Beleid voor adaptieve sessieduur bij voorwaardelijke toegang

Met beleid voor de levensduur van adaptieve sessies voor voorwaardelijke toegang kunnen organisaties verificatiesessies in complexe implementaties beperken. Scenario's zijn onder andere:

• Toegang tot resources vanaf een niet-beheerd of gedeeld apparaat
• Toegang tot gevoelige informatie vanuit een extern netwerk
• Invloedrijke gebruikers
• Kritieke bedrijfstoepassingen

Voorwaardelijke toegang biedt besturingselementen voor beleid voor adaptieve sessielevensduur, zodat u beleidsregels kunt maken die zijn gericht op specifieke use cases binnen uw organisatie zonder dat dit van invloed is op alle gebruikers.

Bekijk de standaardconfiguratie voordat u het beleid configureert.

Aanmeldingsfrequentie van gebruikers

De aanmeldingsfrequentie geeft aan hoe lang een gebruiker toegang heeft tot een resource voordat deze wordt gevraagd zich opnieuw aan te melden.

De standaardconfiguratie van Microsoft Entra ID voor de aanmeldingsfrequentie van gebruikers is een voortschrijdend venster van 90 dagen. Het lijkt misschien verstandig om gebruikers vaak om inloggegevens te vragen, maar deze aanpak kan averechts werken. Gebruikers die normaal inloggegevens invoeren zonder te denken, kunnen onbedoeld hun inloggegevens verstrekken aan schadelijke prompts.

Een gebruiker wordt niet gevraagd zich opnieuw aan te melden, kan alarmerend lijken, maar elke schending van het IT-beleid trekt de sessie in. Voorbeelden hiervan zijn een wachtwoordwijziging, een niet-compatibel apparaat of een account dat wordt uitgeschakeld. U kunt de sessies van gebruikers ook expliciet intrekken met Behulp van Microsoft Graph PowerShell. De standaardconfiguratie van Microsoft Entra ID is: vraag gebruikers niet om hun inloggegevens op te geven als de beveiligingsstatus van hun sessies niet is gewijzigd.

De instelling voor aanmeldingsfrequentie werkt met apps die OAuth2- of OIDC-protocollen implementeren volgens de standaarden. De meeste systeemeigen Microsoft-apps, zoals die voor Windows, Mac en Mobile, met inbegrip van de volgende webtoepassingen, voldoen aan de instelling.

• Word, Excel, PowerPoint Online
• OneNote Online
• Office.com
• Microsoft 365-beheerportal
• Exchange Online
• SharePoint en OneDrive
• Teams-webclient
• Dynamiek CRM Online
• Azure Portal

Aanmeldingsfrequentie (SIF) werkt met niet-Microsoft SAML-toepassingen en -apps die gebruikmaken van OAuth2- of OIDC-protocollen, zolang ze hun eigen cookies niet verwijderen en regelmatig terugkeren naar Microsoft Entra-id voor verificatie.

Aanmeldingsfrequentie van gebruikers en meervoudige verificatie

Voorheen werd de aanmeldingsfrequentie alleen toegepast op first-factor authentication op aan Microsoft Entra gekoppelde, hybride gekoppelde en geregistreerde apparaten. U kunt meervoudige verificatie op deze apparaten niet eenvoudig versterken. Op basis van feedback van klanten is de aanmeldingsfrequentie ook van toepassing op meervoudige verificatie (MFA).

Een diagram dat laat zien hoe de aanmeldingsfrequentie en MFA samenwerken.

Aanmeldingsfrequentie van gebruikers en apparaat-id's

Op apparaten die zijn toegevoegd aan Microsoft Entra en hybride gekoppeld zijn, wordt het primaire vernieuwingstoken (PRT) elke vier uur vernieuwd door het apparaat te ontgrendelen of door interactief aan te melden. De laatste vernieuwingstijdstempel die is vastgelegd voor de PRT in vergelijking met de huidige tijdstempel, moet binnen de tijd vallen die is toegewezen aan het SIF-beleid voor de PRT om te voldoen aan SIF en toegang te verlenen tot een PRT met een bestaande MFA-claim. Op geregistreerde Microsoft Entra-apparaten voldoet het ontgrendelen of aanmelden niet aan het SIF-beleid omdat de gebruiker geen toegang heeft tot een door Microsoft Entra geregistreerd apparaat via een Microsoft Entra-account. De Microsoft Entra WAM-invoegtoepassing kan echter een PRT vernieuwen tijdens systeemeigen toepassingsverificatie met behulp van WAM.

Voorbeeld 1: Wanneer u gedurende een uur aan hetzelfde document in SPO blijft werken

• Om 00:00 uur meldt een gebruiker zich aan bij zijn Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint met het bewerken van een document dat is opgeslagen op SharePoint Online.
• De gebruiker blijft gedurende een uur aan hetzelfde document op het apparaat werken.
• Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd.

Voorbeeld 2: Wanneer u het werk onderbreekt terwijl er een achtergrondtaak in de browser wordt uitgevoerd, en u opnieuw interageert nadat de tijd van het SIF-beleid is verstreken.

• Om 00:00 uur meldt een gebruiker zich aan bij hun Microsoft Entra-verbonden apparaat met Windows 11 en begint een document te uploaden naar SharePoint Online.
• Om 00:10 vergrendelt de gebruiker zijn apparaat. Het uploaden op de achtergrond wordt voortgezet naar SharePoint Online.
• Om 02:45 ontgrendelt de gebruiker het apparaat. Het uploaden op de achtergrond toont voltooiing.
• Om 02:45 wordt de gebruiker gevraagd zich aan te melden wanneer deze opnieuw communiceert. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder sinds de laatste aanmelding om 00:00 uur.

Als de client-app (onder activiteitsdetails) een browser is, stelt het systeem de handhaving van de aanmeldingsfrequentie van gebeurtenissen en beleidsregels voor achtergrondservices uit tot de volgende gebruikersinteractie plaatsvindt. Bij vertrouwelijke clients wordt de afdwinging van de aanmeldingsfrequentie voor niet-interactieve aanmeldingen uitgesteld tot de volgende interactieve aanmelding.

Voorbeeld 3: Met een vernieuwingscyclus van vier uur van het primaire vernieuwingstoken na ontgrendeling.

Scenario 1 - Gebruiker keert terug binnen de cyclus

• Om 00:00 uur meldt een gebruiker zich aan bij een Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint te werken aan een document dat is opgeslagen op SharePoint Online.
• Om 00:30 vergrendelt de gebruiker zijn apparaat.
• Om 00:45 ontgrendelt de gebruiker het apparaat.
• Om 01:00 uur wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de vereiste voor aanmeldingsfrequentie in het beleid voor voorwaardelijke toegang dat is geconfigureerd door de beheerder, één uur na de eerste aanmelding.

Scenario 2: gebruiker retourneert buiten de cyclus

• Om 00:00 uur meldt een gebruiker zich aan bij een Windows 11-apparaat dat is gekoppeld aan Microsoft Entra en begint te werken aan een document dat is opgeslagen op SharePoint Online.
• Om 00:30 vergrendelt de gebruiker zijn apparaat.
• Om 04:45 ontgrendelt de gebruiker het apparaat.
• Om 05:45 wordt de gebruiker gevraagd zich opnieuw aan te melden. Deze prompt is gebaseerd op de aanmeldingsfrequentievereiste in het beleid voor voorwaardelijke toegang dat door de beheerder is geconfigureerd. Het is nu een uur nadat de PRT is vernieuwd om 04:45 en meer dan vier uur sinds de eerste aanmelding om 00:00 uur.

Vereis verificatie elke keer

In sommige scenario's wilt u mogelijk nieuwe verificatie vereisen telkens wanneer een gebruiker specifieke acties uitvoert, zoals:

• Toegang tot gevoelige toepassingen.
• Het beveiligen van resources via VPN- of NaaS-providers (Network as a Service).
• Het beveiligen van bevoorrechte rolverheffing in PIM.
• Gebruikersaanmelding beveiligen bij Azure Virtual Desktop-machines.
• Bescherming van riskante gebruikers en riskante aanmeldingen die worden geïdentificeerd door Microsoft Entra ID Protection.
• Gevoelige gebruikersacties beveiligen, zoals Microsoft Intune-inschrijving.

Wanneer u elke keer selecteert, vereist het beleid volledige verificatie wanneer de sessie wordt geëvalueerd. Deze vereiste betekent dat als de gebruiker de browser tijdens de levensduur van de sessie sluit en opent, deze mogelijk niet wordt gevraagd om opnieuw te worden geverifieerd. Het instellen van de aanmeldingsfrequentie op elke keer werkt het beste wanneer de resource de logica heeft om te bepalen wanneer een client een nieuw token moet ophalen. Met deze resources wordt de gebruiker slechts teruggeleid naar Microsoft Entra zodra de sessie verloopt.

Beperk het aantal toepassingen dat een beleid afdwingt dat gebruikers telkens opnieuw moeten verifiëren. Het activeren van herauthenticatie te vaak kan de beveiligingsmoeilijkheid verhogen tot een punt dat gebruikers MFA-vermoeidheid ervaren en de deur openen voor phishing. Webtoepassingen bieden meestal een minder verstorende ervaring dan hun desktop-tegenhangers wanneer verificatie vereist is telkens wanneer deze is ingeschakeld. Het beleid houdt rekening met vijf minuten klokafwijking bij elke tijdskeuze, zodat gebruikers niet vaker dan eens per vijf minuten worden gevraagd.

• Gebruik voor toepassingen in de Microsoft 365-stack tijdgebaseerde aanmeldingsfrequentie voor gebruikers voor een betere gebruikerservaring.
• Gebruik voor het Azure-portaal en het Microsoft Entra-beheercentrum of de tijdsgebaseerde aanmeldingsfrequentie van gebruikers of vereis opnieuw verificatie bij activatie van PIM met behulp van een authenticatiecontext voor een betere gebruikerservaring.

De persistentie van browsesessies

Met een permanente browsersessie kunnen gebruikers aangemeld blijven na het sluiten en opnieuw openen van hun browservenster.

Met de standaardinstelling van Microsoft Entra ID voor persistentie van browsersessies kunnen gebruikers op persoonlijke apparaten bepalen of ze de sessie willen behouden door een aangemeld blijven weer te geven? prompt na een geslaagde verificatie. Als u browserpersistentie in AD FS instelt door de richtlijnen in ad FS-instellingen voor eenmalige aanmelding te volgen, wordt het beleid gevolgd en blijft de Microsoft Entra-sessie behouden. Configureert u of gebruikers in uw tenant de prompt 'Aangemeld blijven?' zien door de juiste instelling in het paneel 'Huisstijl' van het bedrijf te wijzigen.

In permanente browsers blijven cookies opgeslagen op het apparaat van de gebruiker, zelfs nadat de browser is gesloten. Deze cookies hebben mogelijk toegang tot Microsoft Entra-artefacten, die bruikbaar blijven totdat het token verloopt, ongeacht het beleid voor voorwaardelijke toegang dat is toegepast op de resourceomgeving. Tokencaching kan dus in strijd zijn met het gewenste beveiligingsbeleid voor verificatie. Het opslaan van tokens buiten de huidige sessie lijkt misschien handig, maar het kan een beveiligingsprobleem maken door onbevoegde toegang tot Microsoft Entra-artefacten toe te staan.

Besturingselementen voor verificatiesessies configureren

Voorwaardelijke toegang is een Microsoft Entra ID P1- of P2-mogelijkheid waarvoor een Premium-licentie is vereist. Zie Wat is voorwaardelijke toegang in Microsoft Entra ID? voor meer informatie over voorwaardelijke toegang.

Volgende stappen

• Levensduur van sessies configureren in beleid voor voorwaardelijke toegang
• Een implementatie van voorwaardelijke toegang plannen