Verificatiesessiebeheer configureren met voorwaardelijke toegang

In complexe implementaties kan het zijn dat organisaties mogelijk verificatiesessies moeten beperken. Enkele scenario's kunnen zijn:

  • Toegang tot resources vanaf een niet-beheerd of gedeeld apparaat
  • Toegang tot gevoelige informatie vanuit een extern netwerk
  • Gebruikers met een hoge impact
  • Kritieke bedrijfstoepassingen

Met besturingselementen voor voorwaardelijke toegang kunt u beleidsregels maken die gericht zijn op specifieke use cases binnen uw organisatie, zonder dat dit gevolgen heeft voor alle gebruikers.

Voordat u meer informatie krijgt over het configureren van het beleid, gaan we de standaardconfiguratie bekijken.

Frequentie van gebruikersaanmelding

Met aanmeldingsfrequentie wordt de periode gedefinieerd voordat een gebruiker wordt gevraagd zich opnieuw aan te melden wanneer hij of zij toegang probeert te krijgen tot een resource.

De standaardconfiguratie van Azure Active Directory (Azure AD) voor aanmeldingsfrequentie van gebruikers is een doorlopend venster van 90 dagen. Gebruikers vragen om referenties lijkt vaak verstandig om te doen, maar het kan backfire: gebruikers die zijn getraind om hun referenties in te voeren zonder te denken, kunnen ze onbedoeld aan een kwaadwillende referentieprompt leveren.

Het kan alarmerend klinken om een gebruiker niet te vragen zich opnieuw aan te melden, in werkelijkheid zal elke schending van het IT-beleid de sessie intrekken. Enkele voorbeelden zijn (maar zijn niet beperkt tot) een wachtwoordwijziging, een niet-compatibel apparaat of account uitschakelen. U kunt ook de sessies van gebruikers expliciet intrekken met behulp van PowerShell. De standaardconfiguratie van Azure AD komt neer op 'gebruikers niet vragen om hun referenties op te geven als de beveiligingspostuur van hun sessies niet is gewijzigd'.

De instelling voor aanmeldingsfrequentie werkt met apps die OAuth2- of OIDC-protocollen hebben geïmplementeerd volgens de standaarden. De meeste systeemeigen Microsoft-apps voor Windows, Mac en Mobile, waaronder de volgende webtoepassingen, voldoen aan de instelling.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365-beheer portal
  • Exchange Online
  • SharePoint en OneDrive
  • Teams-webclient
  • Dynamics CRM Online
  • Azure Portal

De instelling voor aanmeldingsfrequentie werkt met SAML-toepassingen en -apps van derden die OAuth2- of OIDC-protocollen hebben geïmplementeerd, zolang ze hun eigen cookies niet verwijderen en regelmatig worden omgeleid naar Azure AD voor verificatie.

Aanmeldingsfrequentie en meervoudige verificatie van gebruikers

Aanmeldingsfrequentie werd eerder alleen toegepast op de eerste factor authentication op apparaten die Azure AD gekoppeld, hybride Azure AD gekoppeld en Azure AD geregistreerd. Er is geen eenvoudige manier voor onze klanten om meervoudige verificatie (MFA) op die apparaten opnieuw af te dwingen. Op basis van feedback van klanten is ook de aanmeldingsfrequentie van toepassing op MFA.

Aanmeldingsfrequentie en MFA

Aanmeldingsfrequentie en apparaat-id's van gebruikers

Op Azure AD gekoppelde, hybride Azure AD of Azure AD geregistreerde apparaten, zal het ontgrendelen van het apparaat of het interactief aanmelden voldoen aan het aanmeldingsfrequentiebeleid. In de volgende twee voorbeelden is de aanmeldingsfrequentie van gebruikers ingesteld op 1 uur:

Voorbeeld 1:

  • Om 00:00 uur meldt een gebruiker zich aan bij zijn Windows 10 Azure AD aangesloten apparaat en begint het werk aan een document dat is opgeslagen in SharePoint Online.
  • De gebruiker blijft gedurende een uur aan hetzelfde document op het apparaat werken.
  • Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden op basis van de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd.

Voorbeeld 2:

  • Om 00:00 uur meldt een gebruiker zich aan bij zijn Windows 10 Azure AD aangesloten apparaat en begint het werk aan een document dat is opgeslagen in SharePoint Online.
  • Om 00:30 uur kan de gebruiker het apparaat vergrendelen.
  • Om 00:45 keert de gebruiker terug van hun onderbreking en ontgrendelt het apparaat.
  • Om 01:45 wordt de gebruiker gevraagd zich opnieuw aan te melden op basis van de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder sinds de laatste aanmelding om 00:45 uur.

Verificatie vereisen telkens wanneer

Er zijn scenario's waarin klanten mogelijk een nieuwe verificatie willen vereisen, telkens voordat een gebruiker specifieke acties uitvoert. De aanmeldingsfrequentie heeft een nieuwe optie voor elke keer naast uren of dagen.

Ondersteunde scenario's:

Wanneer beheerders elke keer selecteren, is volledige verificatie vereist wanneer de sessie wordt geëvalueerd.

De persistentie van browsesessies

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.

Met de Azure AD standaardinstelling voor persistentie van browsersessies kunnen gebruikers op persoonlijke apparaten kiezen of ze de sessie willen behouden door 'Aangemeld blijven?' weer te geven vragen na een geslaagde verificatie. Als browserpersistentie is geconfigureerd in AD FS met behulp van de richtlijnen in het artikel AD FS-instellingen voor eenmalige aanmelding, voldoen we aan dat beleid en behouden we ook de Azure AD sessie. U kunt ook configureren of gebruikers in uw tenant de melding Aangemeld blijven zien? vragen door de juiste instelling te wijzigen in het deelvenster Huisstijl van het bedrijf.

Besturingselementen voor verificatiesessies configureren

Voorwaardelijke toegang is een Azure AD Premium-mogelijkheid en vereist een Premium-licentie. Als u meer wilt weten over voorwaardelijke toegang, raadpleegt u Wat is voorwaardelijke toegang in Azure Active Directory?

Waarschuwing

Als u de configureerbare levensduur van tokens gebruikt die momenteel beschikbaar is in de openbare preview, is het niet mogelijk om twee verschillende beleidsregels te maken voor dezelfde combinatie van gebruikers of apps: een met deze functie en een met een functie voor de configureerbare levensduur van tokens. Microsoft heeft de configureerbare levensduur van tokens buiten gebruik gesteld voor vernieuwings- en sessietokenlevensduur op 30 januari 2021 en vervangen door de functie voor verificatiesessies voor voorwaardelijke toegang.

Voordat u aanmeldingsfrequentie inschakelt, moet u ervoor zorgen dat andere instellingen voor opnieuw verificatie zijn uitgeschakeld in uw tenant. Als 'MFA onthouden op vertrouwde apparaten' is ingeschakeld, moet u deze uitschakelen voordat u de aanmeldingsfrequentie gebruikt. Als u deze twee instellingen samen gebruikt, kan dit ertoe leiden dat gebruikers onverwacht worden gevraagd. Voor meer informatie over vragen over opnieuw verifiëren en de levensduur van de sessie raadpleegt u het artikel over het optimaliseren van verificatieprompts en het begrijpen van de levensduur van de sessie voor Azure AD Meervoudige verificatie.

Implementatie van beleid

Om ervoor te zorgen dat uw beleid werkt zoals verwacht, is de aanbevolen procedure om het te testen voordat het in productie wordt geïmplementeerd. Gebruik idealiter een testtenant om te controleren of uw nieuwe beleid werkt zoals bedoeld. Zie het artikel Een implementatie van voorwaardelijke toegang plannen voor meer informatie.

Beleid 1: Frequentiebeheer voor aanmelden

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.

  2. Blader naarvoorwaardelijke toegang voorAzure Active Directory-beveiliging>>.

  3. Selecteer Nieuw beleid.

  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.

  5. Kies alle vereiste voorwaarden voor de omgeving van de klant, inclusief de doelcloud-apps.

    Notitie

    Het wordt aanbevolen om een gelijke frequentie voor verificatieprompt in te stellen voor belangrijke Microsoft Office-apps, zoals Exchange Online en SharePoint Online, voor de beste gebruikerservaring.

  6. Onder Sessie met besturingselementen> voor toegang.

    1. Selecteer aanmeldingsfrequentie.
      1. Kies Periodieke herauthenticatie en voer een waarde van uren of dagen in of selecteer elke keer.
  7. Sla uw beleid op.

    Beleid voor voorwaardelijke toegang geconfigureerd voor aanmeldingsfrequentie

Beleid 2: permanente browsersessie

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.

  2. Blader naarvoorwaardelijke toegang voorAzure Active Directory-beveiliging>>.

  3. Selecteer Nieuw beleid.

  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.

  5. Kies alle vereiste voorwaarden.

    Notitie

    Houd er rekening mee dat voor dit besturingselement 'Alle cloud-apps' als voorwaarde moet worden gekozen. Persistentie van browsersessies wordt beheerd door het verificatiesessietoken. Alle tabbladen in een browsersessie delen één sessietoken en daarom moeten ze allemaal de persistentiestatus delen.

  6. Onder Toegangsbeheersessie>.

    1. Selecteer Permanente browsersessie.

      Notitie

      Permanente browsersessieconfiguratie in Azure AD voorwaardelijke toegang overschrijft de 'Aangemeld blijven?' instellen in het deelvenster Huisstijl van het bedrijf in de Azure Portal voor dezelfde gebruiker als u beide beleidsregels hebt geconfigureerd.

    2. Selecteer een waarde in de vervolgkeuzelijst.

  7. Sla uw beleid op.

Beleid 3: Frequentiebeheer voor aanmelding telkens wanneer riskante gebruiker

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of voorwaardelijke toegangsbeheerder.
  2. Blader naarvoorwaardelijke toegang voor Azure Active Directory-beveiliging>>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingengebruikers- of workloadidentiteiten.
    1. Selecteer onder Opnemenalle gebruikers.
    2. Selecteer onder Uitsluitengebruikers en groepen en kies de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer onder Cloud-apps of -acties>Opnemenalle cloud-apps.
  7. Stel onder Gebruikersrisico voorwaarden>configureren in op Ja. Selecteer Hoog onder Gebruikersrisiconiveaus configureren die nodig zijn om beleid af te dwingen hoog en selecteer Vervolgens Gereed.
  8. Selecteer onder Toegangsbeheer>verlenen de optie Toegang verlenen, Wachtwoordwijziging vereisen en Selecteer Selecteren.
  9. Selecteer elke keer onder Sessiebesturingselementen>aanmeldingsfrequentie.
  10. Bevestig uw instellingen en stel Beleid in opAlleen-rapport inschakelen.
  11. Selecteer Maken om uw beleid in te schakelen.

Nadat beheerders uw instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van Alleen-rapport naar Aan verplaatsen.

Validatie

Gebruik het hulpprogramma What If om een aanmelding van de gebruiker te simuleren naar de doeltoepassing en andere voorwaarden op basis van de wijze waarop u uw beleid hebt geconfigureerd. De besturingselementen voor verificatiesessiebeheer worden weergegeven in het resultaat van het hulpprogramma.

Prompttolerantie

We factoren vijf minuten scheeftrekken van de klok, zodat we gebruikers niet vaker dan één keer om de vijf minuten vragen. Als de gebruiker in de afgelopen 5 minuten MFA heeft uitgevoerd en er een ander beleid voor voorwaardelijke toegang is bereikt waarvoor opnieuw verificatie is vereist, wordt de gebruiker niet gevraagd. Het promoten van gebruikers voor herauthenticatie kan van invloed zijn op hun productiviteit en het risico verhogen dat gebruikers MFA-aanvragen goedkeuren die ze niet hebben gestart. Gebruik 'Aanmeldingsfrequentie - elke keer' alleen voor specifieke bedrijfsbehoeften.

Bekende problemen

  • Als u de aanmeldingsfrequentie voor mobiele apparaten configureert: verificatie na elk interval van de aanmeldingsfrequentie kan traag zijn, kan het gemiddeld 30 seconden duren. Het kan ook gebeuren tussen verschillende apps tegelijk.
  • Op iOS-apparaten: als een app certificaten configureert als de eerste verificatiefactor en de app zowel aanmeldingsfrequentie als Intune mobile application management-beleid heeft toegepast, kunnen eindgebruikers zich niet aanmelden bij de app wanneer het beleid wordt geactiveerd.

Volgende stappen