Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra multifaktorautentisering

Microsoft Entra-ID har flera inställningar som avgör hur ofta användarna behöver autentisera på nytt. Den här omautentiseringen kan vara med en första faktor, till exempel lösenord, FIDO eller lösenordslös Microsoft Authenticator, eller för att utföra multifaktorautentisering. Du kan konfigurera de här autentiseringsinställningarna efter behov för din egen miljö och den användarupplevelse du vill använda.

Standardkonfigurationen för Microsoft Entra-ID för användarinloggningsfrekvens är ett rullande fönster på 90 dagar. Att be användarna om autentiseringsuppgifter verkar ofta vara en förnuftig sak att göra, men det kan slå tillbaka. Om användarna tränas att ange sina autentiseringsuppgifter utan att tänka kan de oavsiktligt skicka dem till en fråga om skadliga autentiseringsuppgifter.

Det kan låta alarmerande att inte be en användare att logga in igen, även om eventuella överträdelser av IT-principer återkallar sessionen. Några exempel är en lösenordsändring, en inkompatibel enhet eller en kontoavaktiveringsåtgärd. Du kan också uttryckligen återkalla användarnas sessioner med hjälp av Microsoft Graph PowerShell.

Den här artikeln beskriver rekommenderade konfigurationer och hur olika inställningar fungerar och interagerar med varandra.

För att ge användarna rätt balans mellan säkerhet och användarvänlighet genom att be dem logga in med rätt frekvens rekommenderar vi följande konfigurationer:

  • Om du har Microsoft Entra ID P1 eller P2:
    • Aktivera enkel inloggning (SSO) mellan program med hanterade enheter eller sömlös enkel inloggning.
    • Om omautentisering krävs använder du en princip för inloggningsfrekvens för villkorsstyrd åtkomst.
    • För användare som loggar in från icke-hanterade enheter eller mobila enhetsscenarier kanske beständiga webbläsarsessioner inte är att föredra, eller så kan du använda villkorsstyrd åtkomst för att aktivera beständiga webbläsarsessioner med principer för inloggningsfrekvens. Begränsa varaktigheten till en lämplig tid baserat på inloggningsrisken, där en användare med mindre risk har en längre sessionsvaraktighet.
  • Om du har licenser för Microsoft 365-appar eller den kostnadsfria Microsoft Entra-nivån:
    • Aktivera enkel inloggning (SSO) mellan program med hanterade enheter eller sömlös enkel inloggning.
    • Låt alternativet Förbli inloggad vara aktiverat och vägleda användarna att acceptera det.
  • För scenarier med mobila enheter kontrollerar du att användarna använder Microsoft Authenticator-appen. Den här appen används som asynkron meddelandekö till andra Federerade Microsoft Entra-ID-appar och minskar autentiseringsanvisningarna på enheten.

Vår forskning visar att de här inställningarna är rätt för de flesta klienter. Vissa kombinationer av de här inställningarna, till exempel Kom ihåg MFA och Förbli inloggade, kan resultera i uppmaningar till användarna att autentisera för ofta. Vanliga omautentiseringsprompter är dåliga för användarnas produktivitet och kan göra dem mer sårbara för attacker.

Konfigurationsinställningar för Microsoft Entra-sessionslivslängd

Om du vill optimera frekvensen för autentiseringsprompter för dina användare kan du konfigurera livslängdsalternativ för Microsoft Entra-sessioner. Förstå behoven hos ditt företag och dina användare och konfigurera inställningar som ger den bästa balansen för din miljö.

Utvärdera sessionslivsprinciper

Utan inställningar för sessionslivslängd finns det inga beständiga cookies i webbläsarsessionen. Varje gång en användare stänger och öppnar webbläsaren får de en uppmaning om omautentisering. I Office-klienter är standardperioden ett rullande fönster på 90 dagar. Med den här office-standardkonfigurationen, om användaren har återställt sitt lösenord eller om det har varit inaktivitet på över 90 dagar, måste användaren autentisera igen med alla nödvändiga faktorer (första och andra faktorn).

En användare kan se flera MFA-frågor på en enhet som inte har någon identitet i Microsoft Entra-ID. Flera frågor resulterar när varje program har en egen OAuth-uppdateringstoken som inte delas med andra klientappar. I det här scenariot uppmanar MFA flera gånger när varje program begär att en OAuth-uppdateringstoken verifieras med MFA.

I Microsoft Entra-ID avgör den mest restriktiva principen för sessionslivslängd när användaren behöver autentisera igen. Föreställ dig följande scenario:

  • Du aktiverar Förbli inloggad, som använder en beständig webbläsarcookie och
  • Du aktiverar även Remember MFA i 14 dagar

I det här exempelscenariot måste användaren autentisera igen var 14:e dag. Det här beteendet följer den mest restriktiva principen, även om håll mig inloggad av sig själv inte skulle kräva att användaren ska autentiseras igen i webbläsaren.

Hanterade enheter

Enheter som är anslutna till Microsoft Entra-ID med Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning får en primär uppdateringstoken (PRT) för att använda enkel inloggning (SSO) mellan program. Med den här PRT:n kan en användare logga in en gång på enheten och göra det möjligt för IT-personalen att se till att standarder för säkerhet och efterlevnad uppfylls. Om en användare behöver uppmanas att logga in oftare på en ansluten enhet för vissa appar eller scenarier kan detta uppnås med hjälp av inloggningsfrekvens för villkorsstyrd åtkomst.

Visa alternativet för att förbli inloggad

När en användare väljer Jaalternativet Håll dig inloggad? fråga under inloggningen, anges en beständig cookie i webbläsaren. Den här beständiga cookien kommer ihåg både första och andra faktorn, och den gäller endast för autentiseringsbegäranden i webbläsaren.

Screenshot of example prompt to remain signed in

Om du har en Microsoft Entra ID P1- eller P2-licens rekommenderar vi att du använder principen för villkorsstyrd åtkomst för beständiga webbläsarsessioner. Den här principen skriver över inställningen Håll dig inloggad? och ger en förbättrad användarupplevelse. Om du inte har någon Microsoft Entra ID P1- eller P2-licens rekommenderar vi att du aktiverar inställningen för att förbli inloggad för dina användare.

Mer information om hur du konfigurerar alternativet för att låta användare förbli inloggade finns i Så här hanterar du prompten "Håll dig inloggad?".

Kom ihåg multifaktorautentisering

Med den här inställningen kan du konfigurera värden mellan 1 och 365 dagar och ange en beständig cookie i webbläsaren när en användare väljer alternativet Fråga inte igen för X-dagar vid inloggning.

Screenshot of example prompt to approve a sign-in request

Även om den här inställningen minskar antalet autentiseringar i webbappar ökar antalet autentiseringar för moderna autentiseringsklienter, till exempel Office-klienter. Dessa klienter uppmanar normalt endast efter lösenordsåterställning eller inaktivitet på 90 dagar. Om du anger det här värdet till mindre än 90 dagar förkortas dock standard-MFA-prompterna för Office-klienter och ökar autentiseringsfrekvensen. När det används i kombination med Principer för att förbli inloggad eller villkorlig åtkomst kan det öka antalet autentiseringsbegäranden.

Om du använder Remember MFA och har Microsoft Entra ID P1- eller P2-licenser kan du överväga att migrera dessa inställningar till inloggningsfrekvens för villkorsstyrd åtkomst. Annars kan du överväga att använda Håll mig inloggad i stället.

Mer information finns i Kom ihåg multifaktorautentisering.

Hantering av autentiseringssessioner med villkorsstyrd åtkomst

Med inloggningsfrekvensen kan administratören välja inloggningsfrekvens som gäller för både första och andra faktorn i både klient och webbläsare. Vi rekommenderar att du använder de här inställningarna, tillsammans med hanterade enheter, i scenarier när du behöver begränsa autentiseringssessionen, till exempel för kritiska affärsprogram.

Med beständiga webbläsarsessioner kan användare förbli inloggade när de har stängt och öppnat webbläsarfönstret igen. På samma sätt som inställningen Förbli inloggad anger den en beständig cookie i webbläsaren. Men eftersom det har konfigurerats av administratören kräver det inte att användaren väljer Ja i alternativet Håll dig inloggad? så ger en bättre användarupplevelse. Om du använder alternativet Förbli inloggad? rekommenderar vi att du aktiverar principen för beständiga webbläsarsessioner i stället.

Mer information. se Konfigurera autentiseringssessionshantering med villkorsstyrd åtkomst.

Konfigurerbara tokenlivslängder

Den här inställningen tillåter konfiguration av livslängd för token som utfärdats av Microsoft Entra-ID. Den här principen ersätts av autentiseringssessionshantering med villkorsstyrd åtkomst. Om du använder Konfigurerbara tokenlivslängder i dag rekommenderar vi att du startar migreringen till principerna för villkorsstyrd åtkomst.

Granska klientkonfigurationen

Nu när du förstår hur olika inställningar fungerar och den rekommenderade konfigurationen är det dags att kontrollera dina klienter. Du kan börja med att titta på inloggningsloggarna för att förstå vilka principer för sessionslivslängd som tillämpades under inloggningen.

Under varje inloggningslogg går du till fliken Autentiseringsinformation och utforskar tillämpade policyer för sessionslivslängd. Mer information finns i artikeln Läs mer om inloggningsloggens aktivitetsinformation .

Screenshot of authentication details.

Utför följande steg för att konfigurera eller granska alternativet Förbli inloggad :

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.
  2. Bläddra till Identity>Company Branding och välj sedan Alternativet Visa för att förbli inloggad för varje språk.
  3. Välj Ja och välj sedan Spara.

Kom ihåg inställningarna för multifaktorautentisering på betrodda enheter genom att utföra följande steg:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
  2. Bläddra till Skydd>Multifactor-autentisering.
  3. Under Konfigurera väljer du Ytterligare molnbaserade MFA-inställningar.
  4. På sidan inställningar för multifaktorautentiseringstjänsten bläddrar du för att komma ihåg inställningarna för multifaktorautentisering. Inaktivera inställningen genom att avmarkera kryssrutan.

Utför följande steg för att konfigurera principer för villkorlig åtkomst för inloggningsfrekvens och beständiga webbläsarsessioner:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Villkorlig åtkomst för skydd>.
  3. Konfigurera en princip med hjälp av de rekommenderade alternativen för sessionshantering som beskrivs i den här artikeln.

Om du vill granska tokens livslängd använder du Azure AD PowerShell för att köra frågor mot alla Microsoft Entra-principer. Inaktivera alla principer som du har på plats.

Om fler än en inställning är aktiverad i klientorganisationen rekommenderar vi att du uppdaterar inställningarna baserat på den licensiering som är tillgänglig för dig. Om du till exempel har Microsoft Entra ID P1- eller P2-licenser bör du endast använda principen för villkorsstyrd åtkomst för inloggningsfrekvens och beständiga webbläsarsessioner. Om du har kostnadsfria licenser för Microsoft 365-appar eller Kostnadsfria Microsoft Entra-ID-licenser bör du använda konfigurationen Förbli inloggad?

Om du har aktiverat konfigurerbara tokenlivslängder kommer den här funktionen snart att tas bort. Planera en migrering till en princip för villkorsstyrd åtkomst.

I följande tabell sammanfattas rekommendationerna baserat på licenser:

Kostnadsfria Microsoft Entra-ID-appar och Microsoft 365-appar Microsoft Entra ID P1 eller P2
SSO Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning eller sömlös enkel inloggning för ohanterade enheter. Microsoft Entra-anslutning
Microsoft Entra-hybridanslutning
Inställningar för omautentisering Förbli inloggad Använda principer för villkorlig åtkomst för inloggningsfrekvens och beständiga webbläsarsessioner

Nästa steg

Kom igång genom att slutföra självstudien om säkra användarinloggningshändelser med Microsoft Entra multifaktorautentisering eller Använd riskidentifieringar för användarinloggningar för att utlösa Microsoft Entra multifaktorautentisering.