Levensduur van adaptieve sessie voor voorwaardelijke toegang

In complexe implementaties kan het zijn dat organisaties mogelijk verificatiesessies moeten beperken. Enkele scenario's kunnen zijn:

• Toegang tot resources vanaf een niet-beheerd of gedeeld apparaat
• Toegang tot gevoelige informatie vanuit een extern netwerk
• Gebruikers met een hoge impact
• Kritieke bedrijfstoepassingen

Voorwaardelijke toegang biedt besturingselementen voor levensduur van adaptieve sessies waarmee u beleidsregels kunt maken die zijn gericht op specifieke use cases binnen uw organisatie zonder dat dit van invloed is op alle gebruikers.

Voordat u meer informatie krijgt over het configureren van het beleid, gaan we de standaardconfiguratie bekijken.

Aanmeldingsfrequentie van gebruikers

Met aanmeldingsfrequentie wordt de periode gedefinieerd voordat een gebruiker wordt gevraagd zich opnieuw aan te melden wanneer hij of zij toegang probeert te krijgen tot een resource.

De standaardconfiguratie van Microsoft Entra ID voor de aanmeldingsfrequentie van gebruikers is een doorlopend venster van 90 dagen. Gebruikers vragen om referenties lijkt vaak verstandig, maar het kan een averechts effect hebben: gebruikers die het gewend zijn hun referenties in te voeren zonder na te denken, kunnen ze onbedoeld aan een kwaadwillende referentieprompt verstrekken.

Het klinkt misschien zorgwekkend om een gebruiker niet te vragen om zich opnieuw aan te melden, maar met een schending van IT-beleid wordt de sessie ingetrokken. Enkele voorbeelden omvatten (maar zijn niet beperkt tot) een wachtwoordwijziging, een niet-compatibel apparaat of een accountuitschakeling. U kunt de sessies van gebruikers ook expliciet intrekken met Behulp van Microsoft Graph PowerShell. De standaardconfiguratie van Microsoft Entra-id komt neer op 'vraag gebruikers niet hun referenties op te geven als de beveiligingspostuur van hun sessies niet is gewijzigd'.

De instelling voor aanmeldingsfrequentie werkt met apps die OAuth2- of OIDC-protocollen implementeren volgens de standaarden. De meeste systeemeigen Microsoft-apps voor Windows, Mac en mobiel, waaronder de volgende webtoepassingen, voldoen aan de instelling.

• Word, Excel, PowerPoint Online
• OneNote Online
• Office.com
• Microsoft 365-beheerportal
• Exchange Online
• SharePoint en OneDrive
• Teams-webclient
• Dynamics CRM Online
• Azure Portal

Aanmeldingsfrequentie (SIF) werkt met SAML-toepassingen en -apps van derden die OAuth2- of OIDC-protocollen implementeren, zolang ze hun eigen cookies niet verwijderen en regelmatig worden omgeleid naar Microsoft Entra-id voor verificatie.

Aanmeldingsfrequentie van gebruikers en meervoudige verificatie

Aanmeldingsfrequentie is eerder alleen toegepast op de eerste factor authentication op apparaten die zijn toegevoegd aan Microsoft Entra, aan Microsoft Entra toegevoegd en Microsoft Entra geregistreerd. Er is geen eenvoudige manier voor onze klanten om meervoudige verificatie op deze apparaten opnieuw af te dwingen. Op basis van feedback van klanten is ook de aanmeldingsfrequentie van toepassing op MFA.

Aanmeldingsfrequentie van gebruikers en apparaat-id's

Op apparaten die lid zijn van Microsoft Entra en hybride apparaten van Microsoft Entra, het apparaat ontgrendelen of zich interactief aanmelden, wordt het primaire vernieuwingstoken (PRT) elke 4 uur vernieuwd. De laatste vernieuwingstijdstempel die is vastgelegd voor de PRT in vergelijking met de huidige tijdstempel, moet binnen de tijd vallen die is toegewezen aan het SIF-beleid voor de PRT om te voldoen aan SIF en toegang te verlenen tot een PRT met een bestaande MFA-claim. Op geregistreerde Microsoft Entra-apparaten voldoet ontgrendelen/aanmelden niet aan het SIF-beleid omdat de gebruiker geen toegang heeft tot een door Microsoft Entra geregistreerd apparaat via een Microsoft Entra-account. De Microsoft Entra WAM-invoegtoepassing kan echter een PRT vernieuwen tijdens systeemeigen toepassingsverificatie met behulp van WAM.

Notitie

De tijdstempel die is vastgelegd vanuit de gebruikersaanmelding, is niet noodzakelijkerwijs hetzelfde als de laatst geregistreerde tijdstempel van PRT-vernieuwing vanwege de vernieuwingscyclus van vier uur. Het geval wanneer dit hetzelfde is wanneer de PULLT is verlopen en een gebruiker zich aanmeldt, wordt deze gedurende 4 uur vernieuwd. In de volgende voorbeelden wordt ervan uitgegaan dat het SIF-beleid is ingesteld op 1 uur en dat de PRT wordt vernieuwd om 00:00 uur.

Voorbeeld 1: Wanneer u gedurende een uur aan hetzelfde document in SPO blijft werken

• Om 00:00 uur meldt een gebruiker zich aan bij het Apparaat dat is toegevoegd aan Windows 11 Microsoft Entra en begint hij aan een document dat is opgeslagen in SharePoint Online.
• De gebruiker blijft gedurende een uur aan hetzelfde document op het apparaat werken.
• Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd.

Voorbeeld 2: Wanneer u het werk onderbreekt met een achtergrondtaak die in de browser wordt uitgevoerd, werkt u opnieuw nadat de tijd van het SIF-beleid is verstreken

• Om 00:00 uur meldt een gebruiker zich aan bij het Apparaat dat is toegevoegd aan Windows 11 Microsoft Entra en begint een document te uploaden naar SharePoint Online.
• Om 00:10 uur krijgt de gebruiker een pauze om het apparaat te vergrendelen. Het uploaden op de achtergrond gaat verder naar SharePoint Online.
• Om 02:45 keert de gebruiker terug van de onderbreking en ontgrendelt het apparaat. Het uploaden op de achtergrond toont voltooiing.
• Om 02:45 wordt de gebruiker gevraagd zich aan te melden wanneer deze opnieuw communiceert. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder sinds de laatste aanmelding om 00:00 uur.

Als de client-app (onder activiteitsdetails) een browser is, wordt het afdwingen van gebeurtenissen/beleid op achtergrondservices uitgesteld tot de volgende gebruikersinteractie. Op vertrouwelijke clients wordt het afdwingen van aanmeldingsfrequentie voor niet-interactieve aanmeldingen uitgesteld tot de volgende interactieve aanmelding.

Voorbeeld 3: Met een vernieuwingscyclus van vier uur van het primaire vernieuwingstoken vanaf ontgrendelen

Scenario 1 - Gebruiker retourneert binnen cyclus

• Om 00:00 uur meldt een gebruiker zich aan bij het Apparaat dat is toegevoegd aan Windows 11 Microsoft Entra en begint het werk aan een document dat is opgeslagen in SharePoint Online.
• Om 00:30 uur staat de gebruiker op om even pauze te nemen en vergrendelt het apparaat.
• Om 00:45 uur komt de gebruiker terug van zijn/haar pauze en ontgrendelt het apparaat.
• Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder, 1 uur na de eerste aanmelding.

Scenario 2: gebruiker retourneert buiten de cyclus

• Om 00:00 uur meldt een gebruiker zich aan bij het Apparaat dat is toegevoegd aan Windows 11 Microsoft Entra en begint het werk aan een document dat is opgeslagen in SharePoint Online.
• Om 00:30 uur staat de gebruiker op om even pauze te nemen en vergrendelt het apparaat.
• Om 04:45 keert de gebruiker terug van de onderbreking en ontgrendelt het apparaat.
• Om 05:45 wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd. Het is nu 1 uur nadat de PRT is vernieuwd om 04:45 en meer dan 4 uur sinds de eerste aanmelding om 00:00 uur.

Verificatie vereisen telkens wanneer

Er zijn scenario's waarin klanten mogelijk een nieuwe verificatie willen vereisen, telkens wanneer een gebruiker specifieke acties uitvoert, zoals:

• Toegang tot gevoelige toepassingen.
• Resources beveiligen achter VPN- of NaaS-providers (Network as a Service).
• Het beveiligen van bevoorrechte rolverhoging in PIM.
• Gebruikersaanmelding beveiligen bij Azure Virtual Desktop-machines.
• Bescherming van riskante gebruikers en riskante aanmeldingen die worden geïdentificeerd door Microsoft Entra ID Protection.
• Gevoelige gebruikersacties beveiligen, zoals Microsoft Intune-inschrijving.

De aanmeldingsfrequentie die is ingesteld op elke keer dat de resource het beste werkt wanneer de resource de logica heeft van wanneer een client een nieuw token moet ophalen. Met deze resources wordt de gebruiker omgeleid naar Microsoft Entra, zodra de sessie verloopt.

Beheer istrators moeten het aantal toepassingen beperken dat ze een beleid afdwingen dat gebruikers telkens opnieuw moeten verifiëren. We factor vijf minuten scheeftrekken wanneer elke keer dat in het beleid wordt geselecteerd, zodat we gebruikers niet vaker dan één keer om de vijf minuten vragen. Het activeren van herauthenticatie kan te vaak de beveiligingsmoeilijkheid verhogen tot een punt dat gebruikers MFA-vermoeidheid ervaren en de deur openen voor phishingpogingen. Webtoepassingen bieden meestal een minder verstorende ervaring dan hun desktop-tegenhangers wanneer verificatie vereist is telkens wanneer deze is ingeschakeld.

• Voor toepassingen in de Microsoft 365-stack raden we u aan om de aanmeldingsfrequentie van gebruikers op basis van tijd te gebruiken voor een betere gebruikerservaring.
• Voor Azure Portal en het Microsoft Entra-beheercentrum raden we u aan om de aanmeldingsfrequentie van gebruikers met een tijds bassed te gebruiken of om verificatie bij PIM-activering te vereisen met behulp van verificatiecontext voor een betere gebruikerservaring.

Algemeen beschikbare ondersteunde scenario's:

• Vereisen dat gebruikers opnieuw worden geverifieerd tijdens Intune-apparaatinschrijving, ongeacht hun huidige MFA-status.
• Vereisen dat gebruikers opnieuw worden geverifieerd voor riskante gebruikers met het verleningsbesturingselement Wachtwoordwijziging vereisen.
• Vereisen dat gebruikers opnieuw worden geverifieerd voor riskante aanmeldingen met het verleningsbesturingselement Meervoudige verificatie vereisen.

Met de openbare preview-mogelijkheden van februari 2024 kunnen beheerders verificatie vereisen met:

• TOEPASSINGEN waarvoor SAML of OIDC is ingeschakeld
• Verificatiecontext
• Andere gebruikersacties

Wanneer beheerders elke keer selecteren, is volledige verificatie vereist wanneer de sessie wordt geëvalueerd.

De persistentie van browsesessies

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.

Met de standaard microsoft-entra-id voor persistentie van browsersessies kunnen gebruikers op persoonlijke apparaten kiezen of ze de sessie willen behouden door de optie Aangemeld blijven weer te geven. na geslaagde verificatie. Als browserpersistentie is geconfigureerd in AD FS met behulp van de richtlijnen in het artikel AD FS-instellingen voor eenmalige aanmelding, voldoen we aan dat beleid en blijven we ook de Microsoft Entra-sessie behouden. U kunt ook configureren of gebruikers in uw tenant de prompt 'Aangemeld blijven?' zien, vragen door de juiste instelling in het deelvenster huisstijl van het bedrijf te wijzigen.

In permanente browsers blijven cookies opgeslagen op het apparaat van de gebruiker, zelfs nadat een gebruiker de browser heeft gesloten. Deze cookies kunnen toegang hebben tot Microsoft Entra-artefacten en deze artefacten kunnen worden gebruikt totdat het token verloopt, ongeacht het beleid voor voorwaardelijke toegang dat in de resourceomgeving is geplaatst. Tokencaching kan dus in strijd zijn met het gewenste beveiligingsbeleid voor verificatie. Hoewel het misschien handig lijkt om tokens op te slaan buiten de huidige sessie, kan dit een beveiligingsprobleem maken door onbevoegde toegang tot Microsoft Entra-artefacten toe te staan.

Besturingselementen voor verificatiesessies configureren

Voorwaardelijke toegang is een Microsoft Entra ID P1- of P2-mogelijkheid en vereist een Premium-licentie. Als u meer wilt weten over voorwaardelijke toegang, raadpleegt u Wat is voorwaardelijke toegang in Microsoft Entra ID?

Waarschuwing

Als u de functie voor configureerbare levensduur van tokens gebruikt (momenteel beschikbaar in openbare preview), wordt het maken van twee verschillende beleidsregels voor dezelfde combinatie van gebruiker of app niet ondersteund: een met deze functie en een andere met een functie voor de configureerbare levensduur van tokens. Microsoft heeft de functie voor configureerbare levensduur van tokens voor vernieuwen en de levensduur van sessietokens op 30 januari 2021 buiten gebruik gesteld en vervangen door de functie voor beheer van voorwaardelijke toegang voor verificatiesessies.

Voordat u 'Aanmeldingsfrequentie' inschakelt, moet u ervoor zorgen dat andere instellingen voor nieuwe verificatie zijn uitgeschakeld in uw tenant. Als 'MFA onthouden op vertrouwde apparaten' is ingeschakeld, moet u dit uitschakelen voordat u 'Aanmeldingsfrequentie' gebruikt. Als u deze twee instellingen samen gebruikt, kan dit ertoe leiden dat gebruikers onverwacht een prompt krijgen te zien. Voor meer informatie over herauthenticatieprompts en de levensduur van sessies raadpleegt u het artikel's voor het optimaliseren van verificatieprompts en het begrijpen van de levensduur van de sessie voor meervoudige verificatie van Microsoft Entra.

Volgende stappen

• Levensduur van sessies configureren in beleid voor voorwaardelijke toegang
• Zie het artikel Een implementatie van voorwaardelijke toegang plannen als u klaar bent om beleid voor voorwaardelijke toegang te configureren voor uw omgeving.