparaten die zijn gekoppeld aan Azure AD met behulp van Azure AD Join of Hybrid Azure AD Join ontvangen een PRT (Primary Refresh Tokens) voor gebruik van eenmalige aanmelding (SSO) in toepassingen. Met deze PRT kan een gebruiker zich eenmaal aanmelden op het apparaat en kan IT-personeel ervoor zorgen dat aan de normen voor beveiliging en naleving wordt voldaan. Als een gebruiker voor sommige toepassingen of scenario's moet worden gevraagd om zich vaker aan te melden op een gekoppeld apparaat, kan dit worden bereikt met behulp van de aanmeldingsfrequentie voor voorwaardelijke toegang.

Optie weergeven om aangemeld te blijven

Wanneer een gebruiker Ja selecteert bij de optie Aangemeld blijven? tijdens het aanmelden, wordt er een permanente cookie ingesteld in de browser. Deze permanente cookie onthoudt zowel de eerste als de tweede factor en is alleen van toepassing op verificatieaanvragen in de browser.

Schermopname van voorbeeldprompt om aangemeld te blijven

Als u een Azure AD Premium 1-licentie hebt, raden we u aan beleid voor voorwaardelijke toegang te gebruiken voor een permanente browsersessie. Met dit beleid wordt de instelling Aangemeld blijven overschreven en wordt de gebruikerservaring verbeterd. Als u geen Azure AD Premium 1-licentie hebt, raden we u aan om de instelling voor aangemeld blijven in te schakelen voor uw gebruikers.

Zie Uw Azure AD-aanmeldingspagina aanpassen voor meer informatie over het configureren van de optie om gebruikers aangemeld te laten blijven.

Multi-Factor Authentication onthouden

Met deze instelling kunt u waarden tussen 1-365 dagen configureren en een permanente cookie instellen in de browser wanneer een gebruiker bij het aanmelden de optie Niet opnieuw vragen gedurende X dagen selecteert.

Schermopname van voorbeeldprompt voor het goedkeuren van een aanmeldingsaanvraag

Hoewel deze instelling het aantal verificaties in web-apps vermindert, wordt het aantal verificaties voor moderne verificatieclients, zoals Office-clients, verhoogd. Deze clients geven normaal gesproken alleen een prompt weer na het opnieuw instellen van het wachtwoord of inactiviteit van 90 dagen. Als u deze waarde echter instelt op minder dan 90 dagen, verkort u de standaard MFA-prompts voor Office-clients en verhoogt u de verificatiefrequentie. Wanneer dit wordt gebruikt in combinatie met Aangemeld blijven of beleid voor voorwaardelijke toegang, kan het aantal verificatieaanvragen toenemen.

Als u MFA onthouden gebruikt en Azure AD Premium 1-licenties hebt, kunt u overwegen om deze instellingen te migreren naar de aanmeldingsfrequentie voor voorwaardelijke toegang. Anders kunt u overwegen Aangemeld blijven? te gebruiken.

Zie Multi-Factor Authentication onthoudenvoor meer informatie.

Beheer van verificatiesessies met voorwaardelijke toegang

Met de aanmeldingsfrequentie kan de beheerder de aanmeldingsfrequentie kiezen die van toepassing is op zowel de eerste als de tweede factor in zowel client als browser. We raden u aan deze instellingen te gebruiken, in combinatie met het gebruik van beheerde apparaten, in scenario's waarin u verificatiesessie moet beperken, zoals voor kritieke bedrijfstoepassingen.

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster. Net als bij de instelling Aangemeld blijven wordt er een permanente cookie ingesteld in de browser. Omdat deze echter door de beheerder is geconfigureerd, hoeft de gebruiker niet Ja te selecteren voor de optie Aangemeld blijven?, dus biedt deze een betere gebruikerservaring. Als u de optie Aangemeld blijven? gebruikt, raden we u aan in plaats daarvan het beleid voor permanente browsersessies in te schakelen.

Voor meer informatie. Zie Beheer van verificatiesessies met voorwaardelijke toegang configureren.

Configureerbare levensduur van tokens

Met deze instelling kan de levensduur van het token dat is uitgegeven door Azure Active Directory worden geconfigureerd. Dit beleid wordt vervangen door Beheer van verificatiesessies met voorwaardelijke toegang. Als u de Configureerbare levensduur van tokens gebruikt, raden we u aan om de migratie naar het beleid voor voorwaardelijke toegang te starten.

Uw tenantconfiguratie controleren

Nu u begrijpt hoe verschillende instellingen werken en wat de aanbevolen configuratie, is het tijd om uw tenants te controleren. U kunt beginnen met het bekijken van de aanmeldingslogboeken om te begrijpen welke beleidsregels voor de levensduur van sessies zijn toegepast tijdens het aanmelden.

Ga onder elk aanmeldingslogboek naar het tabblad Verificatiedetails en bekijk Beleid voor sessielevensduur toegepast. Zie Verificatiedetails voor meer informatie.

Schermopname van verificatiedetails.

Als u de optie Aangemeld blijven wilt configureren of controleren, voert u de volgende stappen uit:

  1. Selecteer in Azure Portal de optie Azure Active Directory.
  2. Selecteer Huisstijl van bedrijf en kies vervolgens voor elke landinstelling Optie weergeven om aangemeld te blijven.
  3. Kies Ja en selecteer Opslaan.

Als u instellingen voor meervoudige verificatie op vertrouwde apparaten wilt onthouden, voert u de volgende stappen uit:

  1. Selecteer in Azure Portal de optie Azure Active Directory.
  2. Selecteer Beveiliging en vervolgens MFA.
  3. Selecteer onder Configureren de optie Aanvullende MFA-instellingen voor de cloud.
  4. Blader op de pagina instellingen van de Multi-Factor Authentication-service naar instellingen voor meervoudige verificatie onthouden. Schakel de instelling uit door het selectievakje uit te schakelen.

Voer de volgende stappen uit om beleid voor voorwaardelijke toegang te configureren voor de aanmeldingsfrequentie en permanente browsersessie:

  1. Selecteer in Azure Portal de optie Azure Active Directory.
  2. Selecteer Beveiliging en vervolgens Voorwaardelijke toegang.
  3. Configureer een beleid met behulp van de aanbevolen opties voor sessiebeheer die in dit artikel worden beschreven.

Als u de levensduur van tokens wilt controleren, gebruikt u Azure AD PowerShell om query's uit te voeren op Azure AD-beleid. Schakel beleid dat u hebt ingesteld uit.

Als meer dan één instelling is ingeschakeld in uw tenant, raden we u aan uw instellingen bij te werken op basis van de beschikbare licenties. Als u bijvoorbeeld Azure AD Premium-licenties hebt, moet u alleen het beleid voor voorwaardelijke toegang van de aanmeldingsfrequentie en de permanente browsersessie gebruiken. Als u Microsoft 365-apps of gratis Azure AD licenties hebt, moet u de configuratie Aangemeld blijven? gebruiken.

Als u configureerbare levensduur van tokens hebt ingeschakeld: deze mogelijkheid wordt binnenkort verwijderd. Plan een migratie naar een beleid voor voorwaardelijke toegang.

De volgende tabel bevat een overzicht van de aanbevelingen op basis van licenties:

Azure AD Free en Microsoft 365-apps Azure AD Premium
Eenmalige aanmelding Azure AD Join of Hybride Azure AD Join, of Naadloze eenmalige aanmelding voor onbeheerde apparaten. Azure AD-koppeling
Hybride Azure AD-koppeling
Instellingen voor opnieuw verifiëren Aangemeld blijven Beleid voor voorwaardelijke toegang gebruiken voor aanmeldingsfrequentie en permanente browsersessie

Volgende stappen

Als u aan de slag wilt gaan, voltooit u de zelfstudie over Aanmeldingen van gebruikers beveiligen met Azure AD Multi-Factor Authentication of Risicodetectie voor gebruikersaanmeldingen gebruiken als trigger voor Azure AD Multi-Factor Authentication of.