Freigeben über

Lebensdauer adaptiver Sitzungen in Richtlinien für bedingten Zugriff

Adaptive Richtlinien für die Sitzungsdauer von bedingtem Zugriff ermöglichen es Organisationen, Authentifizierungssitzungen in komplexen Bereitstellungen einzuschränken. Mögliche Szenarien:

  • Ressourcenzugriff von einem nicht verwalteten oder freigegebenen Gerät
  • Zugriff auf vertrauliche Informationen von einem externen Netzwerk aus
  • Intensive Systembenutzer
  • Unternehmenskritische Geschäftsanwendungen

Bedingter Zugriff bietet Richtliniensteuerelemente für adaptive Sitzungsdauern, sodass Sie Richtlinien erstellen können, die auf bestimmte Anwendungsfälle innerhalb Ihrer Organisation abzielen, ohne dass sich dies auf alle Benutzer auswirkt.

Bevor Sie sich mit der Konfiguration der Richtlinie befassen, überprüfen Sie die Standardkonfiguration.

Anmeldehäufigkeit von Benutzern

Die Anmeldehäufigkeit gibt an, wie lange ein Benutzer auf eine Ressource zugreifen kann, bevor er aufgefordert wird, sich erneut anzumelden.

Die Standardkonfiguration von Microsoft Entra ID sieht für die Anmeldehäufigkeit von Benutzern ein rollierendes Zeitfenster von 90 Tagen vor. Es mag sinnvoll erscheinen, Benutzer häufig nach Zugangsdaten zu fragen, aber dieser Ansatz kann zurückfeuern. Benutzer, die gewohnheitsmäßig unreflektiert Anmeldeinformationen eingeben, könnten diese unbeabsichtigt an böswillige Eingabeaufforderungen weitergeben.

Wenn ein Benutzer nicht aufgefordert wird, sich anzumelden, scheint dies alarmierend zu sein, aber jede VERLETZUNG der IT-Richtlinie widerruft die Sitzung. Beispiele hierfür sind eine Kennwortänderung, ein nicht kompatibles Gerät oder ein Konto, das deaktiviert wird. Sie können Benutzersitzungen auch explizit mit Microsoft Graph PowerShell widerrufen. Die Microsoft Entra ID-Standardkonfiguration lautet: Bitten Sie Benutzer nicht, ihre Anmeldeinformationen anzugeben, wenn sich der Sicherheitsstatus ihrer Sitzungen nicht geändert hat.

Die Einstellung für die Anmeldehäufigkeit funktioniert bei Apps mit standardkonformer Implementierung des OAuth2- oder OIDC-Protokolls. Die meisten nativen Microsoft-Apps, z. B. für Windows, Mac und Mobile, einschließlich der folgenden Webanwendungen, entsprechen der Einstellung.

  • Startseiten für Word, Excel und PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365-Verwaltungsportal
  • Exchange Online:
  • SharePoint und OneDrive
  • Teams-Webclient
  • Dynamics CRM Online
  • Azure-Portal

Die Anmeldehäufigkeit (SIF) funktioniert mit Nicht-Microsoft-SAML-Anwendungen und -Apps, die OAuth2- oder OIDC-Protokolle verwenden, solange sie keine eigenen Cookies ablegen und regelmäßig zur Microsoft Entra-ID zur Authentifizierung zurückleiten.

Anmeldehäufigkeit von Benutzern und mehrstufige Authentifizierung

Bisher galt die Anmeldehäufigkeit nur für die Ein-Faktor-Authentifizierung auf Gerätes, die bei Microsoft Entra eingebunden, hybrid eingebunden oder registriert sind. Kunden konnten die mehrstufige Authentifizierung auf diesen Geräten nicht einfach verstärken. Basierend auf Kundenfeedback gilt die Anmeldehäufigkeit nun auch auf die mehrfache Authentifizierung (MFA).

Abbildung der Zusammenarbeit von Anmeldehäufigkeit und MFA

Anmeldehäufigkeit von Benutzern und Geräteidentitäten

Auf Geräten, die mit Microsoft Entra verbunden oder hybrid verbunden sind, wird das Primäre Aktualisierungstoken (PRT) alle vier Stunden aktualisiert, wenn das Gerät entsperrt oder sich interaktiv angemeldet wird. Der letzte Aktualisierungszeitstempel, der für das PRT im Vergleich zum aktuellen Zeitstempel aufgezeichnet wurde, muss innerhalb des Zeitraums liegen, der in der die SIF-Richtlinie für das PRT festgelegt ist, um die SIF zu erfüllen und Zugriff auf ein PRT zu gewähren, das über einen vorhandenen MFA-Anspruch verfügt. Auf registrierten Microsoft Entra-Geräten würde das Entsperren oder Anmelden die SIF-Richtlinie nicht erfüllen, da der Benutzer nicht über ein Microsoft Entra-Konto auf ein registriertes Microsoft Entra-Gerät zugreift. Das Microsoft Entra WAM-Plugin kann jedoch eine PRT während der nativen Anwendungsauthentifizierung mithilfe von WAM aktualisieren.

Hinweis

Der von der Benutzeranmeldung erfasste Zeitstempel entspricht aufgrund des vierstündigen Aktualisierungszyklus nicht unbedingt dem letzten aufgezeichneten Zeitstempel die PRT-Aktualisierung. Der Fall, dass beide identisch sind, liegt dann vor, wenn das PRT abgelaufen ist und eine Benutzeranmeldung ihn für vier Stunden aktualisiert. In den folgenden Beispielen wird davon ausgegangen, dass die SIF-Richtlinie auf eine Stunde festgelegt ist, und das PRT um 00:00 Uhr aktualisiert wird.

Beispiel 1: Wenn Sie eine Stunde lang an demselben Dokument in SPO arbeiten.

  • Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
  • Der Benutzer arbeitet auf seinem Gerät eine Stunde an diesem Dokument.
  • Um 01:00 Uhr wird die Person aufgefordert, sich erneut anzumelden. Diese Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung.

Beispiel 2: Wenn Sie die Arbeit mit einer im Browser ausgeführten Hintergrundaufgabe unterbrechen und dann nach Ablauf der SIF-Richtlinie wieder damit interagieren.

  • Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit dem Hochladen eines Dokuments in SharePoint Online.
  • Um 00:10 Uhr steht der Benutzer auf und macht eine Pause, wobei er sein Gerät sperrt. Der Hintergrundupload wird in SharePoint Online fortgesetzt.
  • Um 02:45 Uhr kehrt der Benutzer aus seiner Pause zurück und entsperrt das Gerät. Der Upload im Hintergrund wird als abgeschlossen angezeigt.
  • Um 02:45 Uhr wird die Person bei erneuter Interaktion aufgefordert, sich erneut anzumelden. Die Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung, weil die letzte Anmeldung um 00:00 Uhr erfolgte.

Wenn es sich bei der Client-App (unter Aktivitätsdetails) um einen Browser handelt, verzögern wir die Durchsetzung der Anmeldehäufigkeit von Ereignissen und Richtlinien für Hintergrunddienste bis zur nächsten Benutzerinteraktion. Bei vertraulichen Clients wird die Häufigkeit der Anmeldung bei nicht-interaktiven Anmeldungen bis zur nächsten interaktiven Anmeldung aufgeschoben.

Beispiel 3: Mit einem vierstündigen Aktualisierungszyklus des primären Aktualisierungstokens ab der Entsperrung.

Szenario 1: Der Benutzer kehrt innerhalb des Zyklus zurück.

  • Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
  • Um 00:30 Uhr steht der Benutzer auf und macht eine Pause, wobei er sein Gerät sperrt.
  • Um 00:45 Uhr kehrt der Benutzer aus seiner Pause zurück und entsperrt das Gerät.
  • Um 01:00 Uhr wird die Person aufgefordert, sich erneut anzumelden. Die Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung eine Stunde nach der ersten Anmeldung.

Szenario 2: Der Benutzer kehrt außerhalb des Zyklus zurück

  • Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
  • Um 00:30 Uhr steht der Benutzer auf und macht eine Pause, wobei er sein Gerät sperrt.
  • Um 04:45 Uhr kehrt der Benutzer aus seiner Pause zurück und entsperrt das Gerät.
  • Um 05:45 Uhr wird die Person aufgefordert, sich erneut anzumelden. Diese Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung. Es ist jetzt eine Stunde her, seit das PRT um 04:45 Uhr aktualisiert wurde, und über vier Stunden seit der ersten Anmeldung um 00:00 Uhr.

Anfordern einer erneuten Authentifizierung bei jedem Mal

Es gibt Szenarien, in denen jedes Mal, wenn eine bestimmte Aktionen durchführt wird, eine neue Authentifizierung erforderlich ist:

  • Zugriff auf vertrauliche Anwendungen.
  • Absicherung von Ressourcen hinter VPN- oder Network as a Service (NaaS)-Anbietern.
  • Sicherung privilegierter Rollenerweiterungen in PIM.
  • Schutz von Benutzeranmeldungen bei Azure Virtual Desktop-Computern.
  • Schutz von „Risikobenutzern“ und von „Risikoanmeldungen“ von Microsoft Entra ID Protection identifiziert.
  • Sichern vertraulicher Benutzeraktionen wie die Microsoft Intune-Registrierung.

Wenn Admins Jedes Mal auswählen, ist eine vollständige erneute Authentifizierung erforderlich, wenn die Sitzung ausgewertet wird. Wenn der Benutzer beispielsweise seinen Browser während der Sitzungsdauer geschlossen und geöffnet hat, wird er nicht zur erneuten Authentifizierung aufgefordert. Die Anmeldehäufigkeit, die jedes Mal festgelegt wird, ist am effektivsten, wenn die Ressource über die Logik verfügt, um zu erkennen, wann ein Client ein neues Token erhalten soll. Diese Ressourcen leiten den Benutzer nur nach Ablauf der Sitzung wieder zu Microsoft Entra um.

Admins sollten die Anzahl der Anwendungen begrenzen, für die eine Richtlinie durchgesetzt wird, die verlangt, dass man sich jedes Mal neu authentifiziert. Das Auslösen der erneuten Authentifizierung zu häufig kann die Sicherheitsreibung zu einem Punkt erhöhen, der dazu führt, dass Benutzer MFA-Müdigkeit erleben und die Tür zu Phishing öffnen. Webanwendungen bieten in der Regel ein weniger störendes Erlebnis als ihre Desktop-Gegenstücke, wenn die Option aktiviert ist, dass Sie sich jedes Mal neu authentifizieren müssen. Wir berücksichtigen eine Zeitverschiebung von fünf Minuten, wenn jedes Mal in der Richtlinie ausgewählt wird, damit Benutzer und Benutzerinnen nicht häufiger als alle fünf Minuten zu einer Eingabe aufgefordert werden.

Warnung

Die Festlegung der Anmeldehäufigkeit, die jedes Mal eine erneute Authentifizierung erfordert, kann ohne multifaktorielle Authentifizierung dazu führen, dass Ihre Nutzer sich wiederholt anmelden müssen.

Persistenz von Browsersitzungen

Mit einer beständigen Browsersitzung können Benutzer nach dem Schließen und erneuten Öffnen des Browserfensters angemeldet bleiben.

Mit der Standardeinstellung der Microsoft Entra-ID für die Browsersitzungspersistenz können Benutzer auf persönlichen Geräten entscheiden, ob die Sitzung beibehalten werden soll, indem nach erfolgreicher Authentifizierung eine Eingabeaufforderung " Angemeldet bleiben" angezeigt wird. Wenn die Browserpersistenz in AD FS mithilfe der Richtlinien in den Einstellungen für einmaliges Anmelden in AD FS eingerichtet wird, wird die Richtlinie befolgt, und die Microsoft Entra-Sitzung wird ebenfalls beibehalten. Sie konfigurieren, ob Benutzern in Ihrem Mandanten die Aufforderung "Angemeldet bleiben?" angezeigt wird, indem Sie die entsprechende Einstellung im Bereich für Unternehmensbranding ändern.

In beständigen Browsern bleiben Cookies auch nach dem Schließen des Browsers auf dem Gerät des Benutzers gespeichert. Diese Cookies können auf Microsoft Entra-Artefakte zugreifen, die bis zum Ablauf des Tokens verwendet werden können, unabhängig von den Richtlinien für den bedingten Zugriff, die auf die Ressourcenumgebung angewendet werden. Daher kann das Zwischenspeichern von Token einen direkten Verstoß gegen die gewünschten Sicherheitsrichtlinien für die Authentifizierung darstellen. Das Speichern von Token über die aktuelle Sitzung hinaus mag praktisch erscheinen, aber es kann eine Sicherheitslücke erstellen, indem nicht autorisierter Zugriff auf Microsoft Entra-Artefakte gewährt wird.

Konfigurieren von Steuerungen für Authentifizierungssitzungen

Bedingter Zugriff ist eine Microsoft Entra ID P1- oder P2-Funktion, die eine Premiumlizenz erfordert. Weitere Informationen zum bedingten Zugriff finden Sie unter Was ist bedingter Zugriff in Microsoft Entra ID?.

Warnung

Wenn Sie das konfigurierbare Feature für die Tokenlebensdauer derzeit in der öffentlichen Vorschau verwenden, erstellen Sie nicht zwei unterschiedliche Richtlinien für die gleiche Benutzer- oder App-Kombination: eine mit diesem Feature und eine andere mit dem konfigurierbaren Feature für die Tokenlebensdauer. Microsoft hat die Funktion zur konfigurierbaren Lebensdauer von Aktualisierungs- und Sitzungstoken am 30. Januar 2021 eingestellt und durch das Feature zur Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff ersetzt.

Bevor Sie die Häufigkeit der Anmeldung aktivieren, stellen Sie sicher, dass andere Einstellungen für die erneute Authentifizierung in Ihrem Mandanten deaktiviert sind. Wenn "MFA auf vertrauenswürdigen Geräten speichern" aktiviert ist, deaktivieren Sie diese Einstellung, bevor Sie die Anmeldehäufigkeit verwenden, da die Verwendung dieser beiden Einstellungen die Benutzer unerwartet dazu auffordern könnte. Weitere Informationen zu Aufforderungen zur erneuten Authentifizierung und zur Sitzungsdauer finden Sie unter Optimieren der Aufforderungen zur erneuten Authentifizierung und zum Verständnis der Sitzungsdauer für die mehrstufige Microsoft Entra-Authentifizierung.

Nächste Schritte