Delen via

Beleid voor levensduur van adaptieve sessies configureren

Waarschuwing

Als u de configureerbare levensduur van tokens gebruikt die momenteel in openbare preview is, bieden we geen ondersteuning voor het maken van twee verschillende beleidsregels voor dezelfde combinatie van gebruikers of apps: een met deze functie en een andere met de configureerbare levensduur van tokens. Microsoft heeft op 30 januari 2021 de configureerbare levensduur van tokens voor vernieuwing en sessietoken buiten gebruik gesteld en vervangen door de functie voor sessiebeheer voor voorwaardelijke toegang.

Voordat u 'Aanmeldingsfrequentie' inschakelt, moet u ervoor zorgen dat andere instellingen voor nieuwe verificatie zijn uitgeschakeld in uw tenant. Als 'MFA onthouden op vertrouwde apparaten' is ingeschakeld, schakelt u deze uit voordat u de aanmeldingsfrequentie gebruikt. Als u deze twee instellingen samen gebruikt, wordt gebruikers mogelijk onverwacht gevraagd. Voor meer informatie over reauthenticatieprompts en de levensduur van sessies, raadpleegt u het artikel Optimaliseer reauthenticatieprompts en begrijp de levensduur van sessies voor Microsoft Entra multifactorverificatie.

Beleidsimplementatie

Om ervoor te zorgen dat uw beleid werkt zoals verwacht, test u het voordat u het in productie gaat implementeren. Gebruik een testtenant om te controleren of uw nieuwe beleid werkt zoals bedoeld. Zie het artikel Een implementatie van voorwaardelijke toegang plannen voor meer informatie.

Beleid 1: Beheer van aanmeldingsfrequentie

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.

  2. Blader naar Entra ID>Voorwaardelijke Toegang>Beleid.

  3. Selecteer Nieuw beleid.

  4. Geef uw beleid een naam. Maak een zinvolle standaard voor naamgevingsbeleid.

  5. Kies alle vereiste voorwaarden voor de omgeving van de klant, inclusief de doelcloud-apps.

    Notitie

    Het is raadzaam om een gelijke frequentie voor verificatieprompt in te stellen voor de belangrijkste Microsoft 365-apps, zoals Exchange Online en SharePoint Online, voor de beste gebruikerservaring.

  6. Onder Toegangsbeheer>Sessie.

    1. Selecteer Aanmeldingsfrequentie.
      1. Kies Periodieke verificatie en voer een waarde in van uren of dagen of selecteer Elke keer.

    Schermopname van een beleid voor voorwaardelijke toegang dat is geconfigureerd voor de aanmeldingsfrequentie.

  7. Sla het beleid op.

Beleid 2: Permanente browsersessie

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.

  2. Blader naar Entra ID>Voorwaardelijke Toegang>Beleid.

  3. Selecteer Nieuw beleid.

  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.

  5. Kies alle vereiste voorwaarden.

    Notitie

    Voor dit besturingselement moet 'Alle cloud-apps' als voorwaarde worden geselecteerd. Persistentie van browsersessies wordt beheerd door het verificatiesessietoken. Alle tabbladen in een browsersessie delen één sessietoken en moeten daarom allemaal de persistentiestatus delen.

  6. Onder Toegangsbeheer>Sessie.

    1. Selecteer Permanente browsersessie.

      Notitie

      Permanente configuratie van browsersessies in voorwaardelijke toegang van Microsoft Entra overschrijft de instelling Aangemeld blijven in het huisstijlvenster van het bedrijf voor dezelfde gebruiker als beide beleidsregels zijn geconfigureerd.

    2. Selecteer een waarde in de vervolgkeuzelijst.

  7. Sla het beleid op.

Beleid 3: Controleer aanmeldingsfrequentie elke keer dat er een riskante gebruiker is.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.
  2. Blader naar Entra ID>Voorwaardelijke Toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en kies de noodtoegangs- of break-glass-accounts van uw organisatie.
    3. Selecteer Klaar.
  6. Selecteer onder Doelresources>OpnemenAlle resources (voorheen 'Alle cloud-apps').
  7. Stel bij Voorwaarden>GebruikersrisicoConfigureren in op Ja.
    1. Selecteer onder Niveaus van gebruikersrisico's configureren die nodig zijn om beleid af te dwingen de optie Hoog. Deze richtlijnen zijn gebaseerd op Microsoft-aanbevelingen en kunnen voor elke organisatie verschillen
    2. Selecteer Klaar.
  8. Selecteer onder Toegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer de optie Verificatiesterkte vereisen en selecteer vervolgens de ingebouwde Multifactorauthenticatie in de lijst.
    2. Selecteer Wachtwoordwijziging vereisen.
    3. Selecteer Selecteren.
  9. Onder Sessie.
    1. Selecteer Aanmeldingsfrequentie.
    2. Zorg ervoor dat elke keer wordt geselecteerd.
    3. Selecteer Selecteren.
  10. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  11. Selecteer Maken om uw beleid te kunnen creëren en in te schakelen.

Nadat u de instellingen hebt bevestigd met de modus Alleen-rapport, verplaatst u de wisselknop Beleid inschakelen van alleen rapport naar Aan.

Validatie

Gebruik het hulpprogramma What If om een aanmelding bij de doeltoepassing en andere voorwaarden te simuleren op basis van uw beleidsconfiguratie. De besturingselementen voor verificatiesessiebeheer worden weergegeven in de resultaten van het hulpprogramma.

Prompttolerantie

We houden rekening met vijf minuten scheeftrekken wanneer elke keer dat in beleid wordt geselecteerd, zodat we gebruikers niet vaker dan één keer om de vijf minuten vragen. Als de gebruiker in de afgelopen vijf minuten MFA heeft voltooid en een ander beleid voor voorwaardelijke toegang tegenkomt waarvoor opnieuw verificatie is vereist, wordt de gebruiker niet gevraagd. Gebruikers te vaak vragen om opnieuw te verifiëren, kunnen hun productiviteit beïnvloeden en het risico verhogen dat gebruikers MFA-aanvragen goedkeuren die ze niet hebben gestart. Gebruik 'Aanmeldingsfrequentie - elke keer' alleen wanneer er specifieke bedrijfsbehoeften zijn.

Bekende problemen

  • Als u de aanmeldingsfrequentie voor mobiele apparaten configureert: Verificatie na elk interval voor aanmeldingsfrequentie kan traag zijn en kan gemiddeld 30 seconden duren. Dit probleem kan ook optreden in verschillende apps tegelijk.
  • Op iOS-apparaten: als een app certificaten configureert als de eerste verificatiefactor en zowel de aanmeldingsfrequentie als het Intune Mobile Application Management-beleid is toegepast, kunnen gebruikers zich niet aanmelden bij de app wanneer het beleid wordt geactiveerd.
  • Microsoft Entra Private Access biedt geen ondersteuning voor het instellen van de aanmeldingsfrequentie voor elke keer.

Volgende stappen