Konfigurera hantering av autentiseringssessioner med villkorsstyrd åtkomst

I komplexa distributioner kan organisationer behöva begränsa autentiseringssessioner. Några scenarier kan vara:

  • Resursåtkomst från en ohanterad eller delad enhet
  • Åtkomst till känslig information från ett externt nätverk
  • Användare med hög påverkan
  • Kritiska affärsprogram

Med kontroller för villkorsstyrd åtkomst kan du skapa principer som riktar sig mot specifika användningsfall i din organisation utan att påverka alla användare.

Innan vi går in på detaljer om hur du konfigurerar principen ska vi titta på standardkonfigurationen.

Frekvens för användarinloggning

Inloggningsfrekvensen definierar tidsperioden innan en användare uppmanas att logga in igen vid försök att komma åt en resurs.

Standardkonfigurationen i Azure Active Directory (Azure AD) för användarinloggningsfrekvens är ett rullande fönster på 90 dagar. Att be användarna om autentiseringsuppgifter verkar ofta vara en förnuftig sak att göra, men det kan slå tillbaka: användare som har tränats att ange sina autentiseringsuppgifter utan att tänka oavsiktligt kan skicka dem till en fråga om skadliga autentiseringsuppgifter.

Det kan låta alarmerande att inte be en användare att logga in igen, i själva verket kommer alla överträdelser av IT-principer att återkalla sessionen. Några exempel är (men är inte begränsade till) en lösenordsändring, en inkompatibel enhet eller inaktiverat konto. Du kan också uttryckligen återkalla användarnas sessioner med hjälp av PowerShell. Den Azure AD standardkonfigurationen handlar om att "inte be användarna att ange sina autentiseringsuppgifter om deras sessioners säkerhetsstatus inte har ändrats".

Inställningen för inloggningsfrekvens fungerar med appar som har implementerat OAuth2- eller OIDC-protokoll enligt standarderna. De flesta inbyggda Microsoft-appar för Windows, Mac och Mobile, inklusive följande webbprogram följer inställningen.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 Admin portalen
  • Exchange Online
  • SharePoint och OneDrive
  • Teams-webbklient
  • Dynamics CRM Online
  • Azure Portal

Inställningen för inloggningsfrekvens fungerar med SAML-program från tredje part och appar som har implementerat OAuth2- eller OIDC-protokoll, så länge de inte släpper sina egna cookies och omdirigeras tillbaka till Azure AD för autentisering regelbundet.

Användarinloggningsfrekvens och multifaktorautentisering

Inloggningsfrekvens som tidigare endast tillämpades på den första faktorautentiseringen på enheter som var Azure AD anslutna, Hybrid Azure AD anslutna och Azure AD registrerade. Det fanns inget enkelt sätt för våra kunder att tillämpa multifaktorautentisering (MFA) på dessa enheter. Baserat på kundfeedback gäller inloggningsfrekvensen även för MFA.

Inloggningsfrekvens och MFA

Användarinloggningsfrekvens och enhetsidentiteter

På Azure AD anslutna, hybrid-Azure AD anslutna eller Azure AD registrerade enheter kommer upplåsning av enheten eller inloggning interaktivt att uppfylla principen för inloggningsfrekvens. I följande två exempel anges frekvensen för användarinloggning till 1 timme:

Exempel 1:

  • Kl. 00:00 loggar en användare in på sin Windows 10 Azure AD anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
  • Användaren fortsätter att arbeta med samma dokument på sin enhet i en timme.
  • Klockan 01:00 uppmanas användaren att logga in igen baserat på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören.

Exempel 2:

  • Kl. 00:00 loggar en användare in på sin Windows 10 Azure AD anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
  • Klockan 00:30 går användaren upp och tar en paus när de låser sin enhet.
  • Vid 00:45 returnerar användaren från sin paus och låser upp enheten.
  • Kl. 01:45 uppmanas användaren att logga in igen baserat på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören sedan den senaste inloggningen inträffade kl. 00:45.

Kräv omautentisering varje gång

Det finns scenarier där kunder kanske vill kräva en ny autentisering, varje gång innan en användare utför specifika åtgärder. Inloggningsfrekvensen har ett nytt alternativ för Varje gång utöver timmar eller dagar.

Scenarier som stöds:

När administratörer väljer Varje gång krävs fullständig omautentisering när sessionen utvärderas.

Beständighet för webbläsarsessioner

Med en beständig webbläsarsession kan användarna förbli inloggade efter att ha stängt och öppnat webbläsarfönstret igen.

Med Azure AD standardinställningen för webbläsarsessionspersistens kan användare på personliga enheter välja om de vill bevara sessionen genom att visa meddelandet "Förbli inloggad?". fråga efter lyckad autentisering. Om webbläsarens persistens har konfigurerats i AD FS med hjälp av vägledningen i artikeln AD FS-inställningar för enkel inloggning följer vi den principen och bevarar även den Azure AD sessionen. Du kan också konfigurera om användare i din klientorganisation ska se "Förbli inloggad"? genom att ändra lämplig inställning i företagsanpassningsfönstret.

Konfigurera sessionskontroller för autentisering

Villkorsstyrd åtkomst är en Azure AD Premium-funktion och kräver en Premium-licens. Mer information om villkorsstyrd åtkomst finns i Vad är villkorlig åtkomst i Azure Active Directory?

Varning

Om du använder funktionen för konfigurerbar tokenlivslängd som för närvarande finns i den offentliga förhandsversionen kan vi inte skapa två olika principer för samma kombination av användare eller app: en med den här funktionen och en annan med konfigurerbar funktion för tokenlivslängd. Microsoft drog tillbaka den konfigurerbara livslängdsfunktionen för token för uppdatering och sessionstokens livslängd den 30 januari 2021 och ersatte den med sessionshanteringsfunktionen för autentisering med villkorsstyrd åtkomst.

Innan du aktiverar Inloggningsfrekvens kontrollerar du att andra inställningar för omautentisering är inaktiverade i klientorganisationen. Om "Kom ihåg MFA på betrodda enheter" är aktiverat måste du inaktivera det innan du använder inloggningsfrekvens, eftersom användning av dessa två inställningar tillsammans kan leda till oväntade frågor till användarna. Mer information om omautentiseringsprompter och sessionslivslängd finns i artikeln Optimera omautentiseringsprompter och förstå sessionslivslängd för Azure AD multifaktorautentisering.

Distribution av princip

För att säkerställa att principen fungerar som förväntat rekommenderar vi att du testar den innan du distribuerar den till produktion. Vi rekommenderar att du använder en testklient för att kontrollera om den nya principen fungerar som den ska. Mer information finns i artikeln Planera en distribution av villkorsstyrd åtkomst.

Princip 1: Kontroll av inloggningsfrekvens

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.

  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory-säkerhet>>.

  3. Välj Ny princip.

  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

  5. Välj alla obligatoriska villkor för kundens miljö, inklusive målmolnapparna.

    Anteckning

    Vi rekommenderar att du ställer in samma autentiseringsfrekvens för viktiga Microsoft Office-appar som Exchange Online och SharePoint Online för bästa användarupplevelse.

  6. Under Åtkomstkontroller>Session.

    1. Välj Inloggningsfrekvens.
      1. Välj Periodisk omautentisering och ange ett värde på timmar eller dagar eller välj Varje gång.
  7. Spara principen.

    Princip för villkorsstyrd åtkomst konfigurerad för inloggningsfrekvens

Princip 2: Beständig webbläsarsession

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.

  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory-säkerhet>>.

  3. Välj Ny princip.

  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

  5. Välj alla obligatoriska villkor.

    Anteckning

    Observera att den här kontrollen kräver att du väljer "Alla molnappar" som ett villkor. Webbläsarsessionens beständighet styrs av autentiseringssessionstoken. Alla flikar i en webbläsarsession delar en enda sessionstoken och därför måste alla dela status för beständighet.

  6. Under Åtkomstkontrollsession>.

    1. Välj Beständiga webbläsarsessioner.

      Anteckning

      Konfigurationen av permanent webbläsarsession i Azure AD villkorlig åtkomst åsidosätter "Håll dig inloggad?" inställning i företagsanpassningsfönstret i Azure Portal för samma användare om du har konfigurerat båda principerna.

    2. Välj ett värde i listrutan.

  7. Spara principen.

Princip 3: Kontroll av inloggningsfrekvens varje gång riskfylld användare

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.
  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory Security>>.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller brytglas.
    3. Välj Klar.
  6. Under Molnappar eller åtgärder>Inkludera väljer du Alla molnappar.
  7. Under Villkor>Användarrisk anger du Konfigurera till Ja. Under Konfigurera användarrisknivåer som krävs för att principen ska framtvingas väljer du Hög och sedan Klar.
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst, Kräv lösenordsändring och väljer Välj.
  9. Under Sessionskontroller>Inloggningsfrekvens väljer du Varje gång.
  10. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.
  11. Välj Skapa för att skapa för att aktivera principen.

När administratörerna har bekräftat dina inställningar med rapportläge kan de flytta växlingsknappen Aktivera princip från Endast rapport till .

Validering

Använd verktyget What If för att simulera en inloggning från användaren till målprogrammet och andra villkor baserat på hur du konfigurerade principen. Kontrollerna för autentiseringssessionshantering visas i resultatet av verktyget.

Prompttolerans

Vi tar hänsyn till fem minuters klocksnedvridning, så att vi inte uppmanar användarna oftare än en gång var femte minut. Om användaren har gjort MFA under de senaste 5 minuterna och de har nått en annan princip för villkorsstyrd åtkomst som kräver omautentisering, uppmanar vi inte användaren. Överbefordring av användare för omautentisering kan påverka deras produktivitet och öka risken för att användare godkänner MFA-begäranden som de inte initierade. Använd "Inloggningsfrekvens – varje gång" endast för specifika affärsbehov.

Kända problem

  • Om du konfigurerar inloggningsfrekvens för mobila enheter: Autentisering efter varje intervall för inloggningsfrekvens kan vara långsam, det kan ta i genomsnitt 30 sekunder. Det kan också inträffa i olika appar på samma gång.
  • På iOS-enheter: Om en app konfigurerar certifikat som den första autentiseringsfaktorn och appen har både inloggningsfrekvens och Intune principer för hantering av mobilprogram som tillämpas, blockeras slutanvändarna från att logga in på appen när principen utlöses.

Nästa steg