Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Adaptive Richtlinien für die Sitzungsdauer von bedingtem Zugriff ermöglichen es Organisationen, Authentifizierungssitzungen in komplexen Bereitstellungen einzuschränken. Mögliche Szenarien:
- Ressourcenzugriff von einem nicht verwalteten oder freigegebenen Gerät
- Zugriff auf vertrauliche Informationen von einem externen Netzwerk aus
- Intensive Systembenutzer
- Unternehmenskritische Geschäftsanwendungen
Bedingter Zugriff bietet Richtliniensteuerelemente für adaptive Sitzungsdauern, sodass Sie Richtlinien erstellen können, die auf bestimmte Anwendungsfälle innerhalb Ihrer Organisation abzielen, ohne dass sich dies auf alle Benutzer auswirkt.
Bevor Sie sich mit der Konfiguration der Richtlinie befassen, überprüfen Sie die Standardkonfiguration.
Anmeldehäufigkeit von Benutzern
Die Anmeldehäufigkeit gibt an, wie lange ein Benutzer auf eine Ressource zugreifen kann, bevor er aufgefordert wird, sich erneut anzumelden.
Die Standardkonfiguration von Microsoft Entra ID sieht für die Anmeldehäufigkeit von Benutzern ein rollierendes Zeitfenster von 90 Tagen vor. Es mag sinnvoll erscheinen, Benutzer häufig nach Zugangsdaten zu fragen, aber dieser Ansatz kann zurückfeuern. Benutzer, die gewohnheitsmäßig unreflektiert Anmeldeinformationen eingeben, könnten diese unbeabsichtigt an böswillige Eingabeaufforderungen weitergeben.
Wenn ein Benutzer nicht aufgefordert wird, sich anzumelden, scheint dies alarmierend zu sein, aber jede VERLETZUNG der IT-Richtlinie widerruft die Sitzung. Beispiele hierfür sind eine Kennwortänderung, ein nicht kompatibles Gerät oder ein Konto, das deaktiviert wird. Sie können Benutzersitzungen auch explizit mit Microsoft Graph PowerShell widerrufen. Die Microsoft Entra ID-Standardkonfiguration lautet: Bitten Sie Benutzer nicht, ihre Anmeldeinformationen anzugeben, wenn sich der Sicherheitsstatus ihrer Sitzungen nicht geändert hat.
Die Einstellung für die Anmeldehäufigkeit funktioniert bei Apps mit standardkonformer Implementierung des OAuth2- oder OIDC-Protokolls. Die meisten nativen Microsoft-Apps, z. B. für Windows, Mac und Mobile, einschließlich der folgenden Webanwendungen, entsprechen der Einstellung.
- Startseiten für Word, Excel und PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365-Verwaltungsportal
- Exchange Online:
- SharePoint und OneDrive
- Teams-Webclient
- Dynamics CRM Online
- Azure-Portal
Die Anmeldehäufigkeit (SIF) funktioniert mit Nicht-Microsoft-SAML-Anwendungen und -Apps, die OAuth2- oder OIDC-Protokolle verwenden, solange sie keine eigenen Cookies ablegen und regelmäßig zur Microsoft Entra-ID zur Authentifizierung zurückleiten.
Anmeldehäufigkeit von Benutzern und mehrstufige Authentifizierung
Bisher galt die Anmeldehäufigkeit nur für die Ein-Faktor-Authentifizierung auf Gerätes, die bei Microsoft Entra eingebunden, hybrid eingebunden oder registriert sind. Sie konnten die mehrstufige Authentifizierung auf diesen Geräten nicht einfach verstärken. Basierend auf Kundenfeedback gilt die Anmeldehäufigkeit nun auch auf die mehrfache Authentifizierung (MFA).
Anmeldehäufigkeit von Benutzern und Geräteidentitäten
Auf Geräten, die mit Microsoft Entra verbunden oder hybrid verbunden sind, wird das Primäre Aktualisierungstoken (PRT) alle vier Stunden aktualisiert, wenn das Gerät entsperrt oder sich interaktiv angemeldet wird. Der letzte Aktualisierungszeitstempel, der für das PRT im Vergleich zum aktuellen Zeitstempel aufgezeichnet wurde, muss innerhalb des Zeitraums liegen, der in der die SIF-Richtlinie für das PRT festgelegt ist, um die SIF zu erfüllen und Zugriff auf ein PRT zu gewähren, das über einen vorhandenen MFA-Anspruch verfügt. Auf registrierten Microsoft Entra-Geräten erfüllt das Entsperren oder Anmelden die SIF-Richtlinie nicht, da der Benutzer nicht über ein Microsoft Entra-Konto auf ein registriertes Microsoft Entra-Gerät zugreift. Das Microsoft Entra WAM-Plug-In kann ein PRT jedoch während der nativen Anwendungsauthentifizierung mithilfe von WAM aktualisieren.
Hinweis
Der von der Benutzeranmeldung erfasste Zeitstempel entspricht nicht unbedingt dem letzten aufgezeichneten Zeitstempel der PRT-Aktualisierung aufgrund des vierstündigen Aktualisierungszyklus. Der Fall, in dem dies zutrifft, ist, wenn das PRT abläuft und eine Benutzeranmeldung es für vier Stunden erneuert. Gehen Sie in den folgenden Beispielen davon aus, dass die SIF-Richtlinie auf eine Stunde festgelegt ist und der PRT um 00:00 Uhr aktualisiert wird.
Beispiel 1: Wenn Sie eine Stunde lang an demselben Dokument in SPO arbeiten.
- Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
- Der Benutzer arbeitet auf seinem Gerät eine Stunde an diesem Dokument.
- Um 01:00 Uhr wird die Person aufgefordert, sich erneut anzumelden. Diese Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung.
Beispiel 2: Wenn Sie die Arbeit mit einer im Browser ausgeführten Hintergrundaufgabe unterbrechen und dann nach Ablauf der SIF-Richtlinie wieder damit interagieren.
- Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit dem Hochladen eines Dokuments in SharePoint Online.
- Um 00:10 Uhr sperrt der Benutzer sein Gerät. Der Hintergrundupload wird in SharePoint Online fortgesetzt.
- Bei 02:45 entsperrt der Benutzer das Gerät. Der Upload im Hintergrund wird als abgeschlossen angezeigt.
- Um 02:45 Uhr wird die Person bei erneuter Interaktion aufgefordert, sich erneut anzumelden. Die Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung, weil die letzte Anmeldung um 00:00 Uhr erfolgte.
Wenn es sich bei der Client-App (unter Aktivitätsdetails) um einen Browser handelt, verschiebt das System die Durchsetzung der Anmeldehäufigkeit von Ereignissen und Richtlinien bezüglich Hintergrunddiensten bis zur nächsten Benutzerinteraktion. Bei vertraulichen Clients verzögert das System die Erzwingung der Anmeldehäufigkeit bei nicht interaktiven Anmeldungen bis zur nächsten interaktiven Anmeldung.
Beispiel 3: Mit einem vierstündigen Aktualisierungszyklus des primären Aktualisierungstokens ab der Entsperrung.
Szenario 1: Der Benutzer kehrt innerhalb des Zyklus zurück.
- Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
- Um 00:30 Uhr sperrt der Benutzer sein Gerät.
- Bei 00:45 entsperrt der Benutzer das Gerät.
- Um 01:00 Uhr wird die Person aufgefordert, sich erneut anzumelden. Diese Eingabeaufforderung basiert auf der Anmeldehäufigkeitsanforderung in der Richtlinie für bedingten Zugriff, die von ihrem Administrator konfiguriert wurde, eine Stunde nach der ersten Anmeldung.
Szenario 2: Der Benutzer kehrt außerhalb des Zyklus zurück
- Um 00:00 Uhr meldet sich jemand bei einem in Microsoft Entra eingebundenen Windows 11-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
- Um 00:30 Uhr sperrt der Benutzer sein Gerät.
- Bei 04:45 entsperrt der Benutzer das Gerät.
- Um 05:45 Uhr wird die Person aufgefordert, sich erneut anzumelden. Diese Aufforderung basiert auf der vom Admin in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung. Es ist jetzt eine Stunde nach der Aktualisierung des PRT um 04:45 uhr und mehr als vier Stunden seit der ersten Anmeldung um 00:00 Uhr.
Anfordern einer erneuten Authentifizierung bei jedem Mal
In einigen Szenarien möchten Sie möglicherweise bei jedem Ausführen bestimmter Aktionen, wie z. B. einer erneuten Authentifizierung, verlangen, dass der Benutzer sich frisch authentifiziert.
- Zugriff auf vertrauliche Anwendungen.
- Absicherung von Ressourcen hinter VPN- oder Network as a Service (NaaS)-Anbietern.
- Sicherung privilegierter Rollenerweiterungen in PIM.
- Schutz von Benutzeranmeldungen bei Azure Virtual Desktop-Computern.
- Schutz von „Risikobenutzern“ und von „Risikoanmeldungen“ von Microsoft Entra ID Protection identifiziert.
- Sichern vertraulicher Benutzeraktionen wie die Microsoft Intune-Registrierung.
Wenn Sie jedes Mal auswählen, erfordert die Richtlinie eine vollständige erneute Authentifizierung , wenn die Sitzung ausgewertet wird. Diese Anforderung bedeutet: Wenn der Benutzer seinen Browser während der Sitzungsdauer schließt und öffnet, wird er möglicherweise nicht zur erneuten Authentifizierung aufgefordert. Das Festlegen der Anmeldehäufigkeit auf jedes Mal funktioniert am besten, wenn die Ressource über die Logik verfügt, um zu identifizieren, wann ein Client ein neues Token abrufen soll. Diese Ressourcen leiten den Benutzer nur nach Ablauf der Sitzung wieder zu Microsoft Entra um.
Beschränken Sie die Anzahl der Anwendungen, die eine Richtlinie erzwingen, die erfordert, dass Benutzer sich jedes Mal erneut authentifizieren. Das Auslösen der erneuten Authentifizierung zu häufig kann die Sicherheitsreibung zu einem Punkt erhöhen, der dazu führt, dass Benutzer MFA-Müdigkeit erleben und die Tür zu Phishing öffnen. Webanwendungen bieten in der Regel ein weniger störendes Erlebnis als ihre Desktop-Gegenstücke, wenn die Option aktiviert ist, dass Sie sich jedes Mal neu authentifizieren müssen. Die Richtlinie berücksichtigt eine Uhrenabweichung von fünf Minuten, wenn bei jeder Gelegenheit eine Auswahl vorgenommen wird, sodass Benutzer nicht häufiger als einmal alle fünf Minuten aufgefordert werden.
Warnung
Die Festlegung der Anmeldehäufigkeit, die jedes Mal eine erneute Authentifizierung erfordert, kann ohne multifaktorielle Authentifizierung dazu führen, dass Ihre Nutzer sich wiederholt anmelden müssen.
- Verwenden Sie für Anwendungen im Microsoft 365-Stapel zeitbasierte Benutzeranmeldungshäufigkeit , um eine bessere Benutzererfahrung zu erzielen.
- Verwenden Sie für das Azure-Portal und das Microsoft Entra Admin Center entweder zeitbasierte Benutzeranmeldungshäufigkeit oder eine erneute Authentifizierung bei der PIM-Aktivierung, indem Sie den Authentifizierungskontext verwenden, um eine bessere Benutzererfahrung zu erzielen.
Persistenz von Browsersitzungen
Mit einer beständigen Browsersitzung können Benutzer nach dem Schließen und erneuten Öffnen des Browserfensters angemeldet bleiben.
Mit der Standardeinstellung der Microsoft Entra-ID für die Browsersitzungspersistenz können Benutzer auf persönlichen Geräten entscheiden, ob die Sitzung beibehalten werden soll, indem nach erfolgreicher Authentifizierung eine Eingabeaufforderung " Angemeldet bleiben" angezeigt wird. Wenn Sie die Browserpersistenz in AD FS einrichten, indem Sie den Anweisungen in den AD FS-Einstellungen für einmaliges Anmelden folgen, wird die Richtlinie befolgt, und die Microsoft Entra-Sitzung wird ebenfalls beibehalten. Sie konfigurieren, ob Benutzern in Ihrem Mandanten die Aufforderung "Angemeldet bleiben?" angezeigt wird, indem Sie die entsprechende Einstellung im Bereich für Unternehmensbranding ändern.
In beständigen Browsern bleiben Cookies auch nach dem Schließen des Browsers auf dem Gerät des Benutzers gespeichert. Diese Cookies können auf Microsoft Entra-Artefakte zugreifen, die bis zum Ablauf des Tokens verwendet werden können, unabhängig von den Richtlinien für den bedingten Zugriff, die auf die Ressourcenumgebung angewendet werden. Daher kann das Zwischenspeichern von Token einen direkten Verstoß gegen die gewünschten Sicherheitsrichtlinien für die Authentifizierung darstellen. Das Speichern von Token über die aktuelle Sitzung hinaus mag praktisch erscheinen, aber es kann eine Sicherheitslücke erstellen, indem nicht autorisierter Zugriff auf Microsoft Entra-Artefakte gewährt wird.
Konfigurieren von Steuerungen für Authentifizierungssitzungen
Bedingter Zugriff ist eine Microsoft Entra ID P1- oder P2-Funktion, die eine Premiumlizenz erfordert. Weitere Informationen zum bedingten Zugriff finden Sie unter Was ist bedingter Zugriff in Microsoft Entra ID?.
Warnung
Wenn Sie das konfigurierbare Feature für die Tokenlebensdauer derzeit in der öffentlichen Vorschau verwenden, erstellen Sie nicht zwei unterschiedliche Richtlinien für dieselbe Benutzer- oder App-Kombination: eine mit diesem Feature und eine andere mit dem konfigurierbaren Feature für die Tokenlebensdauer. Microsoft hat die Funktion zur konfigurierbaren Lebensdauer von Aktualisierungs- und Sitzungstoken am 30. Januar 2021 eingestellt und durch das Feature zur Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff ersetzt.
Bevor Sie die Häufigkeit der Anmeldung aktivieren, stellen Sie sicher, dass andere Einstellungen für die erneute Authentifizierung in Ihrem Mandanten deaktiviert sind. Wenn "MFA auf vertrauenswürdigen Geräten speichern" aktiviert ist, deaktivieren Sie diese Einstellung, bevor Sie die Anmeldehäufigkeit verwenden, da die Verwendung dieser beiden Einstellungen die Benutzer unerwartet dazu auffordern könnte. Weitere Informationen zu Aufforderungen zur erneuten Authentifizierung und zur Sitzungslebensdauer finden Sie unter Optimieren der Aufforderungen zur erneuten Authentifizierung und das Verständnis der Sitzungslebensdauer bei der mehrstufigen Authentifizierung mit Microsoft Entra.