Dela via

Konfigurera policyer för anpassningsbar sessionslivslängd

Varning

Om du använder funktionen för konfigurerbar tokenlivslängd för närvarande i offentlig förhandsversion har vi inte stöd för att skapa två olika principer för samma kombination av användare eller appar: en med den här funktionen och en annan med funktionen för konfigurerbar tokenlivslängd. Microsoft drog tillbaka funktionen för konfigurerbar tokenlivslängd för uppdaterings- och sessionstokens livslängd den 30 januari 2021 och ersatte den med sessionshanteringsfunktionen för villkorlig åtkomstautentisering.

Innan du aktiverar inloggningsfrekvens, kontrollera att andra inställningar för återautentisering är inaktiverade i din klientorganisation. Om "Kom ihåg MFA på betrodda enheter" är aktiverat inaktiverar du det innan du använder inloggningsfrekvens, eftersom användning av dessa två inställningar tillsammans kan fråga användarna oväntat. Mer information om omautentiseringsprompter och sessionslivslängd finns i artikeln Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra multifaktorautentisering.

Implementering av policy

Testa principen innan du distribuerar den till produktion för att säkerställa att principen fungerar som förväntat. Använd en testklient för att kontrollera att den nya principen fungerar som den ska. Mer information finns i artikeln Planera en distribution av villkorsstyrd åtkomst.

Princip 1: Kontroll av inloggningsfrekvens

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Entra ID>Villkorsstyrd åtkomst>Principer.

  3. Välj Ny princip.

  4. Ge principen ett namn. Skapa en meningsfull standard för namngivningsprinciper.

  5. Välj alla nödvändiga villkor för kundens miljö, inklusive målmolnapparna.

    Anteckning

    Vi rekommenderar att du anger samma autentiseringsfrekvens för viktiga Microsoft 365-appar som Exchange Online och SharePoint Online för bästa användarupplevelse.

  6. Under Åtkomstkontroller>Session.

    1. Välj Inloggningsfrekvens.
      1. Välj Periodisk omautentisering och ange ett värde på timmar eller dagar eller välj Varje gång.

    Skärmbild som visar en princip för villkorlig åtkomst som har konfigurerats för inloggningsfrekvens.

  7. Spara din försäkring.

Princip 2: Beständiga webbläsarsessioner

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Entra ID>Villkorsstyrd åtkomst>Principer.

  3. Välj Ny princip.

  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

  5. Välj alla nödvändiga villkor.

    Anteckning

    Den här kontrollen kräver att du väljer "Alla molnappar" som ett villkor. Webbläsarsessionens beständighet styrs av autentiseringssessionstoken. Alla flikar i en webbläsarsession delar en enda sessionstoken och därför måste alla dela status för beständighet.

  6. Under Åtkomstkontroller>Session.

    1. Välj Beständiga webbläsarsessioner.

      Anteckning

      Beständig webbläsarsessionskonfiguration i Microsoft Entra Villkorlig åtkomst åsidosätter inställningen "Håll dig inloggad?" i företagsanpassningsfönstret för samma användare om båda principerna har konfigurerats.

    2. Välj ett värde i listrutan.

  7. Spara din försäkring.

Princip 3: Kontroll av inloggningsfrekvens varje gång riskfylld användare

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Entra ID>Villkorlig åtkomst.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
    3. Välj Klar.
  6. Under Målresurser>inkludera väljer du Alla resurser (tidigare "Alla molnappar").
  7. Under Villkor>Användarrisk anger du Konfigurera till Ja.
    1. Under Konfigurera de användarrisknivåer som krävs för att principen ska tillämpas väljer du Hög. Den här vägledningen baseras på Microsofts rekommendationer och kan vara olika för varje organisation
    2. Välj Klar.
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv autentiseringsstyrka och välj sedan den inbyggda autentiseringsstyrkan för multifaktorautentisering i listan.
    2. Välj Kräv lösenordsändring.
    3. Välj Välj.
  9. Under Session.
    1. Välj Inloggningsfrekvens.
    2. Se till att Varje gång är valt.
    3. Välj Välj.
  10. Bekräfta inställningarna och ange Aktivera policyn till Rapporteringsläge.
  11. Välj Skapa för att aktivera din policy.

När du har bekräftat inställningarna med läget endast rapport flyttar du växlingsknappen Aktivera princip från Endast rapport till .

Validering

Använd verktyget Vad händer om för att simulera en inloggning till målprogrammet och andra villkor baserat på din principkonfiguration. Autentiseringssessionens hanteringskontroller visas i resultatet av verktyget.

Tolerans för prompt

Vi står för fem minuters klocksnedvridning när varje gång väljs i principen, så vi uppmanar inte användarna oftare än en gång var femte minut. Om användaren slutför MFA under de senaste 5 minuterna och stöter på en annan princip för villkorsstyrd åtkomst som kräver omautentisering, uppmanar vi inte användaren. Att fråga användare för ofta om autentisering kan påverka deras produktivitet och öka risken för att användare godkänner MFA-begäranden som de inte initierade. Använd "Inloggningsfrekvens – varje gång" endast när det finns specifika affärsbehov.

Kända problem

  • Om du konfigurerar inloggningsfrekvens för mobila enheter: Autentiseringen efter varje intervall för inloggningsfrekvens kan vara långsam och kan ta 30 sekunder i genomsnitt. Det här problemet kan också inträffa i olika appar samtidigt.
  • På iOS-enheter: Om en app konfigurerar certifikat som den första autentiseringsfaktorn och har både inloggningsfrekvens och Intune-hanteringsprinciper för mobilprogram , blockeras användarna från att logga in på appen när principen utlöses.
  • Microsoft Entra Private Access stöder inte inställning av inloggningsfrekvens till varje gång.

Nästa steg