Delen via

Beleid voor levensduur van adaptieve sessies configureren

  • Artikel

Waarschuwing

Als u de functie voor configureerbare levensduur van tokens gebruikt (momenteel beschikbaar in openbare preview), wordt het maken van twee verschillende beleidsregels voor dezelfde combinatie van gebruiker of app niet ondersteund: een met deze functie en een andere met een functie voor de configureerbare levensduur van tokens. Microsoft heeft de functie voor configureerbare levensduur van tokens voor vernieuwen en de levensduur van sessietokens op 30 januari 2021 buiten gebruik gesteld en vervangen door de functie voor beheer van voorwaardelijke toegang voor verificatiesessies.

Voordat u 'Aanmeldingsfrequentie' inschakelt, moet u ervoor zorgen dat andere instellingen voor nieuwe verificatie zijn uitgeschakeld in uw tenant. Als 'MFA onthouden op vertrouwde apparaten' is ingeschakeld, moet u dit uitschakelen voordat u 'Aanmeldingsfrequentie' gebruikt. Als u deze twee instellingen samen gebruikt, kan dit ertoe leiden dat gebruikers onverwacht een prompt krijgen te zien. Voor meer informatie over reauthenticatieprompts en de levensduur van sessies, raadpleegt u het artikel Optimaliseer reauthenticatieprompts en begrijp de levensduur van sessies voor Microsoft Entra multifactorverificatie.

Beleidsimplementatie

Om ervoor te zorgen dat uw beleid werkt zoals verwacht, is de aanbevolen best practice om het te testen voordat het in productie wordt geïmplementeerd. Gebruik idealiter een testtenant om te controleren of uw nieuwe beleid werkt zoals bedoeld. Zie het artikel Een implementatie van voorwaardelijke toegang plannen voor meer informatie.

Beleid 1: Beheer van aanmeldingsfrequentie

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.

  2. Blader naar Beveiliging>Voorwaardelijke toegang>Beleidsregels.

  3. Selecteer Nieuw beleid.

  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.

  5. Kies alle vereiste voorwaarden voor de omgeving van de klant, inclusief de doelcloud-apps.

    Notitie

    Voor de beste gebruikerservaring wordt het aanbevolen om voor belangrijke Microsoft Office-apps, zoals Exchange Online en SharePoint Online, dezelfde verificatiepromptfrequentie in te stellen.

  6. Onder Toegangsbeheer>Sessie.

    1. Selecteer Aanmeldingsfrequentie.
      1. Kies Periodieke verificatie en voer een waarde in van uren of dagen of selecteer Elke keer.

    Schermopname van een beleid voor voorwaardelijke toegang dat is geconfigureerd voor de aanmeldingsfrequentie.

  7. Sla het beleid op.

Beleid 2: Permanente browsersessie

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.

  2. Blader naar Beveiliging>Voorwaardelijke toegang>Beleidsregels.

  3. Selecteer Nieuw beleid.

  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.

  5. Kies alle vereiste voorwaarden.

    Notitie

    Voor deze controle moet u "Alle cloud-apps" als voorwaarde kiezen. Persistentie van browsersessies wordt beheerd door het verificatiesessietoken. Alle tabbladen in een browsersessie delen één sessietoken en moeten daarom allemaal de persistentiestatus delen.

  6. Onder Toegangsbeheer>Sessie.

    1. Selecteer Permanente browsersessie.

      Notitie

      In Microsoft Entra overschrijft de Persistent Browser Sesie-configuratie binnen Voorwaardelijke Toegang de instelling "Aangemeld blijven?" in het bedrijfsmerkpaneel voor dezelfde gebruiker als beide beleidsregels zijn geconfigureerd.

    2. Selecteer een waarde in de vervolgkeuzelijst.

  7. Sla het beleid op.

Beleid 3: Controleer aanmeldingsfrequentie elke keer dat er een riskante gebruiker is.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheerder voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer bij Uitsluiten de optie Gebruikers en groepen en kies de noodtoegangs- of break-glass-accounts van uw organisatie.
    3. Selecteer Klaar.
  6. Selecteer onder Doelresources>OpnemenAlle resources (voorheen 'Alle cloud-apps').
  7. Stel bij Voorwaarden>GebruikersrisicoConfigureren in op Ja.
    1. Selecteer onder Niveaus van gebruikersrisico's configureren die nodig zijn om beleid af te dwingen de optie Hoog. Deze richtlijnen zijn gebaseerd op Microsoft-aanbevelingen en kunnen voor elke organisatie verschillen
    2. Selecteer Gereed.
  8. Selecteer onder Toegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer de optie Verificatiesterkte vereisen en selecteer vervolgens de ingebouwde Multifactorauthenticatie in de lijst.
    2. Selecteer Wachtwoordwijziging vereisen.
    3. Selecteer Selecteren.
  9. Onder Sessie.
    1. Selecteer Aanmeldingsfrequentie.
    2. Zorg ervoor dat elke keer wordt geselecteerd.
    3. Selecteer Selecteren.
  10. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  11. Selecteer Maken om uw beleid te kunnen creëren en in te schakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen rapporteren, kunnen ze de wisselknop Beleid inschakelen van Alleen rapporteren wijzigen in Aan.

Validatie

Gebruik het hulpprogramma What If om een aanmelding van de gebruiker naar de doeltoepassing en andere voorwaarden te simuleren op basis van hoe u uw beleid hebt geconfigureerd. De besturingselementen voor verificatiesessiebeheer worden weergegeven in de resultaten van het hulpprogramma.

Prompttolerantie

We houden rekening met vijf minuten tijdsafwijking wanneer elke keer in het beleid wordt geselecteerd, zodat we gebruikers niet vaker dan één keer om de vijf minuten vragen. Als de gebruiker MFA in de afgelopen 5 minuten heeft voltooid en een ander beleid voor voorwaardelijke toegang tegenkomt waarvoor opnieuw verificatie is vereist, vragen we de gebruiker niet opnieuw om zich te verifiëren. Het overvragen van gebruikers om opnieuw te verifiëren kan van invloed zijn op hun productiviteit en het risico verhogen dat gebruikers MFA-aanvragen goedkeuren die ze niet hebben gestart. Gebruik 'Aanmeldingsfrequentie - elke keer' alleen voor specifieke zakelijke behoeften.

Bekende problemen

  • Als u de aanmeldingsfrequentie voor mobiele apparaten configureert: Verificatie na elk interval voor aanmeldingsfrequentie kan traag zijn, het kan gemiddeld 30 seconden duren. Het kan ook in verschillende apps tegelijk gebeuren.
  • Op iOS-apparaten: als een app certificaten configureert als de eerste verificatiefactor en de app zowel de aanmeldingsfrequentie als het Intune Mobile Application Management-beleid heeft toegepast, kunnen eindgebruikers zich niet aanmelden bij de app wanneer het beleid wordt geactiveerd.
  • Microsoft Entra Private Access biedt nog geen ondersteuning voor het instellen van de aanmeldingsfrequentie op elke keer.

Volgende stappen