Omautentiseringsprompter och sessionslivslängd för Microsoft Entra multifaktorautentisering
Microsoft Entra-ID har flera inställningar som avgör hur ofta användarna behöver autentisera på nytt. Den här omautentiseringen kan bara omfatta en första faktor, till exempel lösenord, Fast IDentity Online (FIDO) eller lösenordslös Microsoft Authenticator. Eller så kan det kräva multifaktorautentisering (MFA). Du kan konfigurera de här autentiseringsinställningarna efter behov för din egen miljö och den användarupplevelse som du vill använda.
Microsoft Entra ID-standardkonfigurationen för användarinloggningsfrekvens är ett rullande fönster på 90 dagar. Att be användarna om autentiseringsuppgifter verkar ofta vara en förnuftig sak att göra, men det kan slå tillbaka. Om användarna tränas att ange sina autentiseringsuppgifter utan att tänka kan de oavsiktligt skicka dem till en fråga om skadliga autentiseringsuppgifter.
Det kan låta alarmerande att inte be en användare att logga in igen. Men alla överträdelser av IT-principer återkallar sessionen. Några exempel är en lösenordsändring, en inkompatibel enhet eller en åtgärd för att inaktivera ett konto. Du kan också uttryckligen återkalla användarnas sessioner med hjälp av Microsoft Graph PowerShell.
Den här artikeln beskriver rekommenderade konfigurationer och hur olika inställningar fungerar och interagerar med varandra.
Rekommenderade inställningar
För att ge användarna rätt balans mellan säkerhet och användarvänlighet genom att be dem logga in med rätt frekvens rekommenderar vi följande konfigurationer:
- Om du har Microsoft Entra ID P1 eller P2:
- Aktivera enkel inloggning (SSO) mellan program med hjälp av hanterade enheter eller sömlös enkel inloggning.
- Om omautentisering krävs använder du en inloggningsfrekvensprincip för villkorsstyrd åtkomst i Microsoft Entra.
- För användare som loggar in från ohanterade enheter eller för scenarier med mobila enheter är beständiga webbläsarsessioner kanske inte att föredra. Eller så kan du använda villkorsstyrd åtkomst för att aktivera beständiga webbläsarsessioner med principen för inloggningsfrekvens . Begränsa varaktigheten till en lämplig tid baserat på inloggningsrisken, där en användare med mindre risk har en längre sessionsvaraktighet.
- Om du har en Microsoft 365-applikationer licens eller en kostnadsfri licens för Microsoft Entra-ID:
- Aktivera enkel inloggning mellan program med hjälp av hanterade enheter eller sömlös enkel inloggning.
- Behåll alternativet Visa för att förbli aktiverat och vägleda användarna att acceptera Att vara inloggade? vid inloggningen.
- För scenarier med mobila enheter kontrollerar du att användarna använder Microsoft Authenticator-appen. Den här appen är en asynkron meddelandekö till andra Federerade Microsoft Entra-ID-appar och minskar autentiseringsanvisningarna på enheten.
Vår forskning visar att de här inställningarna är rätt för de flesta klienter. Vissa kombinationer av de här inställningarna, till exempel Kom ihåg multifaktorautentisering och Alternativet Visa för att förbli inloggade, kan resultera i uppmaningar till användarna att autentisera för ofta. Regelbundna omautentiseringsprompter är dåliga för användarnas produktivitet och kan göra användarna mer sårbara för attacker.
Konfigurera inställningar för Microsoft Entra-sessionslivslängd
Om du vill optimera frekvensen för autentiseringsprompter för dina användare kan du konfigurera inställningar för Microsoft Entra-sessionens livslängd. Förstå behoven hos ditt företag och dina användare och konfigurera inställningar som ger den bästa balansen för din miljö.
Principer för sessionslivslängd
Utan några inställningar för sessionslivslängd har webbläsarsessionen inga beständiga cookies. Varje gång användarna stänger och öppnar webbläsaren får de en uppmaning om omautentisering. I Office-klienter är standardperioden ett rullande fönster på 90 dagar. Om användaren återställer lösenordet eller sessionen är inaktiv i mer än 90 dagar med den här office-standardkonfigurationen måste användaren autentisera igen med de första och andra faktorerna som krävs.
En användare kan se flera MFA-frågor på en enhet som inte har någon identitet i Microsoft Entra-ID. Flera frågor resulterar när varje program har en egen OAuth-uppdateringstoken som inte delas med andra klientappar. I det här scenariot uppmanar MFA flera gånger när varje program begär att en OAuth-uppdateringstoken verifieras med MFA.
I Microsoft Entra-ID avgör den mest restriktiva principen för sessionslivslängd när användaren behöver autentisera igen. Tänk dig ett scenario där du aktiverar båda dessa inställningar:
- Visa alternativet för att förbli inloggad, som använder en beständig webbläsarcookie
- Kom ihåg multifaktorautentisering med värdet 14 dagar
I det här exemplet måste användaren autentisera igen var 14:e dag. Det här beteendet följer den mest restriktiva principen, även om alternativet Visa för att förbli inloggad av sig själv inte kräver att användaren autentiserar igen i webbläsaren.
Hanterade enheter
Enheter som är anslutna till Microsoft Entra-ID via Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning får en primär uppdateringstoken (PRT) för att använda enkel inloggning mellan program.
Med den här PRT:n kan en användare logga in en gång på enheten och göra det möjligt för IT-personalen att se till att enheten uppfyller standarder för säkerhet och efterlevnad. Om du behöver be en användare att logga in oftare på en ansluten enhet för vissa appar eller scenarier kan du använda principen för inloggningsfrekvens för villkorsstyrd åtkomst.
Alternativ för att förbli inloggad
När en användare väljer Ja på alternativet Håll dig inloggad? fråga under inloggningen, anger valet en beständig cookie i webbläsaren. Den här beständiga cookien kommer ihåg både första och andra faktorer, och den gäller endast för autentiseringsbegäranden i webbläsaren.
Om du har en Microsoft Entra ID P1- eller P2-licens rekommenderar vi att du använder en princip för villkorsstyrd åtkomst för beständiga webbläsarsessioner. Den här principen skriver över alternativet Visa för att förbli inloggad och ger en förbättrad användarupplevelse. Om du inte har någon Microsoft Entra ID P1- eller P2-licens rekommenderar vi att du aktiverar alternativet Visa för att förbli inloggad för dina användare.
Mer information om hur du konfigurerar alternativet för att låta användare förbli inloggade finns i Hantera uppmaningen "Håll dig inloggad?".
Alternativ för att komma ihåg multifaktorautentisering
Med inställningen Kom ihåg multifaktorautentisering kan du konfigurera ett värde på 1 till 365 dagar. Den anger en beständig cookie i webbläsaren när en användare väljer alternativet Fråga inte igen för X-dagar vid inloggning.
Även om den här inställningen minskar antalet autentiseringar i webbappar ökar antalet autentiseringar för moderna autentiseringsklienter, till exempel Office-klienter. Dessa klienter uppmanar normalt endast efter lösenordsåterställning eller inaktivitet på 90 dagar. Om du ställer in det här värdet på mindre än 90 dagar förkortas dock standard-MFA-prompterna för Office-klienter och ökar autentiseringsfrekvensen. När du använder den här inställningen i kombination med alternativet Visa för att förbli inloggad eller principer för villkorsstyrd åtkomst kan det öka antalet autentiseringsbegäranden.
Om du använder Kom ihåg multifaktorautentisering och har en Microsoft Entra ID P1- eller P2-licens kan du överväga att migrera inställningarna till inloggningsfrekvens för villkorsstyrd åtkomst. Annars bör du överväga att använda alternativet Visa för att förbli inloggad i stället.
Mer information finns i Kom ihåg multifaktorautentisering.
Hantering av autentiseringssessioner med villkorsstyrd åtkomst
Administratören kan använda principen för inloggningsfrekvens för att välja en inloggningsfrekvens som gäller för både första och andra faktorn i både klient och webbläsare. Vi rekommenderar att du använder de här inställningarna, tillsammans med hanterade enheter, i scenarier där du behöver begränsa autentiseringssessioner. Du kan till exempel behöva begränsa en autentiseringssession för kritiska affärsprogram.
Med beständiga webbläsarsessioner kan användare förbli inloggade när de har stängt och öppnat webbläsarfönstret igen. Precis som alternativet Visa för att förbli inloggad anger den en beständig cookie i webbläsaren. Men eftersom administratören konfigurerar det kräver det inte att användaren väljer Ja i alternativet Förblir inloggad? På så sätt ger det en bättre användarupplevelse. Om du använder alternativet Visa för att förbli inloggad rekommenderar vi att du aktiverar principen för beständiga webbläsarsessioner i stället.
Mer information finns i Konfigurera principer för anpassningsbar sessionslivslängd.
Konfigurerbara tokenlivslängder
Med inställningen Konfigurerbar tokenlivslängd kan du konfigurera en livslängd för en token som har problem med Microsoft Entra-ID. Autentiseringssessionshantering med villkorlig åtkomst ersätter den här principen. Om du använder Konfigurerbara tokenlivslängder nu rekommenderar vi att du startar migreringen till principerna för villkorsstyrd åtkomst.
Granska klientkonfigurationen
Nu när du förstår hur olika inställningar fungerar och den rekommenderade konfigurationen är det dags att kontrollera dina klienter. Du kan börja med att titta på inloggningsloggarna för att förstå vilka principer för sessionslivslängd som tillämpades under inloggningen.
Under varje inloggningslogg går du till fliken Autentiseringsinformation och utforskar tillämpade policyer för sessionslivslängd. Mer information finns i Läs mer om inloggningsloggens aktivitetsinformation.
Så här konfigurerar eller granskar du alternativet Visa för att förbli inloggad :
- Logga in på administrationscentret för Microsoft Entra som global administratör.
- Bläddra till Identity>Company Branding. Välj sedan Alternativet Visa för att förbli inloggad för varje språkvariant.
- Välj Ja och välj sedan Spara.
Så här kommer du ihåg inställningarna för multifaktorautentisering på betrodda enheter:
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till Skydd>Multifactor-autentisering.
- Under Konfigurera väljer du Ytterligare molnbaserade MFA-inställningar.
- I fönstret Inställningar för multifaktorautentiseringstjänsten rullar du till Kom ihåg inställningar för multifaktorautentisering och markerar kryssrutan.
Så här konfigurerar du principer för villkorlig åtkomst för inloggningsfrekvens och beständiga webbläsarsessioner:
- Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
- Bläddra till Villkorlig åtkomst för skydd>.
- Konfigurera en princip med hjälp av de alternativ för sessionshantering som rekommenderas i den här artikeln.
Om du vill granska tokens livslängd använder du Microsoft Graph PowerShell för att köra frågor mot alla Microsoft Entra-principer. Inaktivera alla principer som du har på plats.
Om fler än en inställning är aktiverad i klientorganisationen rekommenderar vi att du uppdaterar inställningarna baserat på den licensiering som är tillgänglig för dig. Om du till exempel har en Microsoft Entra ID P1- eller P2-licens bör du endast använda principerna för villkorsstyrd åtkomst för inloggningsfrekvens och beständiga webbläsarsessioner. Om du har en Microsoft 365-applikationer licens eller en kostnadsfri licens för Microsoft Entra-ID bör du använda alternativet Visa för att förbli inloggad konfiguration.
Om du har aktiverat konfigurerbara tokenlivslängder bör du tänka på att den här funktionen snart kommer att tas bort. Planera en migrering till en princip för villkorsstyrd åtkomst.
I följande tabell sammanfattas rekommendationerna baserat på licenser:
| Kategori | Microsoft 365-applikationer eller Microsoft Entra-ID kostnadsfritt | Microsoft Entra ID P1 eller P2 |
|---|---|---|
| Enkel inloggning | Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning eller sömlös enkel inloggning för ohanterade enheter | Microsoft Entra-anslutning eller Microsoft Entra-hybridanslutning |
| Inställningar för omautentisering | Visa alternativet för att förbli inloggad | Principer för villkorlig åtkomst för inloggningsfrekvens och beständiga webbläsarsessioner |