Freigeben über

Konfigurieren von Richtlinien für die adaptive Sitzungslebensdauer

Warnung

Wenn Sie die Funktion für die konfigurierbare Token-Lebensdauer verwenden, die sich derzeit in der öffentlichen Vorschau befindet, unterstützen wir nicht das Erstellen von zwei unterschiedlichen Richtlinien für dieselbe Benutzer- oder App-Kombination: eine mit dieser Funktion und eine andere mit der konfigurierbaren Token-Lebensdauer-Funktion. Microsoft hat die konfigurierbare Funktion zur Tokenlebensdauer für Aktualisierungs- und Sitzungstoken am 30. Januar 2021 eingestellt und sie durch das Feature zur Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff ersetzt.

Stellen Sie vor dem Konfigurieren des Anmeldeintervalls sicher, dass andere Einstellungen für die erneute Authentifizierung in Ihrem Mandanten deaktiviert sind. Wenn "MFA auf vertrauenswürdigen Geräten speichern" aktiviert ist, deaktivieren Sie sie, bevor Sie die Anmeldehäufigkeit verwenden, da die Verwendung dieser beiden Einstellungen die Benutzer unerwartet dazu auffordert. Um mehr über Aufforderungen zur erneuten Authentifizierung und die Sitzungsdauer zu erfahren, lesen Sie den Artikel Optimize reauthentication prompts and understand session lifetime for Microsoft Entra multifactor authentication.

Richtlinienbereitstellung

Um sicherzustellen, dass Ihre Richtlinie erwartungsgemäß funktioniert, testen Sie sie, bevor Sie sie in die Produktion einführen. Verwenden Sie einen Testkonto, um zu überprüfen, ob Ihre neue Policy wie vorgesehen funktioniert. Weitere Informationen finden Sie im Artikel Planen einer Bereitstellung für bedingten Zugriff.

Richtlinie 1: Steuerung der Anmeldehäufigkeit

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Conditional Access Administrator an.

  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Erstellen Sie einen aussagekräftigen Standard für Benennungsrichtlinien.

  5. Wählen Sie alle erforderlichen Bedingungen für die Kundenumgebung aus, einschließlich der Cloud-Apps, die als Ziel dienen.

    Hinweis

    Es wird empfohlen, die gleiche Authentifizierungsaufforderungshäufigkeit für Schlüssel-Microsoft 365-Apps wie Exchange Online und SharePoint Online festzulegen, um eine optimale Benutzererfahrung zu erzielen.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie die Anmeldehäufigkeit .
      1. Wählen Sie Regelmäßige Neuauthentifizierung aus, geben Sie Stunden oder Tagen als Wert ein, oder wählen Sie Jedes Mal aus.

    Screenshot einer Richtlinie für bedingten Zugriff, die für die Anmeldehäufigkeit konfiguriert ist.

  7. Speichern Sie die Richtlinie.

Richtlinie 2: Persistente Browsersitzung

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Conditional Access Administrator an.

  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  5. Wählen Sie alle erforderlichen Bedingungen aus.

    Hinweis

    Dieses Steuerelement erfordert die Auswahl von "Alle Cloud-Apps" als Bedingung. Die Browsersitzungspersistenz wird durch das Token der Authentifizierungssitzung gesteuert. Da alle Registerkarten in einer Browsersitzung über dasselbe Sitzungstoken verfügen, müssen sie alle denselben Persistenzzustand aufweisen.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie persistente Browsersitzung.

      Hinweis

      Die Konfiguration der dauerhaften Browsersitzung in Microsoft Entra Bedingter Zugriff überschreibt die Einstellung "Angemeldet bleiben?" im Bereich für Unternehmensbranding für denselben Benutzer, wenn beide Richtlinien konfiguriert sind.

    2. Wählen Sie einen Wert aus der Dropdownliste aus.

  7. Speichern Sie die Richtlinie.

Hinweis

Einstellungen für die Sitzungsdauer, einschließlich Anmeldehäufigkeit und beständiger Browsersitzungen, bestimmen, wie oft Benutzer erneut authentifizieren müssen und ob Sitzungen über Browserneustarts beibehalten werden. Kürzere Lebensdauer verbessern die Sicherheit für apps mit hohem Risiko, während längere Benutzerfreundlichkeit für vertrauenswürdige oder verwaltete Geräte verbessern.

Richtlinie 3: Steuerung der Anmeldehäufigkeit bei gefährdeten Benutzern

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Conditional Access Administrator an.
  2. Navigieren Sie zu Entra ID>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihres Unternehmens aus.
    3. Wählen Sie Fertig aus.
  6. Wählen Sie unterZielressourcen>Einschließen die Option Alle Ressourcen (ehemals „Alle Cloud-Apps“) aus.
  7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Ja fest.
    1. Wählen Sie unter Hiermit konfigurieren Sie die Benutzerrisikostufen, die für die Erzwingung der Richtlinie erforderlich sind die Option Hoch aus. Dieser Leitfaden basiert auf Microsoft-Empfehlungen. Die Ausführung weicht je nach Organisation möglicherweise ab.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Zugriff gewähren die Option Zugriff gewähren aus.
    1. Wählen Sie Authentifizierungsstärke erforderlich und dann in der Liste die integrierte Authentifizierungsstärke Multi-Faktor-Authentifizierung aus.
    2. Wählen Sie Kennwortänderung erforderlich aus.
    3. Wählen Sie Auswählen.
  9. Unter Session.
    1. Wählen Sie die Anmeldehäufigkeit .
    2. Vergewissern Sie sich, dass Jedes Mal ausgewählt ist.
    3. Wählen Sie Auswählen.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen im Nur-Bericht-Modus bestätigt haben, verschieben Sie den Umschalter Richtlinie aktivieren von Nur-Bericht auf Ein.

Überprüfen

Verwenden Sie das Tool What If , um eine Anmeldung bei der Zielanwendung und anderen Bedingungen basierend auf Ihrer Richtlinienkonfiguration zu simulieren. Die Steuerungen für die Verwaltung von Authentifizierungssitzungen werden in den Ergebnissen des Tools angezeigt.

Aufforderungstoleranz

Wir berücksichtigen fünf Minuten Uhrzeitabweichung, wenn jedes Mal in der Richtlinie ausgewählt wird, sodass Benutzer nicht häufiger als einmal alle fünf Minuten aufgefordert werden. Wenn der Benutzer MFA in den letzten 5 Minuten abgeschlossen hat und auf eine andere Richtlinie für bedingten Zugriff stößt, die eine erneute Authentifizierung erfordert, wird der Benutzer nicht aufgefordert. Wenn Benutzer zu häufig zur erneuten Authentifizierung aufgefordert werden, kann sich dies auf ihre Produktivität auswirken und das Risiko erhöhen, dass Benutzer MFA-Anforderungen genehmigen, die sie nicht initiiert haben. Verwenden Sie "Anmeldehäufigkeit – immer" nur, wenn bestimmte Geschäftliche Anforderungen erforderlich sind.

Bekannte Probleme

  • Wenn Sie die Anmeldehäufigkeit für mobile Geräte konfigurieren: Die Authentifizierung nach jedem Anmeldehäufigkeitsintervall kann langsam sein und kann durchschnittlich 30 Sekunden dauern. Dieses Problem kann auch in verschiedenen Apps gleichzeitig auftreten.
  • Auf iOS-Geräten: Wenn eine App Zertifikate als ersten Authentifizierungsfaktor konfiguriert und sowohl Anmeldehäufigkeit als auch Intune-Richtlinien für die mobile Anwendungsverwaltung angewendet hat, werden Benutzer daran gehindert, sich bei der App anzumelden, wenn die Richtlinie ausgelöst wird.
  • Microsoft Entra Private Access unterstützt das Festlegen der Anmeldehäufigkeit nicht jedes Mal.

Nächste Schritte

  • Last updated on