Verificatieprompts optimaliseren en de levensduur van de sessie begrijpen voor meervoudige verificatie van Microsoft Entra

Microsoft Entra ID heeft meerdere instellingen die bepalen hoe vaak gebruikers opnieuw moeten verifiëren. Deze herauthenticatie kan een eerste factor zijn, zoals wachtwoord, FIDO of wachtwoordloze Microsoft Authenticator, of om meervoudige verificatie uit te voeren. U kunt deze instellingen voor opnieuw verifiëren naar wens configureren voor uw eigen omgeving en het type gebruikerservaring dat u wilt bieden.

De standaardconfiguratie van Microsoft Entra ID voor de aanmeldingsfrequentie van gebruikers is een doorlopend venster van 90 dagen. Gebruikers vragen om referenties lijkt vaak verstandig, maar het kan een averechts effect hebben. Als gebruikers getraind zijn zonder na te denken hun referenties in te voeren, kunnen ze deze per ongeluk opgeven bij een kwaadwillende prompt.

Het klinkt misschien zorgwekkend om een gebruiker niet te vragen om zich opnieuw aan te melden, maar met een schending van IT-beleid wordt de sessie ingetrokken. Enkele voorbeelden zijn een wachtwoordwijziging, een apparaat dat niet compatibel is of een bewerking voor het uitschakelen van een account. U kunt de sessies van gebruikers ook expliciet intrekken met behulp van Microsoft Graph PowerShell.

In dit artikel worden aanbevolen configuraties beschreven en wordt beschreven hoe verschillende instellingen werken en met elkaar communiceren.

Om uw gebruikers de juiste balans tussen beveiliging en gebruiksgemak te bieden door hen te vragen zich met de juiste frequentie aan te melden, raden we de volgende configuraties aan:

  • Als u Microsoft Entra ID P1 of P2 hebt:
    • Schakel eenmalige aanmelding (SSO) in voor toepassingen met behulp van beheerde apparaten of naadloze eenmalige aanmelding.
    • Als verificatie is vereist, gebruikt u een beleid voor de aanmeldingsfrequentie voor voorwaardelijke toegang.
    • Voor gebruikers die zich aanmelden vanaf niet-beheerde apparaten of scenario's voor mobiele apparaten, hebben permanente browsersessies mogelijk niet de voorkeur. U kunt ook voorwaardelijke toegang gebruiken om permanente browsersessies met frequentiebeleid voor aanmeldingen in te schakelen. Beperk de duur tot een geschikte tijd op basis van het aanmeldingsrisico, waarbij een gebruiker met minder risico een langere sessieduur heeft.
  • Als u licenties voor Microsoft 365-apps of de gratis Microsoft Entra-laag hebt:
  • Zorg ervoor dat uw gebruikers de Microsoft Authenticator-app gebruiken voor scenario's met mobiele apparaten. Deze app wordt gebruikt als broker voor andere federatieve Apps van Microsoft Entra ID en vermindert verificatieprompts op het apparaat.

Uit ons onderzoek blijkt dat deze instellingen geschikt zijn voor de meeste tenants. Sommige combinaties van deze instellingen, zoals MFA onthouden en Aangemeld blijven, kunnen ertoe leiden dat uw gebruikers te vaak worden geverifieerd. Regelmatige verificatieprompts zijn slecht voor de productiviteit van gebruikers en kunnen ze kwetsbaarder maken voor aanvallen.

Configuratie-instellingen voor levensduur van Microsoft Entra-sessies

Als u de frequentie van verificatieprompts voor uw gebruikers wilt optimaliseren, kunt u opties voor de levensduur van Microsoft Entra-sessies configureren. Krijg inzicht in de behoeften van uw bedrijf en gebruikers en configureer instellingen die het beste evenwicht bieden voor uw omgeving.

Beleid voor levensduur van sessies evalueren

Zonder instellingen voor de levensduur van sessies zijn er geen permanente cookies in de browsersessie. Telkens wanneer een gebruiker de browser sluit en opent, wordt er gevraagd om opnieuw te worden geverifieerd. In Office-clients is de standaardperiode een doorlopend venster van 90 dagen. Als de gebruiker met deze standaardconfiguratie van Office zijn wachtwoord opnieuw heeft ingesteld of als er meer dan 90 dagen inactiviteit is geweest, moet de gebruiker zich opnieuw verifiëren met alle vereiste factoren (eerste en tweede factor).

Een gebruiker kan meerdere MFA-prompts zien op een apparaat dat geen identiteit heeft in Microsoft Entra-id. Er worden meerdere prompts weergegeven wanneer elke toepassing een eigen OAuth-vernieuwingstoken heeft dat niet wordt gedeeld met andere client-apps. In dit scenario wordt MFA meerdere keren gevraagd wanneer elke toepassing een OAuth-vernieuwingstoken aanvraagt om te worden gevalideerd met MFA.

In Microsoft Entra ID bepaalt het meest beperkende beleid voor de levensduur van de sessie wanneer de gebruiker opnieuw moet verifiëren. Bekijk het volgende scenario:

  • U schakelt Aangemeld blijven in, waarbij gebruik wordt gemaakt van een permanente browsercookie, en
  • U schakelt ook MFA gedurende 14 dagen onthouden in

In dit voorbeeldscenario moet de gebruiker zich elke 14 dagen opnieuw verifiëren. Dit gedrag volgt het meest beperkende beleid, hoewel de optie Aangemeld blijven op zichzelf de gebruiker niet zou verplichten om zich opnieuw te verifiëren in de browser.

Beheerde apparaten

Apparaten die zijn gekoppeld aan Microsoft Entra ID met behulp van Microsoft Entra join of Microsoft Entra hybrid join, ontvangen een Primary Refresh Tokens (PRT) voor gebruik van eenmalige aanmelding (SSO) in toepassingen. Met deze PRT kan een gebruiker zich eenmaal aanmelden op het apparaat en kan IT-personeel ervoor zorgen dat aan de normen voor beveiliging en naleving wordt voldaan. Als een gebruiker voor sommige toepassingen of scenario's moet worden gevraagd om zich vaker aan te melden op een gekoppeld apparaat, kan dit worden bereikt met behulp van de aanmeldingsfrequentie voor voorwaardelijke toegang.

Optie weergeven om aangemeld te blijven

Wanneer een gebruiker Ja selecteert bij de optie Aangemeld blijven? prompt tijdens het aanmelden, wordt een permanente cookie ingesteld in de browser. Deze permanente cookie onthoudt zowel de eerste als de tweede factor en is alleen van toepassing op verificatieaanvragen in de browser.

Screenshot of example prompt to remain signed in

Als u een Licentie voor Microsoft Entra ID P1 of P2 hebt, raden we u aan beleid voor voorwaardelijke toegang te gebruiken voor een permanente browsersessie. Met dit beleid wordt de instelling Aangemeld blijven overschreven en wordt de gebruikerservaring verbeterd. Als u geen Licentie voor Microsoft Entra ID P1 of P2 hebt, raden we u aan de instelling aangemeld blijven in te schakelen voor uw gebruikers.

Zie Hoe u de prompt 'Aangemeld blijven?' beheert voor meer informatie over het configureren van de optie om gebruikers aangemeld te laten blijven.

Meervoudige verificatie onthouden

Met deze instelling kunt u waarden tussen 1-365 dagen configureren en een permanente cookie instellen in de browser wanneer een gebruiker bij het aanmelden de optie Niet opnieuw vragen gedurende X dagen selecteert.

Screenshot of example prompt to approve a sign-in request

Hoewel deze instelling het aantal verificaties in web-apps vermindert, wordt het aantal verificaties voor moderne verificatieclients, zoals Office-clients, verhoogd. Deze clients geven normaal gesproken alleen een prompt weer na het opnieuw instellen van het wachtwoord of inactiviteit van 90 dagen. Als u deze waarde echter instelt op minder dan 90 dagen, verkort u de standaard MFA-prompts voor Office-clients en verhoogt u de verificatiefrequentie. Wanneer dit wordt gebruikt in combinatie met Aangemeld blijven of beleid voor voorwaardelijke toegang, kan het aantal verificatieaanvragen toenemen.

Als u MFA onthouden gebruikt en Microsoft Entra ID P1- of P2-licenties hebt, kunt u overwegen deze instellingen te migreren naar de aanmeldingsfrequentie voor voorwaardelijke toegang. Anders kunt u overwegen Aangemeld blijven? te gebruiken.

Zie Meervoudige verificatie onthouden voor meer informatie.

Beheer van verificatiesessies met voorwaardelijke toegang

Met de aanmeldingsfrequentie kan de beheerder de aanmeldingsfrequentie kiezen die van toepassing is op zowel de eerste als de tweede factor in zowel client als browser. We raden u aan deze instellingen te gebruiken, in combinatie met het gebruik van beheerde apparaten, in scenario's waarin u verificatiesessie moet beperken, zoals voor kritieke bedrijfstoepassingen.

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster. Net als bij de instelling Aangemeld blijven wordt er een permanente cookie ingesteld in de browser. Omdat deze echter door de beheerder is geconfigureerd, hoeft de gebruiker niet Ja te selecteren voor de optie Aangemeld blijven?, dus biedt deze een betere gebruikerservaring. Als u de optie Aangemeld blijven? gebruikt, raden we u aan in plaats daarvan het beleid voor permanente browsersessies in te schakelen.

Voor meer informatie. Zie Beheer van verificatiesessies met voorwaardelijke toegang configureren.

Configureerbare levensduur van tokens

Met deze instelling kan de levensduur van het token worden geconfigureerd voor het token dat is uitgegeven door Microsoft Entra-id. Dit beleid wordt vervangen door Beheer van verificatiesessies met voorwaardelijke toegang. Als u de Configureerbare levensduur van tokens gebruikt, raden we u aan om de migratie naar het beleid voor voorwaardelijke toegang te starten.

Uw tenantconfiguratie controleren

Nu u begrijpt hoe verschillende instellingen werken en wat de aanbevolen configuratie, is het tijd om uw tenants te controleren. U kunt beginnen met het bekijken van de aanmeldingslogboeken om te begrijpen welke beleidsregels voor de levensduur van sessies zijn toegepast tijdens het aanmelden.

Ga onder elk aanmeldingslogboek naar het tabblad Verificatiedetails en bekijk Beleid voor sessielevensduur toegepast. Zie het artikel Meer informatie over het artikel over activiteiten van aanmeldingslogboeken voor meer informatie.

Screenshot of authentication details.

Als u de optie Aangemeld blijven wilt configureren of controleren, voert u de volgende stappen uit:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een Globale Beheer istrator.
  2. Blader naar De huisstijl van het identiteitsbedrijf>en kies voor elke landinstelling weergeven de optie Weergeven om aangemeld te blijven.
  3. Kies Ja en selecteer Opslaan.

Als u instellingen voor meervoudige verificatie op vertrouwde apparaten wilt onthouden, voert u de volgende stappen uit:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
  2. Blader naar Meervoudige verificatie van beveiliging>.
  3. Selecteer onder Configureren de optie Aanvullende MFA-instellingen voor de cloud.
  4. Schuif op de pagina met instellingen voor de meervoudige verificatieservice naar de instellingen voor meervoudige verificatie. Schakel de instelling uit door het selectievakje uit te schakelen.

Voer de volgende stappen uit om beleid voor voorwaardelijke toegang te configureren voor de aanmeldingsfrequentie en permanente browsersessie:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Configureer een beleid met behulp van de aanbevolen opties voor sessiebeheer die in dit artikel worden beschreven.

Als u de levensduur van tokens wilt controleren, gebruikt u Azure AD PowerShell om query's uit te voeren op Microsoft Entra-beleid. Schakel beleid dat u hebt ingesteld uit.

Als meer dan één instelling is ingeschakeld in uw tenant, raden we u aan uw instellingen bij te werken op basis van de beschikbare licenties. Als u bijvoorbeeld Microsoft Entra ID P1- of P2-licenties hebt, moet u alleen het beleid voor voorwaardelijke toegang van de aanmeldingsfrequentie en permanente browsersessie gebruiken. Als u microsoft 365-apps of gratis licenties voor Microsoft Entra ID hebt, moet u de configuratie Aangemeld blijven gebruiken.

Als u configureerbare levensduur van tokens hebt ingeschakeld: deze mogelijkheid wordt binnenkort verwijderd. Plan een migratie naar een beleid voor voorwaardelijke toegang.

De volgende tabel bevat een overzicht van de aanbevelingen op basis van licenties:

Microsoft Entra ID Free en Microsoft 365-apps Microsoft Entra ID P1 of P2
SSO Microsoft Entra join of Microsoft Entra hybrid join, of naadloze eenmalige aanmelding voor onbeheerde apparaten. Microsoft Entra koppeling
Hybride deelname aan Microsoft Entra
Instellingen voor opnieuw verifiëren Aangemeld blijven Beleid voor voorwaardelijke toegang gebruiken voor aanmeldingsfrequentie en permanente browsersessie

Volgende stappen

Om aan de slag te gaan, voltooit u de zelfstudie voor het beveiligen van aanmeldingsgebeurtenissen van gebruikers met Microsoft Entra-meervoudige verificatie of het gebruik van risicodetecties voor gebruikersaanmeldingen om Meervoudige Verificatie van Microsoft Entra te activeren.