Dela via

Konfigurera policyer för anpassningsbar sessionslivslängd

Varning

Om du använder funktionen för konfigurerbar tokenlivslängd för närvarande i offentlig förhandsversion kan du tänka på att vi inte har stöd för att skapa två olika principer för samma kombination av användare eller appar: en med den här funktionen och en annan med konfigurerbar tokenlivsfunktion. Microsoft drog tillbaka funktionen för konfigurerbar tokenlivslängd för uppdaterings- och sessionstoken den 30 januari 2021 och ersatte den med funktionen för hantering av autentiseringssessioner med villkorsstyrd åtkomst.

Innan du aktiverar inloggningsfrekvens, kontrollera att andra inställningar för återautentisering är inaktiverade i din klientorganisation. Om "Kom ihåg MFA på betrodda enheter" är aktiverat bör du inaktivera det innan du använder inloggningsfrekvensen, eftersom användning av dessa två inställningar tillsammans kan leda till oväntade frågor till användarna. Mer information om omautentiseringsprompter och sessionslivslängd finns i artikeln Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra multifaktorautentisering.

Implementering av policy

För att säkerställa att principen fungerar som förväntat rekommenderar vi att du testar den innan den distribueras till produktion. Använd helst en testklient för att kontrollera om den nya principen fungerar som den ska. Mer information finns i artikeln Planera en distribution av villkorsstyrd åtkomst.

Princip 1: Kontroll av inloggningsfrekvens

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Entra ID>Villkorsstyrd åtkomst>Principer.

  3. Välj Ny princip.

  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

  5. Välj alla nödvändiga villkor för kundens miljö, inklusive målmolnapparna.

    Anteckning

    Vi rekommenderar att du anger samma autentiseringsfrekvens för viktiga Microsoft-Office-appen som Exchange Online och SharePoint Online för bästa användarupplevelse.

  6. Under Åtkomstkontroller>Session.

    1. Välj Inloggningsfrekvens.
      1. Välj Periodisk omautentisering och ange ett värde på timmar eller dagar eller välj Varje gång.

    Skärmbild som visar en princip för villkorlig åtkomst som har konfigurerats för inloggningsfrekvens.

  7. Spara din försäkring.

Princip 2: Beständiga webbläsarsessioner

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Entra ID>Villkorsstyrd åtkomst>Principer.

  3. Välj Ny princip.

  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

  5. Välj alla nödvändiga villkor.

    Anteckning

    Den här kontrollen kräver att du väljer ”Alla molnappar” som ett villkor. Webbläsarsessionens beständighet styrs av autentiseringssessionstoken. Alla flikar i en webbläsarsession delar en enda sessionstoken och därför måste alla dela status för beständighet.

  6. Under Åtkomstkontroller>Session.

    1. Välj Beständiga webbläsarsessioner.

      Anteckning

      Beständig webbläsarsessionskonfiguration i Microsoft Entra villkorlig åtkomst åsidosätter inställningen "Håll dig inloggad?" i företagsanpassningsfönstret för samma användare om du har konfigurerat båda principerna.

    2. Välj ett värde i listrutan.

  7. Spara din försäkring.

Princip 3: Kontroll av inloggningsfrekvens varje gång riskfylld användare

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Entra ID>Villkorlig åtkomst.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
    3. Välj Klar.
  6. Under Målresurser>inkludera väljer du Alla resurser (tidigare "Alla molnappar").
  7. Under Villkor>Användarrisk anger du Konfigurera till Ja.
    1. Under Konfigurera de användarrisknivåer som krävs för att principen ska tillämpas väljer du Hög. Den här vägledningen baseras på Microsofts rekommendationer och kan vara olika för varje organisation
    2. Välj Klar.
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv autentiseringsstyrka och välj sedan den inbyggda autentiseringsstyrkan för multifaktorautentisering i listan.
    2. Välj Kräv lösenordsändring.
    3. Välj Välj.
  9. Under Session.
    1. Välj Inloggningsfrekvens.
    2. Se till att Varje gång är valt.
    3. Välj Välj.
  10. Bekräfta inställningarna och ange Aktivera policyn till Rapporteringsläge.
  11. Välj Skapa för att aktivera din policy.

När administratörerna har bekräftat dina inställningar med rapportläge kan de flytta växlingsknappen Aktivera princip från Endast rapport till .

Validering

Använd verktyget Vad händer om för att simulera en inloggning från användaren till målprogrammet och andra villkor baserat på hur du konfigurerade din princip. Autentiseringssessionens hanteringskontroller visas i resultatet av verktyget.

Tolerans för prompt

Vi tar hänsyn till fem minuters klocksnedvridning när varje gång väljs i policyn, så att vi inte behöver uppmana användarna oftare än en gång var femte minut. Om användaren har slutfört MFA under de senaste 5 minuterna och de har nått en annan princip för villkorsstyrd åtkomst som kräver omautentisering, uppmanar vi inte användaren. Att ständigt be användare om återautentisering kan påverka deras produktivitet negativt och öka risken för att användare godkänner MFA-begäranden som de inte har initierat. Använd "Inloggningsfrekvens – varje gång" endast för specifika affärsbehov.

Kända problem

  • Om du konfigurerar inloggningsfrekvens för mobila enheter: Autentiseringen efter varje intervall för inloggningsfrekvens kan vara långsam kan det ta 30 sekunder i genomsnitt. Det kan också inträffa i olika appar på samma gång.
  • På iOS-enheter: Om en app konfigurerar certifikat som den första autentiseringsfaktorn och appen har både inloggningsfrekvens och Intune-hanteringsprinciper för mobilprogram , blockeras slutanvändarna från att logga in på appen när principen utlöses.
  • Microsoft Entra Private Access har ännu inte stöd för att ange inloggningsfrekvens till varje gång.

Nästa steg