Freigeben über


Konfigurieren von Richtlinien für die adaptive Sitzungslebensdauer

Warnung

Wenn Sie die derzeit in der Public Preview verfügbare Funktion für die konfigurierbare Tokengültigkeitsdauer verwenden, sollten Sie beachten, dass die Erstellung von zwei verschiedenen Richtlinien für dieselbe Benutzer- oder App-Kombination nicht unterstützt wird: eine mit dieser Funktion und eine andere mit der konfigurierbaren Tokengültigkeitsdauer. Microsoft hat die Funktion für die konfigurierbare Tokengültigkeitsdauer bei den Lebensdauern von Aktualisierungs- und Sitzungstoken am 30. Januar 2021 außer Betrieb genommen und durch die Funktion für die Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff ersetzt.

Stellen Sie vor dem Aktivieren der Anmeldehäufigkeit sicher, dass andere Einstellungen für die erneute Authentifizierung in Ihrem Mandanten deaktiviert sind. Wenn „MFA auf vertrauenswürdigen Geräten speichern“ aktiviert ist, deaktivieren Sie diese Option vor dem Verwenden der Anmeldehäufigkeit, da die Verwendung dieser beiden Einstellungen dazu führen kann, dass Benutzer unerwartet aufgefordert werden. Weitere Informationen zu Eingabeaufforderungen für die erneute Authentifizierung und zur Sitzungslebensdauer finden Sie im Artikel Optimieren von Aufforderungen für die erneute Authentifizierung und Grundlegendes zur Sitzungslebensdauer für Microsoft Entra ID Multifactor Authentication.

Richtlinienbereitstellung

Um die erwartete Funktionsweise der Richtlinie sicherzustellen, empfiehlt es sich, sie zu testen, bevor Sie sie in der Produktionsumgebung verwenden. Idealerweise sollten Sie in einem Testmandanten überprüfen, ob die neue Richtlinie wie erwartet funktioniert. Weitere Informationen finden Sie im Artikel Planen einer Bereitstellung für bedingten Zugriff.

Richtlinie 1: Steuerung der Anmeldehäufigkeit

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  5. Wählen Sie alle erforderlichen Bedingungen für die Kundenumgebung aus, einschließlich der Cloud-Apps, die als Ziel dienen.

    Hinweis

    Es wird empfohlen, für Authentifizierungsaufforderungen bei wichtigen Microsoft Office-Apps wie Exchange Online und SharePoint Online dieselbe Häufigkeit festzulegen, um eine optimale Benutzererfahrung zu gewährleisten.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie die Anmeldehäufigkeit .
      1. Wählen Sie Regelmäßige Neuauthentifizierung aus, geben Sie Stunden oder Tagen als Wert ein, oder wählen Sie Jedes Mal aus.

    Screenshot einer Richtlinie für bedingten Zugriff, die für die Anmeldehäufigkeit konfiguriert ist.

  7. Speichern Sie die Richtlinie.

Richtlinie 2: Persistente Browsersitzung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  5. Wählen Sie alle erforderlichen Bedingungen aus.

    Hinweis

    Bei diesem Steuerelement muss „Alle Cloud-Apps“ als Bedingung ausgewählt werden. Die Browsersitzungspersistenz wird durch das Token der Authentifizierungssitzung gesteuert. Da alle Registerkarten in einer Browsersitzung über dasselbe Sitzungstoken verfügen, müssen sie alle denselben Persistenzzustand aufweisen.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie persistente Browsersitzung.

      Hinweis

      Die Konfiguration der dauerhaften Browsersitzung in Microsoft Entra Conditional Access überschreibt die Einstellung „Angemeldet bleiben?“ im Bereich für das Unternehmensbranding für denselben Benutzenden, wenn Sie beide Richtlinien konfiguriert haben.

    2. Wählen Sie einen Wert aus der Dropdownliste aus.

  7. Speichern Sie die Richtlinie.

Richtlinie 3: Steuerelement der Anmeldehäufigkeit bei jedem riskanten Benutzer

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertig aus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Ressourcen (ehemals „Alle Cloud-Apps“) aus.
  7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Ja fest.
    1. Wählen Sie unter Hiermit konfigurieren Sie die Benutzerrisikostufen, die für die Erzwingung der Richtlinie erforderlich sind die Option Hoch aus. Dieser Leitfaden basiert auf Microsoft-Empfehlungen. Die Ausführung weicht je nach Organisation möglicherweise ab.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Authentifizierungsstärke erforderlich und dann in der Liste die integrierte Authentifizierungsstärke Multi-Faktor-Authentifizierung aus.
    2. Wählen Sie Kennwortänderung erforderlich aus.
    3. Wählen Sie Auswählen.
  9. Unter Sitzung.
    1. Wählen Sie die Anmeldehäufigkeit .
    2. Vergewissern Sie sich, dass Jedes Mal ausgewählt ist.
    3. Wählen Sie Auswählen.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mit dem Nur Bericht-Modus bestätigt haben, kann ein Administrator den Schalter Richtlinie aktivieren von Nur Bericht auf Ein setzen.

Überprüfen

Verwenden Sie das What If-Tool, um eine Anmeldung des Benutzers bei der Zielanwendung und weitere Bedingungen zu simulieren, die sich nach der Konfiguration Ihrer Richtlinie richten. Die Steuerungen für die Verwaltung von Authentifizierungssitzungen werden in den Ergebnissen des Tools angezeigt.

Aufforderungstoleranz

Wir berücksichtigen eine Zeitverschiebung von fünf Minuten, wenn jedes Mal in der Richtlinie ausgewählt wird, damit Benutzer und Benutzerinnen nicht häufiger als alle fünf Minuten zu einer Eingabe aufgefordert werden. Wenn der Benutzer oder die Benutzerin die MFA in den letzten 5 Minuten ausgeführt hat und auf eine andere Richtlinie für bedingten Zugriff trifft, die eine erneute Authentifizierung erfordert, wird er bzw. sie nicht zu einer Eingabe aufgefordert. Wenn Benutzer zu häufig aufgefordert werden, sich erneut zu authentifizieren, kann sich dies auf ihre Produktivität auswirken und das Risiko erhöhen, dass Benutzer MFA-Anforderungen genehmigen, die sie nicht initiiert haben. Verwenden Sie "Anmeldehäufigkeit – jedes Mal" nur für bestimmte geschäftliche Zwecke.

Bekannte Probleme

  • Wenn Sie die Anmeldehäufigkeit bei mobilen Geräten konfigurieren, kann die Authentifizierung nach jedem Intervall für die Anmeldehäufigkeit länger dauern (durchschnittlich etwa 30 Sekunden). Außerdem kann dies über verschiedene Apps gleichzeitig geschehen.
  • Bei iOS-Geräten: Wenn in einer App Zertifikate als erster Authentifizierungsfaktor konfiguriert wurden und für die App sowohl Richtlinien für die Anmeldehäufigkeit als auch für die Verwaltung mobiler Anwendungen in Intune gelten, werden Endbenutzer beim Anmelden in der App gesperrt, wenn die Richtlinie ausgelöst wird.

Nächste Schritte