Freigeben über

Konfigurieren von Richtlinien für die adaptive Sitzungslebensdauer

Warnung

Wenn Sie das konfigurierbare Feature für die Tokenlebensdauer derzeit in der öffentlichen Vorschau verwenden, unterstützen wir das Erstellen von zwei unterschiedlichen Richtlinien für dieselbe Benutzer- oder App-Kombination: eine mit diesem Feature und eine andere mit dem konfigurierbaren Feature für die Tokenlebensdauer. Microsoft hat das konfigurierbare Tokenlebensdauer-Feature für Aktualisierungs- und Sitzungstokenlebensdauer am 30. Januar 2021 eingestellt und durch das Verwaltungsfeature für die Authentifizierung mit bedingtem Zugriff ersetzt.

Stellen Sie vor dem Aktivieren der Anmeldehäufigkeit sicher, dass andere Einstellungen für die erneute Authentifizierung in Ihrem Mandanten deaktiviert sind. Wenn "MFA auf vertrauenswürdigen Geräten speichern" aktiviert ist, deaktivieren Sie sie, bevor Sie die Anmeldehäufigkeit verwenden, da die Verwendung dieser beiden Einstellungen die Benutzer unerwartet dazu auffordert. Weitere Informationen zu Eingabeaufforderungen für die erneute Authentifizierung und zur Sitzungslebensdauer finden Sie im Artikel Optimieren von Aufforderungen für die erneute Authentifizierung und Grundlegendes zur Sitzungslebensdauer für Microsoft Entra ID Multifactor Authentication.

Richtlinienbereitstellung

Um sicherzustellen, dass Ihre Richtlinie erwartungsgemäß funktioniert, testen Sie sie, bevor Sie sie in die Produktion einführen. Verwenden Sie einen Testmandanten, um zu überprüfen, ob Ihre neue Richtlinie wie beabsichtigt funktioniert. Weitere Informationen finden Sie im Artikel Planen einer Bereitstellung für bedingten Zugriff.

Richtlinie 1: Steuerung der Anmeldehäufigkeit

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Erstellen Sie einen aussagekräftigen Standard für Benennungsrichtlinien.

  5. Wählen Sie alle erforderlichen Bedingungen für die Kundenumgebung aus, einschließlich der Cloud-Apps, die als Ziel dienen.

    Hinweis

    Es wird empfohlen, die gleiche Authentifizierungsaufforderungshäufigkeit für wichtige Microsoft 365-Apps wie Exchange Online und SharePoint Online festzulegen, um eine optimale Benutzererfahrung zu erzielen.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie die Anmeldehäufigkeit .
      1. Wählen Sie Regelmäßige Neuauthentifizierung aus, geben Sie Stunden oder Tagen als Wert ein, oder wählen Sie Jedes Mal aus.

    Screenshot einer Richtlinie für bedingten Zugriff, die für die Anmeldehäufigkeit konfiguriert ist.

  7. Speichern Sie die Richtlinie.

Richtlinie 2: Persistente Browsersitzung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  5. Wählen Sie alle erforderlichen Bedingungen aus.

    Hinweis

    Dieses Steuerelement erfordert die Auswahl von "Alle Cloud-Apps" als Bedingung. Die Browsersitzungspersistenz wird durch das Token der Authentifizierungssitzung gesteuert. Da alle Registerkarten in einer Browsersitzung über dasselbe Sitzungstoken verfügen, müssen sie alle denselben Persistenzzustand aufweisen.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie persistente Browsersitzung.

      Hinweis

      Die Konfiguration der beständigen Browsersitzung in Microsoft Entra Conditional Access setzt die Einstellung "Angemeldet bleiben?" im Unternehmensbrandingbereich für denselben Benutzer außer Kraft, wenn beide Richtlinien konfiguriert sind.

    2. Wählen Sie einen Wert aus der Dropdownliste aus.

  7. Speichern Sie die Richtlinie.

Richtlinie 3: Steuerelement der Anmeldehäufigkeit bei jedem riskanten Benutzer

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Entra ID>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertig aus.
  6. Wählen Sie unterZielressourcen>Einschließen die Option Alle Ressourcen (ehemals „Alle Cloud-Apps“) aus.
  7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Ja fest.
    1. Wählen Sie unter Hiermit konfigurieren Sie die Benutzerrisikostufen, die für die Erzwingung der Richtlinie erforderlich sind die Option Hoch aus. Dieser Leitfaden basiert auf Microsoft-Empfehlungen. Die Ausführung weicht je nach Organisation möglicherweise ab.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Authentifizierungsstärke erforderlich und dann in der Liste die integrierte Authentifizierungsstärke Multi-Faktor-Authentifizierung aus.
    2. Wählen Sie Kennwortänderung erforderlich aus.
    3. Wählen Sie Auswählen.
  9. Unter Sitzung.
    1. Wählen Sie die Anmeldehäufigkeit .
    2. Vergewissern Sie sich, dass Jedes Mal ausgewählt ist.
    3. Wählen Sie Auswählen.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Verschieben Sie nach der Bestätigung Ihrer Einstellungen im Modus "Nur Bericht" den Umschalter "Richtlinie aktivieren " von "Nur Bericht " auf "Ein".

Überprüfen

Verwenden Sie das Tool What If , um eine Anmeldung bei der Zielanwendung und anderen Bedingungen basierend auf Ihrer Richtlinienkonfiguration zu simulieren. Die Steuerungen für die Verwaltung von Authentifizierungssitzungen werden in den Ergebnissen des Tools angezeigt.

Aufforderungstoleranz

Wir berücksichtigen fünf Minuten Zeitverknürung, wenn jedes Mal in der Richtlinie ausgewählt wird, sodass benutzer nicht häufiger als einmal alle fünf Minuten aufgefordert werden. Wenn der Benutzer MFA in den letzten 5 Minuten abgeschlossen hat und auf eine andere Richtlinie für bedingten Zugriff stößt, die eine erneute Authentifizierung erfordert, wird der Benutzer nicht aufgefordert. Wenn Benutzer zu häufig zur erneuten Authentifizierung aufgefordert werden, kann sich dies auf ihre Produktivität auswirken und das Risiko erhöhen, dass Benutzer MFA-Anforderungen genehmigen, die sie nicht initiiert haben. Verwenden Sie "Anmeldehäufigkeit – immer" nur, wenn bestimmte Geschäftliche Anforderungen erforderlich sind.

Bekannte Probleme

  • Wenn Sie die Anmeldehäufigkeit für mobile Geräte konfigurieren: Die Authentifizierung nach jedem Anmeldehäufigkeitsintervall kann langsam sein und kann durchschnittlich 30 Sekunden dauern. Dieses Problem kann auch in verschiedenen Apps gleichzeitig auftreten.
  • Auf iOS-Geräten: Wenn eine App Zertifikate als ersten Authentifizierungsfaktor konfiguriert und sowohl Anmeldehäufigkeit als auch Intune-Richtlinien für die mobile Anwendungsverwaltung angewendet hat, werden Benutzer daran gehindert, sich bei der App anzumelden, wenn die Richtlinie ausgelöst wird.
  • Microsoft Entra Private Access unterstützt das Festlegen der Anmeldehäufigkeit nicht jedes Mal.

Nächste Schritte