Delen via

Beleid voor adaptieve sessieduur bij voorwaardelijke toegang

Met beleid voor de levensduur van adaptieve sessies voor voorwaardelijke toegang kunnen organisaties verificatiesessies in complexe implementaties beperken. Scenario's zijn onder andere:

  • Toegang tot resources vanaf een niet-beheerd of gedeeld apparaat
  • Toegang tot gevoelige informatie vanuit een extern netwerk
  • Invloedrijke gebruikers
  • Kritieke bedrijfstoepassingen

Voorwaardelijke Toegang biedt beleidsregels voor de levensduur van adaptieve sessies, waardoor u beleid kunt maken dat gericht is op specifieke gebruiksscenario’s binnen uw organisatie zonder dat dit van invloed is op alle gebruikers.

Bekijk de standaardconfiguratie voordat u het beleid configureert.

Aanmeldingsfrequentie van gebruikers

De aanmeldingsfrequentie geeft aan hoe lang een gebruiker toegang heeft tot een resource voordat deze wordt gevraagd zich opnieuw aan te melden.

De standaardconfiguratie van Microsoft Entra ID voor de aanmeldingsfrequentie van gebruikers is een voortschrijdend venster van 90 dagen. Het lijkt misschien verstandig om gebruikers vaak om inloggegevens te vragen, maar deze aanpak kan averechts werken. Gebruikers die normaal inloggegevens invoeren zonder te denken, kunnen onbedoeld hun inloggegevens verstrekken aan schadelijke prompts.

Een gebruiker wordt niet gevraagd zich opnieuw aan te melden, kan alarmerend lijken, maar elke schending van het IT-beleid trekt de sessie in. Voorbeelden hiervan zijn een wachtwoordwijziging, een niet-compatibel apparaat of een account dat wordt uitgeschakeld. U kunt de sessies van gebruikers ook expliciet intrekken met Behulp van Microsoft Graph PowerShell. De standaardconfiguratie van Microsoft Entra ID is: vraag gebruikers niet om hun inloggegevens op te geven als de beveiligingsstatus van hun sessies niet is gewijzigd.

De instelling voor aanmeldingsfrequentie werkt met apps die OAuth2- of OIDC-protocollen implementeren volgens de standaarden. De meeste systeemeigen Microsoft-apps, zoals die voor Windows, Mac en Mobile, met inbegrip van de volgende webtoepassingen, voldoen aan de instelling.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365-beheerportal
  • Exchange Online
  • SharePoint en OneDrive
  • Teams-webclient
  • Dynamiek CRM Online
  • Azure Portal

Aanmeldingsfrequentie (SIF) werkt met niet-Microsoft SAML-toepassingen en -apps die gebruikmaken van OAuth2- of OIDC-protocollen, zolang ze hun eigen cookies niet verwijderen en regelmatig terugkeren naar Microsoft Entra-id voor verificatie.

Aanmeldingsfrequentie van gebruikers en meervoudige verificatie

Voorheen werd de aanmeldingsfrequentie alleen toegepast op first-factor authentication op aan Microsoft Entra gekoppelde, hybride gekoppelde en geregistreerde apparaten. Klanten konden meervoudige verificatie op deze apparaten niet eenvoudig versterken. Op basis van feedback van klanten is de aanmeldingsfrequentie ook van toepassing op meervoudige verificatie (MFA).

Een diagram dat laat zien hoe de aanmeldingsfrequentie en MFA samenwerken.

Aanmeldingsfrequentie van gebruikers en apparaat-id's

Op apparaten die zijn toegevoegd aan Microsoft Entra en hybride gekoppeld zijn, wordt het primaire vernieuwingstoken (PRT) elke vier uur vernieuwd door het apparaat te ontgrendelen of door interactief aan te melden. De laatste vernieuwingstijdstempel die is vastgelegd voor de PRT in vergelijking met de huidige tijdstempel, moet binnen de tijd vallen die is toegewezen aan het SIF-beleid voor de PRT om te voldoen aan SIF en toegang te verlenen tot een PRT met een bestaande MFA-claim. Op geregistreerde Microsoft Entra-apparaten voldoet het ontgrendelen of aanmelden niet aan het SIF-beleid omdat de gebruiker geen toegang heeft tot een geregistreerd Microsoft Entra-apparaat via een Microsoft Entra-account. De Microsoft Entra WAM-invoegtoepassing kan echter een PRT vernieuwen tijdens systeemeigen toepassingsverificatie met behulp van WAM.

Notitie

De tijdstempel die is vastgelegd vanuit de gebruikersaanmelding, is niet noodzakelijkerwijs hetzelfde als de laatst geregistreerde tijdstempel van PRT-vernieuwing vanwege de vernieuwingscyclus van vier uur. Wanneer het geval hetzelfde is, is dat wanneer de PRT is verlopen en een gebruiker zich aanmeldt, waardoor deze voor 4 uur wordt vernieuwd. In de volgende voorbeelden wordt ervan uitgegaan dat het SIF-beleid is ingesteld op 1 uur en dat de PRT wordt vernieuwd om 00:00 uur.

Voorbeeld 1: Wanneer u gedurende een uur aan hetzelfde document in SPO blijft werken

  • Om 00:00 uur meldt een gebruiker zich aan bij zijn Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint met het bewerken van een document dat is opgeslagen op SharePoint Online.
  • De gebruiker blijft gedurende een uur aan hetzelfde document op het apparaat werken.
  • Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd.

Voorbeeld 2: Wanneer u het werk onderbreekt terwijl er een achtergrondtaak in de browser wordt uitgevoerd, en u opnieuw interageert nadat de tijd van het SIF-beleid is verstreken.

  • Om 00:00 uur meldt een gebruiker zich aan bij hun Microsoft Entra-verbonden apparaat met Windows 11 en begint een document te uploaden naar SharePoint Online.
  • Om 00:10 uur krijgt de gebruiker een pauze om het apparaat te vergrendelen. Het uploaden op de achtergrond wordt voortgezet naar SharePoint Online.
  • Om 02:45 keert de gebruiker terug van de onderbreking en ontgrendelt het apparaat. Het uploaden op de achtergrond toont voltooiing.
  • Om 02:45 wordt de gebruiker gevraagd zich aan te melden wanneer deze opnieuw communiceert. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder sinds de laatste aanmelding om 00:00 uur.

Als de client-app (onder activiteitsdetails) een browser is, stellen we de handhaving van de aanmeldingsfrequentie voor evenementen en beleidsregels voor achtergrondtaken uit tot de volgende gebruikersinteractie. Bij vertrouwelijke clients wordt het afdwingen van de aanmeldingsfrequentie voor niet-interactieve aanmeldingen uitgesteld tot de volgende interactieve aanmelding.

Voorbeeld 3: Met een vernieuwingscyclus van vier uur van het primaire vernieuwingstoken na ontgrendeling.

Scenario 1 - Gebruiker keert terug binnen de cyclus

  • Om 00:00 uur meldt een gebruiker zich aan bij een Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint te werken aan een document dat is opgeslagen op SharePoint Online.
  • Om 00:30 uur staat de gebruiker op om even pauze te nemen en vergrendelt het apparaat.
  • Om 00:45 uur komt de gebruiker terug van zijn/haar pauze en ontgrendelt het apparaat.
  • Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder, 1 uur na de eerste aanmelding.

Scenario 2: gebruiker retourneert buiten de cyclus

  • Om 00:00 uur meldt een gebruiker zich aan bij een Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint te werken aan een document dat is opgeslagen op SharePoint Online.
  • Om 00:30 uur staat de gebruiker op om even pauze te nemen en vergrendelt het apparaat.
  • Om 04:45 keert de gebruiker terug van de onderbreking en ontgrendelt het apparaat.
  • Om 05:45 wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd. Het is nu 1 uur nadat de PRT is vernieuwd om 04:45 en meer dan 4 uur sinds de eerste aanmelding om 00:00 uur.

Vereis verificatie elke keer

Er zijn scenario's waarin klanten mogelijk een nieuwe verificatie willen vereisen, telkens wanneer een gebruiker specifieke acties uitvoert, zoals:

  • Toegang tot gevoelige toepassingen.
  • Het beveiligen van resources via VPN- of NaaS-providers (Network as a Service).
  • Het beveiligen van bevoorrechte rolverheffing in PIM.
  • Gebruikersaanmelding beveiligen bij Azure Virtual Desktop-machines.
  • Bescherming van riskante gebruikers en riskante aanmeldingen die worden geïdentificeerd door Microsoft Entra ID Protection.
  • Gevoelige gebruikersacties beveiligen, zoals Microsoft Intune-inschrijving.

Wanneer beheerders elke keer selecteren, is volledige verificatie vereist wanneer de sessie wordt geëvalueerd. Als de gebruiker bijvoorbeeld de browser heeft gesloten en geopend tijdens de levensduur van de sessie, wordt hij of zij niet gevraagd om opnieuw te worden geverifieerd. De beste instelling voor de aanmeldingsfrequentie is elke keer, als de resource de benodigde logica heeft om te bepalen wanneer een client een nieuw token moet verkrijgen. Met deze resources wordt de gebruiker slechts teruggeleid naar Microsoft Entra zodra de sessie verloopt.

Beheerders moeten het aantal toepassingen beperken waarbij ze een beleid afdwingen dat gebruikers zich elke keer opnieuw moeten verifiëren. Het activeren van herauthenticatie te vaak kan de beveiligingsmoeilijkheid verhogen tot een punt dat gebruikers MFA-vermoeidheid ervaren en de deur openen voor phishing. Webtoepassingen bieden meestal een minder verstorende ervaring dan hun desktop-tegenhangers wanneer verificatie vereist is telkens wanneer deze is ingeschakeld. We houden rekening met een afwijking van vijf minuten in de tijdinstellingen wanneer elke tijd in het beleid wordt geselecteerd, zodat we gebruikers niet vaker dan eens per vijf minuten lastigvallen.

Waarschuwing

Door de aanmeldingsfrequentie te gebruiken om telkens opnieuw verificatie te vereisen, zonder multifactor-authenticatie, kan dit ertoe leiden dat uw gebruikers in een aanmeldlus terechtkomen.

  • Voor toepassingen in de Microsoft 365-stack raden we u aan om de aanmeldingsfrequentie van gebruikers op basis van tijd te gebruiken voor een betere gebruikerservaring.
  • Voor de Azure-portal en het Microsoft Entra-beheercentrum raden we aan om het aanmelden van gebruikers op basis van tijdsfrequentie te gebruiken of bij activering van PIM herauthenticatie te vereisen door middel van een authenticatiecontext, voor een betere gebruikerservaring.

De persistentie van browsesessies

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.

Met de standaardinstelling van Microsoft Entra ID voor persistentie van browsersessies kunnen gebruikers op persoonlijke apparaten bepalen of ze de sessie willen behouden door een aangemeld blijven weer te geven? prompt na een geslaagde verificatie. Als browserpersistentie is ingesteld in AD FS met behulp van de richtlijnen in ad FS-instellingen voor eenmalige aanmelding, wordt het beleid gevolgd en blijft de Microsoft Entra-sessie behouden. Configureert u of gebruikers in uw tenant de prompt 'Aangemeld blijven?' zien door de juiste instelling in het paneel 'Huisstijl' van het bedrijf te wijzigen.

In permanente browsers blijven cookies opgeslagen op het apparaat van de gebruiker, zelfs nadat de browser is gesloten. Deze cookies hebben mogelijk toegang tot Microsoft Entra-artefacten, die bruikbaar blijven totdat het token verloopt, ongeacht het beleid voor voorwaardelijke toegang dat is toegepast op de resourceomgeving. Tokencaching kan dus in strijd zijn met het gewenste beveiligingsbeleid voor verificatie. Het opslaan van tokens buiten de huidige sessie lijkt misschien handig, maar het kan een beveiligingsprobleem maken door onbevoegde toegang tot Microsoft Entra-artefacten toe te staan.

Besturingselementen voor verificatiesessies configureren

Voorwaardelijke toegang is een Microsoft Entra ID P1- of P2-mogelijkheid waarvoor een Premium-licentie is vereist. Zie Wat is voorwaardelijke toegang in Microsoft Entra ID? voor meer informatie over voorwaardelijke toegang.

Waarschuwing

Als u de configureerbare levensduur van tokens gebruikt die momenteel in openbare preview is, maakt u geen twee verschillende beleidsregels voor dezelfde combinatie van gebruikers of apps: een met deze functie en een andere met de configureerbare levensduur van tokens. Microsoft heeft op 30 januari 2021 de configureerbare levensduur van tokens voor vernieuwing en sessietoken buiten gebruik gesteld en vervangen door de functie voor sessiebeheer voor voorwaardelijke toegang.

Voordat u de aanmeldingsfrequentie inschakelt, moet u ervoor zorgen dat andere instellingen voor opnieuw verificatie zijn uitgeschakeld in uw tenant. Als 'MFA onthouden op vertrouwde apparaten' is ingeschakeld, schakelt u deze uit voordat u de aanmeldfrequentie gebruikt, aangezien het gebruik van deze twee instellingen samen gebruikers onverwacht kan aanzetten tot actie. Voor meer informatie over reauthenticatie prompts en sessielevensduur, zie re-authenticatie prompts optimaliseren en de levensduur van de sessie begrijpen voor Microsoft Entra Multi-Factor Authenticatie.

Volgende stappen