Levensduur van adaptieve sessie voor voorwaardelijke toegang

In complexe implementaties kan het zijn dat organisaties mogelijk verificatiesessies moeten beperken. Enkele scenario's kunnen zijn:

• Toegang tot resources vanaf een niet-beheerd of gedeeld apparaat
• Toegang tot gevoelige informatie vanuit een extern netwerk
• Invloedrijke gebruikers
• Kritieke bedrijfstoepassingen

Conditional Access biedt adaptieve sessieduur beleidscontroles waarmee u beleidsregels kunt opstellen voor specifieke gebruiksscenario's binnen uw organisatie zonder invloed op alle gebruikers te hebben.

Voordat u meer informatie krijgt over het configureren van het beleid, gaan we de standaardconfiguratie bekijken.

Aanmeldingsfrequentie van gebruikers

Met aanmeldingsfrequentie wordt de periode gedefinieerd voordat een gebruiker wordt gevraagd zich opnieuw aan te melden wanneer hij of zij toegang probeert te krijgen tot een resource.

De standaardconfiguratie van Microsoft Entra ID voor de aanmeldingsfrequentie van gebruikers is een voortschrijdend venster van 90 dagen. Gebruikers vragen om referenties lijkt vaak verstandig, maar het kan een averechts effect hebben: gebruikers die het gewend zijn hun referenties in te voeren zonder na te denken, kunnen ze onbedoeld aan een kwaadwillende referentieprompt verstrekken.

Het klinkt misschien zorgwekkend om een gebruiker niet te vragen om zich opnieuw aan te melden, maar met een schending van IT-beleid wordt de sessie ingetrokken. Enkele voorbeelden omvatten (maar zijn niet beperkt tot) een wachtwoordwijziging, een niet-compatibel apparaat of een accountuitschakeling. U kunt de sessies van gebruikers ook expliciet intrekken met Behulp van Microsoft Graph PowerShell. De standaardconfiguratie van Microsoft Entra ID komt erop neer "gebruikers niet te vragen om hun inloggegevens op te geven als de beveiligingsstatus van hun sessies niet is gewijzigd."

De instelling voor aanmeldingsfrequentie werkt met apps die OAuth2- of OIDC-protocollen implementeren volgens de standaarden. De meeste systeemeigen Microsoft-apps voor Windows, Mac en mobiel, waaronder de volgende webtoepassingen, voldoen aan de instelling.

• Word, Excel, PowerPoint Online
• OneNote Online
• Office.com
• Microsoft 365-beheerportal
• Exchange Online
• SharePoint en OneDrive
• Teams-webclient
• Dynamics CRM Online
• Azure Portal

Aanmeldingsfrequentie (SIF) werkt met SAML-toepassingen en -apps van derden die OAuth2- of OIDC-protocollen implementeren, zolang ze hun eigen cookies niet verwijderen en regelmatig worden omgeleid naar Microsoft Entra-id voor verificatie.

Aanmeldingsfrequentie van gebruikers en meervoudige verificatie

Aanmeldingsfrequentie werd eerder alleen toegepast op de eerste factor authenticatie op apparaten die Microsoft Entra-lid waren, Microsoft Entra hybride verbonden waren en Microsoft Entra geregistreerd waren. Er is geen eenvoudige manier voor onze klanten om meervoudige verificatie op deze apparaten opnieuw af te dwingen. Op basis van feedback van klanten is ook de aanmeldingsfrequentie van toepassing op MFA.

Een diagram dat laat zien hoe de aanmeldingsfrequentie en MFA samenwerken.

Aanmeldingsfrequentie van gebruikers en apparaat-id's

Op apparaten die zijn gekoppeld aan Microsoft Entra en Microsoft Entra hybride apparaten, zorgt het ontgrendelen van het apparaat of interactief aanmelden ervoor dat het primaire verversingstoken (PRT) elke 4 uur wordt ververst. De laatste vernieuwingstijdstempel die is vastgelegd voor de PRT in vergelijking met de huidige tijdstempel, moet binnen de tijd vallen die is toegewezen aan het SIF-beleid voor de PRT om te voldoen aan SIF en toegang te verlenen tot een PRT met een bestaande MFA-claim. Op geregistreerde Microsoft Entra-apparaten voldoet ontgrendelen/aanmelden niet aan het SIF-beleid omdat de gebruiker geen toegang heeft tot een door Microsoft Entra geregistreerd apparaat via een Microsoft Entra-account. De Microsoft Entra WAM-invoegtoepassing kan echter een PRT vernieuwen tijdens systeemeigen toepassingsverificatie met behulp van WAM.

Notitie

De tijdstempel die is vastgelegd vanuit de gebruikersaanmelding, is niet noodzakelijkerwijs hetzelfde als de laatst geregistreerde tijdstempel van PRT-vernieuwing vanwege de vernieuwingscyclus van vier uur. Wanneer het geval hetzelfde is, is dat wanneer de PRT is verlopen en een gebruiker zich aanmeldt, waardoor deze voor 4 uur wordt vernieuwd. In de volgende voorbeelden wordt ervan uitgegaan dat het SIF-beleid is ingesteld op 1 uur en dat de PRT wordt vernieuwd om 00:00 uur.

Voorbeeld 1: Wanneer u gedurende een uur aan hetzelfde document in SPO blijft werken

• Om 00:00 uur meldt een gebruiker zich aan bij zijn Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint met het bewerken van een document dat is opgeslagen op SharePoint Online.
• De gebruiker blijft gedurende een uur aan hetzelfde document op het apparaat werken.
• Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd.

Voorbeeld 2: Wanneer u het werk onderbreekt terwijl er een achtergrondtaak in de browser wordt uitgevoerd, en u opnieuw interageert nadat de tijd van het SIF-beleid is verstreken.

• Om 00:00 uur meldt een gebruiker zich aan bij hun Microsoft Entra-verbonden apparaat met Windows 11 en begint een document te uploaden naar SharePoint Online.
• Om 00:10 uur krijgt de gebruiker een pauze om het apparaat te vergrendelen. Het uploaden op de achtergrond wordt voortgezet naar SharePoint Online.
• Om 02:45 keert de gebruiker terug van de onderbreking en ontgrendelt het apparaat. Het uploaden op de achtergrond toont voltooiing.
• Om 02:45 wordt de gebruiker gevraagd zich aan te melden wanneer deze opnieuw communiceert. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder sinds de laatste aanmelding om 00:00 uur.

Als de client-app (onder activiteitsdetails) een browser is, stellen we het afdwingen van de inlogfrequentie voor gebeurtenissen en beleid op achtergrondservices uit tot de volgende gebruikersinteractie. Bij vertrouwelijke clients wordt het afdwingen van de aanmeldingsfrequentie voor niet-interactieve aanmeldingen uitgesteld tot de volgende interactieve aanmelding.

Voorbeeld 3: Met een vernieuwingscyclus van vier uur van het primaire vernieuwingstoken na ontgrendeling.

Scenario 1 - Gebruiker keert terug binnen de cyclus

• Om 00:00 uur meldt een gebruiker zich aan bij een Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint te werken aan een document dat is opgeslagen op SharePoint Online.
• Om 00:30 uur staat de gebruiker op om even pauze te nemen en vergrendelt het apparaat.
• Om 00:45 uur komt de gebruiker terug van zijn/haar pauze en ontgrendelt het apparaat.
• Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder, 1 uur na de eerste aanmelding.

Scenario 2: gebruiker retourneert buiten de cyclus

• Om 00:00 uur meldt een gebruiker zich aan bij een Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint te werken aan een document dat is opgeslagen op SharePoint Online.
• Om 00:30 uur staat de gebruiker op om even pauze te nemen en vergrendelt het apparaat.
• Om 04:45 keert de gebruiker terug van de onderbreking en ontgrendelt het apparaat.
• Om 05:45 wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd. Het is nu 1 uur nadat de PRT is vernieuwd om 04:45 en meer dan 4 uur sinds de eerste aanmelding om 00:00 uur.

Vereis verificatie elke keer

Er zijn scenario's waarin klanten mogelijk een nieuwe verificatie willen vereisen, telkens wanneer een gebruiker specifieke acties uitvoert, zoals:

• Toegang tot gevoelige toepassingen.
• Het beveiligen van resources via VPN- of NaaS-providers (Network as a Service).
• Het beveiligen van bevoorrechte rolverheffing in PIM.
• Gebruikersaanmelding beveiligen bij Azure Virtual Desktop-machines.
• Bescherming van riskante gebruikers en riskante aanmeldingen die worden geïdentificeerd door Microsoft Entra ID Protection.
• Gevoelige gebruikersacties beveiligen, zoals Microsoft Intune-inschrijving.

De aanmeldingsfrequentie die is ingesteld op elke keer werkt het beste wanneer de resource logica heeft over wanneer een client een nieuw token moet ophalen. Zodra de sessie verloopt, leiden deze resources de gebruiker alleen nog naar Microsoft Entra terug.

Beheerders moeten het aantal toepassingen beperken waarbij ze een beleid afdwingen dat gebruikers zich elke keer opnieuw moeten verifiëren. We houden rekening met een afwijking van vijf minuten in de tijdinstellingen wanneer elke tijd in het beleid wordt geselecteerd, zodat we gebruikers niet vaker dan eens per vijf minuten lastigvallen. Het activeren van herauthenticatie kan te vaak de beveiligingsmoeilijkheid verhogen tot een punt dat gebruikers MFA-vermoeidheid ervaren en de deur openen voor phishingpogingen. Webtoepassingen bieden meestal een minder verstorende ervaring dan hun desktop-tegenhangers wanneer verificatie vereist is telkens wanneer deze is ingeschakeld.

• Voor toepassingen in de Microsoft 365-stack raden we u aan om de aanmeldingsfrequentie van gebruikers op basis van tijd te gebruiken voor een betere gebruikerservaring.
• Voor de Azure-portal en het Microsoft Entra-beheercentrum raden we aan om het aanmelden van gebruikers op basis van tijdsfrequentie te gebruiken of bij activering van PIM herauthenticatie te vereisen door middel van een authenticatiecontext, voor een betere gebruikerservaring.

Algemeen beschikbare ondersteunde scenario's:

• Vereisen dat gebruikers opnieuw worden geverifieerd tijdens Intune-apparaatinschrijving, ongeacht hun huidige MFA-status.
• Vereis dat riskante gebruikers opnieuw worden geverifieerd met de controleoptie Wachtwoordwijziging vereisen.
• Vereis dat gebruikers opnieuw worden geverifieerd voor riskante aanmeldingen met de machtigingscontrole Multifactorauthenticatie vereisen.

Met de openbare preview-mogelijkheden van februari 2024 kunnen beheerders verificatie vereisen met:

• Toepassingen met ingeschakelde SAML of OIDC
• Verificatiecontext
• Andere gebruikersacties

Wanneer beheerders elke keer selecteren, is volledige verificatie vereist wanneer de sessie wordt geëvalueerd.

De persistentie van browsesessies

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.

Met de standaard microsoft-entra-id voor persistentie van browsersessies kunnen gebruikers op persoonlijke apparaten kiezen of ze de sessie willen behouden door de prompt 'Aangemeld blijven?' weer te geven na een geslaagde verificatie. Als browserpersistentie is geconfigureerd in AD FS met behulp van de richtlijnen in het artikel AD FS-instellingen voor eenmalige aanmelding, voldoen we aan dat beleid en blijven we ook de Microsoft Entra-sessie behouden. U kunt ook configureren of gebruikers in uw tenant de prompt 'Aangemeld blijven?' zien door de juiste instelling te wijzigen in het deelvenster huisstijl van het bedrijf.

In permanente browsers blijven cookies opgeslagen op het apparaat van de gebruiker, zelfs nadat een gebruiker de browser heeft gesloten. Deze cookies kunnen toegang hebben tot Microsoft Entra-artefacten en deze artefacten kunnen worden gebruikt totdat het token verloopt, ongeacht het beleid voor voorwaardelijke toegang dat in de resourceomgeving is geplaatst. Tokencaching kan dus in strijd zijn met het gewenste beveiligingsbeleid voor verificatie. Hoewel het misschien handig lijkt om tokens op te slaan buiten de huidige sessie, kan dit een beveiligingsprobleem maken door onbevoegde toegang tot Microsoft Entra-artefacten toe te staan.

Besturingselementen voor verificatiesessies configureren

Voorwaardelijke toegang is een Microsoft Entra ID P1- of P2-mogelijkheid en vereist een Premium-licentie. Als u meer wilt weten over voorwaardelijke toegang, raadpleegt u Wat is voorwaardelijke toegang in Microsoft Entra ID?

Waarschuwing

Als u de functie voor configureerbare levensduur van tokens gebruikt (momenteel beschikbaar in openbare preview), wordt het maken van twee verschillende beleidsregels voor dezelfde combinatie van gebruiker of app niet ondersteund: een met deze functie en een andere met een functie voor de configureerbare levensduur van tokens. Microsoft heeft de functie voor configureerbare levensduur van tokens voor vernieuwen en de levensduur van sessietokens op 30 januari 2021 buiten gebruik gesteld en vervangen door de functie voor beheer van voorwaardelijke toegang voor verificatiesessies.

Voordat u 'Aanmeldingsfrequentie' inschakelt, moet u ervoor zorgen dat andere instellingen voor nieuwe verificatie zijn uitgeschakeld in uw tenant. Als 'MFA onthouden op vertrouwde apparaten' is ingeschakeld, moet u dit uitschakelen voordat u 'Aanmeldingsfrequentie' gebruikt. Als u deze twee instellingen samen gebruikt, kan dit ertoe leiden dat gebruikers onverwacht een prompt krijgen te zien. Voor meer informatie over reauthenticatieprompts en de levensduur van sessies, zie het artikel Optimaliseer reauthenticatieprompts en begrijp de sessieduur voor Microsoft Entra multifactorauthenticatie.

Volgende stappen

• Levensduur van sessies configureren in beleid voor voorwaardelijke toegang
• Zie het artikel Een implementatie van voorwaardelijke toegang plannen als u klaar bent om beleid voor voorwaardelijke toegang te configureren voor uw omgeving.