Implementera sessionshantering

  • 3 minuter

I komplexa distributioner kan organisationer behöva begränsa autentiseringssessioner. Några scenarier kan vara:

  • Resursåtkomst från en ohanterad eller delad enhet.
  • Åtkomst till känslig information från ett externt nätverk.
  • Användare med hög prioritet eller chef.
  • Viktiga affärsprogram.

Med kontroller för villkorsstyrd åtkomst kan du skapa principer som riktar sig mot specifika användningsfall i din organisation utan att påverka alla användare.

Innan vi går in på information om hur du konfigurerar principen ska vi undersöka standardkonfigurationen.

Användarinloggningsfrekvens

Inloggningsfrekvensen definierar tidsperioden innan en användare uppmanas att logga in igen vid försök att komma åt en resurs.

Standardkonfigurationen för Microsoft Entra-ID för användarinloggningsfrekvens är ett rullande fönster på 90 dagar. Att be användarna om autentiseringsuppgifter verkar ofta vara en förnuftig sak att göra, men det kan slå tillbaka: Användare som har tränats att ange sina autentiseringsuppgifter utan att tänka kan oavsiktligt tillhandahålla dem till en skadlig fråga om autentiseringsuppgifter.

Det kan låta alarmerande att inte be en användare att logga in igen. I själva verket återkallar alla överträdelser av IT-principer sessionen. Några exempel är en lösenordsändring, en inkompatibel enhet eller ett inaktiverat konto. Du kan också uttryckligen återkalla användarnas sessioner med hjälp av PowerShell. Standardkonfigurationen för Microsoft Entra-ID handlar om att "be inte användarna att ange sina autentiseringsuppgifter om säkerhetsstatusen för deras sessioner inte har ändrats".

Inställningen för inloggningsfrekvens fungerar med appar som har implementerat OAUTH2- eller OIDC-protokoll enligt standarderna. De flesta inbyggda Microsoft-appar för Windows, Mac och mobiler, inklusive följande webbprogram, följer inställningen.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Administrationsportalen för Microsoft 365
  • Exchange Online
  • SharePoint och OneDrive
  • Teams webbklient
  • Dynamics CRM Online
  • Azure Portal

Inställningen för inloggningsfrekvens fungerar även med SAML-program, så länge de inte släpper sina egna cookies och omdirigeras tillbaka till Microsoft Entra-ID för autentisering regelbundet.

Användarinloggningsfrekvens och multifaktorautentisering

Inloggningsfrekvensen tillämpades tidigare endast på den första faktorautentiseringen på enheter som var Microsoft Entra-anslutna, Hybrid Microsoft Entra-anslutna och Microsoft Entra-registrerade. Det fanns inget enkelt sätt för våra kunder att åter framtvinga multifaktorautentisering (MFA) på dessa enheter. Baserat på kundfeedback gäller inloggningsfrekvensen även för MFA.

Diagram över inloggningsprocessen för multifaktorautentisering med inloggningsfrekvens.

Användarinloggningsfrekvens och enhetsidentiteter

Om du har Microsoft Entra-anslutna, Hybrid Microsoft Entra-anslutna eller Microsoft Entra-registrerade enheter, när en användare låser upp sin enhet eller loggar in interaktivt, uppfyller även den här händelsen principen för inloggningsfrekvens. I följande två exempel anges användarinloggningsfrekvensen till en timme:

Exempel 1:

  • Klockan 00:00 loggar en användare in på sin Windows 10 Microsoft Entra-anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
  • Användaren fortsätter att arbeta med samma dokument på sin enhet i en timme.
  • Klockan 01:00 uppmanas användaren att logga in igen baserat på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören.

Exempel 2:

  • Klockan 00:00 loggar en användare in på sin Windows 10 Microsoft Entra-anslutna enhet och börjar arbeta med ett dokument som lagras på SharePoint Online.
  • Klockan 00:30 går användaren upp och tar en paus och låser sin enhet.
  • Klockan 00:45 returnerar användaren från sin paus och låser upp enheten.
  • Klockan 01:45 uppmanas användaren att logga in igen baserat på kravet på inloggningsfrekvens i principen för villkorsstyrd åtkomst som konfigurerats av administratören sedan den senaste inloggningen inträffade kl. 00:45.

Beständighet för webbläsarsessioner

Med en beständig webbläsarsession kan användarna förbli inloggade efter att ha stängt och öppnat webbläsarfönstret igen. Standardvärdet för Microsoft Entra-ID:t för webbläsarsessionens beständighet gör att användare på personliga enheter kan välja om de vill spara sessionen genom att visa ett "Håll dig inloggad?". fråga efter lyckad autentisering.

Validering

Använd what-if-verktyget för att simulera en inloggning från användaren till målprogrammet och andra villkor baserat på hur du konfigurerade principen. Autentiseringssessionens hanteringskontroller visas i resultatet av verktyget.

Skärmbild av resultatet av verktyget För villkorsstyrd åtkomst Vad händer om?

Principdistribution

För att säkerställa att principen fungerar som förväntat rekommenderar vi att du testar den innan den distribueras till produktion. Använd helst en testklient för att kontrollera om den nya principen fungerar som den ska.