Livslängd för adaptiv session för villkorlig åtkomst
I komplexa distributioner kan organisationer behöva begränsa autentiseringssessioner. Några scenarier kan vara:
- Resursåtkomst från en ohanterad eller delad enhet
- Åtkomst till känslig information från ett externt nätverk
- Användare med hög påverkan
- Viktiga affärsprogram
Villkorlig åtkomst ger anpassningsbara sessionslivsprincipkontroller så att du kan skapa principer som riktar sig till specifika användningsfall i din organisation utan att påverka alla användare.
Innan vi går in på information om hur du konfigurerar principen ska vi undersöka standardkonfigurationen.
Användarinloggningsfrekvens
Inloggningsfrekvens definierar tidsperioden innan en användare uppmanas att logga in igen när de försöker komma åt en resurs.
Standardkonfigurationen för Microsoft Entra-ID för användarinloggningsfrekvens är ett rullande fönster på 90 dagar. Att be användarna om autentiseringsuppgifter verkar ofta vara en förnuftig sak att göra, men det kan slå tillbaka: användare som är tränade att ange sina autentiseringsuppgifter utan att tänka kan oavsiktligt tillhandahålla dem till en skadlig fråga om autentiseringsuppgifter.
Det kan låta alarmerande att inte be en användare att logga in igen, i själva verket kommer alla överträdelser av IT-principer att återkalla sessionen. Några exempel är (men är inte begränsade till) en lösenordsändring, en inkompatibel enhet eller kontoaktivering. Du kan också uttryckligen återkalla användarnas sessioner med Hjälp av Microsoft Graph PowerShell. Standardkonfigurationen för Microsoft Entra-ID handlar om att "be inte användarna att ange sina autentiseringsuppgifter om säkerhetsstatusen för deras sessioner inte ändrades".
Inställningen för inloggningsfrekvens fungerar med appar som implementerar OAuth2- eller OIDC-protokoll enligt standarderna. De flesta inbyggda Microsoft-appar för Windows, Mac och Mobile, inklusive följande webbprogram, följer inställningen.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- Administrationsportalen för Microsoft 365
- Exchange Online
- SharePoint och OneDrive
- Teams webbklient
- Dynamics CRM Online
- Azure Portal
Inloggningsfrekvens (SIF) fungerar med SAML-program och appar från tredje part som implementerar OAuth2- eller OIDC-protokoll, så länge de inte släpper sina egna cookies och omdirigeras tillbaka till Microsoft Entra-ID för autentisering regelbundet.
Användarinloggningsfrekvens och multifaktorautentisering
Inloggningsfrekvensen tillämpades tidigare endast på den första faktorautentiseringen på enheter som var Microsoft Entra-anslutna, Microsoft Entra-hybridanslutningar och Microsoft Entra-registrerade. Det fanns inget enkelt sätt för våra kunder att åter framtvinga multifaktorautentisering på dessa enheter. Baserat på kundfeedback gäller inloggningsfrekvensen även för MFA.
Användarinloggningsfrekvens och enhetsidentiteter
På Microsoft Entra-anslutna och Microsoft Entra Hybrid-anslutna enheter uppdaterar upplåsning av enheten eller inloggning interaktivt den primära uppdateringstoken (PRT) var fjärde timme. Den senaste uppdateringstidsstämpeln som registrerats för PRT jämfört med den aktuella tidsstämpeln måste vara inom den tid som anges i SIF-principen för att PRT ska uppfylla SIF och bevilja åtkomst till en PRT som har ett befintligt MFA-anspråk. På Microsoft Entra-registrerade enheter skulle upplåsning/inloggning inte uppfylla SIF-principen eftersom användaren inte har åtkomst till en Microsoft Entra-registrerad enhet via ett Microsoft Entra-konto. Microsoft Entra WAM-plugin-programmet kan dock uppdatera en PRT under inbyggd programautentisering med hjälp av WAM.
Not
Tidsstämpeln som samlas in från användarens inloggning är inte nödvändigtvis samma som den senaste inspelade tidsstämpeln för PRT-uppdatering på grund av 4-timmarsuppdateringscykeln. Fallet när det är samma sak är när PRT har upphört att gälla och en användares inloggning uppdaterar den i 4 timmar. I följande exempel antar du att SIF-principen är inställd på 1 timme och att PRT uppdateras kl. 00:00.
Exempel 1: När du fortsätter att arbeta med samma dokument i SPO i en timme
- Klockan 00:00 loggar en användare in på sin Windows 11 Microsoft Entra-anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
- Användaren fortsätter att arbeta med samma dokument på sin enhet i en timme.
- Klockan 01:00 uppmanas användaren att logga in igen. Den här uppmaningen baseras på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören.
Exempel 2: När du pausar arbetet med en bakgrundsaktivitet som körs i webbläsaren interagerar du igen efter att SIF-principtiden har gått
- Klockan 00:00 loggar en användare in på sin Windows 11 Microsoft Entra-anslutna enhet och börjar ladda upp ett dokument till SharePoint Online.
- Klockan 00:10 går användaren upp och tar en paus när de låser sin enhet. Bakgrundsuppladdningen fortsätter till SharePoint Online.
- Klockan 02:45 returnerar användaren från sin paus och låser upp enheten. Bakgrundsuppladdningen visar slutförande.
- Klockan 02:45 uppmanas användaren att logga in när de interagerar igen. Den här uppmaningen baseras på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören sedan den senaste inloggningen inträffade klockan 00:00.
Om klientappen (under aktivitetsinformation) är en webbläsare skjuter vi upp inloggningsfrekvensen för händelser/principer på bakgrundstjänster till nästa användarinteraktion. För konfidentiella klienter skjuts tillämpningen av inloggningsfrekvens vid icke-interaktiva inloggningar upp till nästa interaktiva inloggning.
Exempel 3: Med fyra timmars uppdateringscykel för primär uppdateringstoken från upplåsning
Scenario 1 – Användaren returnerar inom en cykel
- Klockan 00:00 loggar en användare in på sin Windows 11 Microsoft Entra-anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
- Klockan 00:30 går användaren upp och tar en paus när de låser sin enhet.
- Klockan 00:45 returnerar användaren från sin paus och låser upp enheten.
- Klockan 01:00 uppmanas användaren att logga in igen. Den här uppmaningen baseras på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören, 1 timme efter den första inloggningen.
Scenario 2 – Användaren returnerar extern cykel
- Klockan 00:00 loggar en användare in på sin Windows 11 Microsoft Entra-anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
- Klockan 00:30 går användaren upp och tar en paus när de låser sin enhet.
- Klockan 04:45 returnerar användaren från sin paus och låser upp enheten.
- Klockan 05:45 uppmanas användaren att logga in igen. Den här uppmaningen baseras på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören. Det är nu 1 timme efter att PRT uppdaterades 04:45 och över 4 timmar sedan den första inloggningen klockan 00:00.
Kräv omautentisering varje gång
Det finns scenarier där kunder kanske vill kräva en ny autentisering, varje gång en användare utför specifika åtgärder som:
- Åtkomst till känsliga program.
- Skydda resurser bakom VPN- eller NaaS-leverantörer (Network as a Service).
- Skydda privilegierad rollhöjning i PIM.
- Skydda användarinloggningar till Azure Virtual Desktop-datorer.
- Skydda riskfyllda användare och riskfyllda inloggningar som identifieras av Microsoft Entra ID Protection.
- Skydda känsliga användaråtgärder som Microsoft Intune-registrering.
Inloggningsfrekvensen är inställd på varje gång som fungerar bäst när resursen har logiken för när en klient ska få en ny token. Dessa resurser omdirigerar användaren tillbaka till Microsoft Entra-only när sessionen upphör att gälla.
Administratörer bör begränsa antalet program som de tillämpar en princip som kräver att användarna autentiserar igen varje gång med. Vi tar hänsyn till fem minuters klocksnedvridning när varje gång väljs i principen, så att vi inte uppmanar användarna oftare än en gång var femte minut. Att utlösa omautentisering för ofta kan öka säkerhetsfriktionen till en punkt som gör att användarna upplever MFA-trötthet och öppnar dörren för nätfiskeförsök. Webbprogram ger vanligtvis en mindre störande upplevelse än sina skrivbordsmotsvarigheter när kräver omautentisering varje gång aktiveras.
- För program i Microsoft 365-stacken rekommenderar vi att du använder tidsbaserad användarinloggningsfrekvens för en bättre användarupplevelse.
- För Azure Portal och administrationscentret för Microsoft Entra rekommenderar vi att du antingen använder tidsbasad användarinloggningsfrekvens eller kräver omautentisering vid PIM-aktivering med hjälp av autentiseringskontext för en bättre användarupplevelse.
Allmänt tillgängliga scenarier som stöds:
- Kräv att användaren autentiseras igen under Enhetsregistreringen i Intune, oavsett deras aktuella MFA-status.
- Kräv användarautentisering för riskfyllda användare med behörighet att bevilja lösenordsändringar .
- Kräv användarautentisering för riskfyllda inloggningar med behörighetskontroll för multifaktorautentisering .
Med funktionerna för offentlig förhandsversion i februari 2024 kan administratörer kräva autentisering med:
- SAML - eller OIDC-aktiverade program
- Autentiseringskontext
- Andra användaråtgärder
När administratörer väljer Varje gång krävs fullständig autentisering när sessionen utvärderas.
Beständighet för webbläsarsessioner
Med en beständig webbläsarsession kan användarna förbli inloggade när de har stängt och öppnat webbläsarfönstret igen.
Standardvärdet för Microsoft Entra-ID för webbläsarsessionens beständighet gör att användare på personliga enheter kan välja om de vill bevara sessionen genom att visa en fråga om att vara inloggad efter lyckad autentisering. Om webbläsarens beständighet har konfigurerats i AD FS med hjälp av vägledningen i artikeln inställningar för enkel inloggning med AD FS följer vi den principen och bevarar även Microsoft Entra-sessionen. Du kan också konfigurera om användare i din klientorganisation ska se uppmaningen "Håll dig inloggad?" genom att ändra lämplig inställning i företagsanpassningsfönstret.
I beständiga webbläsare lagras cookies på användarens enhet även efter att en användare stänger webbläsaren. Dessa cookies kan ha åtkomst till Microsoft Entra-artefakter och dessa artefakter kan användas tills token upphör att gälla oavsett de principer för villkorsstyrd åtkomst som finns i resursmiljön. Cachelagring av token kan därför vara i direkt strid med önskade säkerhetsprinciper för autentisering. Även om det kan verka praktiskt att lagra token utanför den aktuella sessionen kan detta skapa en säkerhetsrisk genom att tillåta obehörig åtkomst till Microsoft Entra-artefakter.
Konfigurera autentiseringssessionskontroller
Villkorsstyrd åtkomst är en Microsoft Entra ID P1- eller P2-funktion och kräver en premiumlicens. Om du vill veta mer om villkorsstyrd åtkomst kan du läsa Vad är villkorlig åtkomst i Microsoft Entra-ID?
Varning
Om du använder funktionen för konfigurerbar tokenlivslängd för närvarande i offentlig förhandsversion kan du tänka på att vi inte har stöd för att skapa två olika principer för samma kombination av användare eller appar: en med den här funktionen och en annan med konfigurerbar tokenlivsfunktion. Microsoft drog tillbaka funktionen för konfigurerbar tokenlivslängd för uppdaterings- och sessionstokens livslängd den 30 januari 2021 och ersatte den med sessionshanteringsfunktionen för villkorlig åtkomstautentisering.
Innan du aktiverar inloggningsfrekvens kontrollerar du att andra autentiseringsinställningar är inaktiverade i klientorganisationen. Om "Kom ihåg MFA på betrodda enheter" är aktiverat bör du inaktivera det innan du använder inloggningsfrekvensen, eftersom användning av dessa två inställningar tillsammans kan leda till oväntade frågor till användarna. Mer information om omautentiseringsprompter och sessionslivslängd finns i artikeln Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra multifaktorautentisering.
Nästa steg
- Konfigurera sessionslivslängder i principer för villkorsstyrd åtkomst
- Om du är redo att konfigurera principer för villkorsstyrd åtkomst för din miljö kan du läsa artikeln Planera en distribution av villkorsstyrd åtkomst.