Aufforderungen zur erneuten Authentifizierung und Sitzungslebensdauer für die Multi-Faktor-Authentifizierung von Microsoft Entra

Microsoft Entra ID verfügt über mehrere Einstellungen, mit denen bestimmt wird, wie oft Benutzer sich erneut authentifizieren müssen. Diese erneute Authentifizierung kann nur einen ersten Faktor umfassen, z. B. Kennwort, FIDO (Fast IDentity Online) oder kennwortlos mit Microsoft Authenticator. Sie kann aber auch die Multi-Faktor-Authentifizierung (MFA) erfordern. Sie können diese Einstellungen für die erneute Authentifizierung nach Bedarf für Ihre Umgebung und die gewünschte Benutzererfahrung konfigurieren.

Die Standardkonfiguration von Microsoft Entra ID sieht für die Anmeldehäufigkeit von Benutzern ein rollierendes Zeitfenster von 90 Tagen vor. Benutzer zur Angabe von Anmeldeinformationen aufzufordern, kann häufig sinnvoll erscheinen, sich aber nachteilig auswirken. Wenn Benutzer darin geschult werden, ihre Anmeldeinformationen ohne Nachdenken einzugeben, können sie diese versehentlich in einer böswilligen Eingabeaufforderung für Anmeldeinformationen angeben.

Es klingt vielleicht beunruhigend, keine erneute Anmeldung von einem Benutzer zu fordern. Die Sitzung wird jedoch bei einer Verletzung der IT-Richtlinien widerrufen. Zu den Beispielen zählen eine Kennwortänderung, ein nicht konformes Gerät oder eine Aktion zur Deaktivierung eines Kontos. Sie können Benutzersitzungen auch explizit mit Microsoft Graph PowerShell widerrufen.

In diesem Artikel werden die empfohlenen Konfigurationen und die Funktionsweise der verschiedenen Einstellungen sowie deren Interaktion erläutert.

Empfohlene Einstellungen

Damit Sie Ihren Benutzern die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit bieten können, indem sie aufgefordert werden, sich mit der richtigen Häufigkeit anzumelden, empfehlen wir die folgenden Konfigurationen:

• Wenn Sie über Microsoft Entra ID P1 oder P2 verfügen:
  • Aktivieren Sie anwendungsübergreifendes einmaliges Anmelden (Single Sign-on, SSO) mithilfe von verwalteten Geräten oder nahtlosem einmaligem Anmelden.
  • Wenn eine erneute Authentifizierung erforderlich ist, verwenden Sie eine Microsoft Entra Conditional Access-Richtlinie für die Anmeldehäufigkeit.
  • Für Benutzer, die sich auf nicht verwalteten Geräten oder für Szenarien mit mobilen Geräten anmelden, sind persistente Browsersitzungen möglicherweise nicht geeignet. Sie können den bedingten Zugriff verwenden, um persistente Browsersitzungen mit der Richtlinie für die Anmeldehäufigkeit zu aktivieren. Begrenzen Sie die Dauer auf einen geeigneten Zeitraum basierend auf dem Anmelderisiko, bei dem ein Benutzer mit geringerem Risiko über eine längere Sitzungsdauer verfügt.
• Wenn Sie über eine Lizenz für Microsoft 365 Apps oder eine Microsoft Entra ID Free-Lizenz verfügen:
  • Aktivieren Sie anwendungsübergreifendes einmaliges Anmelden mithilfe von verwalteten Geräten oder nahtlosem einmaligem Anmelden.
  • Lassen Sie die Einstellung Option „Angemeldet bleiben“ anzeigen aktiviert, und leiten Sie Ihre Benutzer an, bei der Anmeldung die Option Angemeldet bleiben? anzunehmen.
• Stellen Sie in Szenarien mit mobilen Geräten sicher, dass Ihre Benutzer die Microsoft Authenticator-App verwenden. Diese App wird als Broker für andere Microsoft Entra ID-Verbund-Apps verwendet und reduziert die Authentifizierungsaufforderungen auf dem Gerät.

Unsere Untersuchungen zeigen, dass diese Einstellungen für die meisten Mandanten geeignet sind. Einige Kombinationen dieser Einstellungen (z. B. Multi-Faktor-Authentifizierung erinnern und Option „Angemeldet bleiben“ anzeigen) können dazu führen, dass Ihre Benutzer zu häufig zur Authentifizierung aufgefordert werden. Reguläre Aufforderungen für die erneute Authentifizierung wirken sich nachteilig auf die Produktivität der Benutzer aus und machen diese unter Umständen anfälliger für Angriffe.

Konfigurieren von Einstellungen für die Lebensdauer von Microsoft Entra-Sitzungen

Sie können Einstellungen für die Microsoft Entra-Sitzungslebensdauer konfigurieren, um die Häufigkeit der Authentifizierungsaufforderungen für Ihre Benutzer zu optimieren. Machen Sie sich mit den Anforderungen Ihres Unternehmens und Ihrer Benutzer vertraut, und konfigurieren Sie die Einstellungen, die für Ihre Umgebung die beste Kombination bieten.

Richtlinien für die Sitzungslebensdauer

Ohne Einstellungen für die Sitzungslebensdauer sind in der Browsersitzung keine beständigen Cookies vorhanden. Jedes Mal, wenn ein Benutzer den Browser schließt und öffnet, wird eine Aufforderung zur erneuten Authentifizierung angezeigt. In Office-Clients ist der Standardzeitraum ein rollierendes Fenster von 90 Tagen. Wenn der Benutzer bei dieser Office-Standardkonfiguration das Kennwort zurücksetzt oder die Sitzung länger als 90 Tage inaktiv ist, muss er die erforderlichen ersten und zweiten Faktoren erneut authentifizieren.

Einem Benutzer werden möglicherweise mehrere MFA-Aufforderungen auf einem Gerät angezeigt, das in Microsoft Entra nicht über eine Identität verfügt. Mehrere Aufforderungen treten auf, wenn jede Anwendung über ein eigenes OAuth-Aktualisierungstoken verfügt, das nicht mit anderen Client-Apps gemeinsam verwendet wird. In diesem Szenario erfolgen mehrere MFA-Aufforderungen, da jede Anwendung ein OAuth-Aktualisierungstoken für die Validierung per MFA anfordert.

In Microsoft Entra ID legt die restriktivste Richtlinie für die Sitzungslebensdauer fest, wann sich der Benutzer erneut authentifizieren muss. Stellen Sie sich ein Szenario vor, in dem beide Einstellungen aktiviert sind:

• Option „Angemeldet bleiben“ anzeigen mit einem beständigen Browsercookie
• Multi-Faktor-Authentifizierung erinnern mit einem Wert von 14 Tagen

In diesem Beispiel muss sich der Benutzer alle 14 Tage erneut authentifizieren. Dieses Verhalten folgt der restriktivsten Richtlinie, auch wenn die Einstellung Option „Angemeldet bleiben“ anzeigen selbst es nicht erfordert, dass sich der Benutzer im Browser erneut authentifiziert.

Verwaltete Geräte

Geräte, die mit Microsoft Entra ID über die Microsoft Entra-Einbindung oder die Microsoft Entra-Hybrideinbindung verbunden sind, erhalten ein Primäres Aktualisierungstoken (Primary Refresh Token (PRT)) für anwendungsübergreifendes einmaliges Anmelden (SSO).

Dieses PRT ermöglicht einem Benutzer, sich einmal auf dem Gerät anzumelden, und IT-Mitarbeitenden sicherzustellen, dass die Sicherheits- und Compliancestandards erfüllt sind. Wenn Sie einen Benutzer häufiger auffordern möchten, sich auf einem verbundenen Gerät für einige Apps oder Szenarien anzumelden, können Sie die Richtlinie für bedingten Zugriff Anmeldehäufigkeit verwenden.

Option, angemeldet zu bleiben

Wenn ein Benutzer während der Anmeldung Ja für die Aufforderung Angemeldet bleiben? auswählt, wird im Browser ein beständiges Cookie festgelegt. In diesem beständigen Cookie werden sowohl der erste als auch der zweite Faktor gespeichert, und es gilt nur für Authentifizierungsanforderungen im Browser.

Wenn Sie über eine P1- bzw. P2-Lizenz für Microsoft Entra ID verfügen, wird die Verwendung der Richtlinie für bedingten Zugriff für eine persistente Browsersitzung empfohlen. Diese Richtlinie setzt die Einstellung Option „Angemeldet bleiben“ anzeigen außer Kraft und bietet eine bessere Benutzererfahrung. Wenn Sie nicht über eine P1- bzw. P2-Lizenz für Microsoft Entra ID verfügen, empfiehlt es sich, die Einstellung Option „Angemeldet bleiben“ anzeigen für Ihre Benutzer zu aktivieren.

Weitere Informationen zum Konfigurieren der Option „Angemeldet bleiben?“ für Benutzer, finden Sie unter Verwalten der Aufforderung „Angemeldet bleiben?“.

Option zum Speichern der Multi-Faktor-Authentifizierung

Sie können für die Einstellung Multi-Faktor-Authentifizierung erinnern einen Wert zwischen 1 und 365 Tagen konfigurieren. Sie legt ein beständiges Cookie im Browser fest, wenn ein Benutzer bei der Anmeldung die Option Die nächsten X Tage nicht erneut fragen aktiviert.

Mit dieser Einstellung wird zwar die Anzahl der Authentifizierungen für Web-Apps verringert, aber dabei die Anzahl der Authentifizierungen für moderne Authentifizierungsclients wie etwa Office-Clients erhöht. Diese Clients geben normalerweise nur nach einer Kennwortzurücksetzung oder nach einer 90-tägigen Inaktivität eine Anforderung aus. Wenn Sie diesen Wert jedoch auf weniger als 90 Tage festlegen, werden die MFA-Standardaufforderungen für Office-Clients verkürzt und die Häufigkeit für erneute Authentifizierungen erhöht. Wenn Sie diese Einstellung in Kombination mit der Einstellung Option „Angemeldet bleiben“ anzeigen oder mit Richtlinien für bedingten Zugriff verwenden, kann sich die Anzahl der Authentifizierungsanforderungen erhöhen.

Wenn Sie die Multi-Faktor-Authentifizierung erinnern verwenden und über eine P1- oder P2-Lizenz für Microsoft Entra ID verfügen, sollten Sie diese Einstellungen zur Richtline für bedingte Zugriff für die Anmeldehäufigkeit migrieren. Alternativ können Sie die Einstellung Option „Angemeldet bleiben“ anzeigen verwenden.

Weitere Informationen finden Sie unter Speichern der Multi-Faktor-Authentifizierung.

Verwalten von Authentifizierungssitzungen mit bedingtem Zugriff

Über die Richtlinie für die Anmeldehäufigkeit kann das Administratorteam die Anmeldehäufigkeit auswählen, die für den ersten und den zweite Faktor sowohl im Client als auch im Browser gilt. Es wird empfohlen, diese Einstellungen zusammen mit verwalteten Geräten in Szenarien zu verwenden, in denen Sie Authentifizierungssitzungen einschränken müssen. Es könnte z. B. erforderlich sein, eine Authentifizierungssitzung für kritische Geschäftsanwendungen einzuschränken.

Bei einer persistenten Browsersitzung können Benutzer angemeldet bleiben, nachdem sie ihr Browserfenster geschlossen und erneut geöffnet haben. Wie bei der Einstellung Option „Angemeldet bleiben“ anzeigen wird auch hier ein beständiges Cookie im Browser festgelegt. Da sie jedoch vom Administratorteam konfiguriert wird, muss der Benutzer bei der Einstellung Option „Angemeldet bleiben“ anzeigen nicht Ja auswählen. Daher bietet dies eine höhere Benutzerfreundlichkeit. Wenn Sie die Einstellung Option „Angemeldet bleiben“ anzeigen verwenden, sollten Sie stattdessen die Richtlinie Persistente Browsersitzung aktivieren.

Weitere Informationen finden Sie unter Konfigurieren von Richtlinien für die adaptive Sitzungslebensdauer.

Konfigurierbare Tokengültigkeitsdauer

Die Einstellung Konfigurierbare Tokengültigkeitsdauer ermöglicht die Konfiguration einer Lebensdauer für ein von Microsoft Entra ID ausgestelltes Token. Diese Richtlinie wird durch Verwalten von Authentifizierungssitzungen mit bedingtem Zugriff ersetzt. Wenn Sie derzeit Konfigurierbare Tokengültigkeitsdauer verwenden, empfiehlt es sich, die Migration zu Richtlinien für bedingten Zugriff zu starten.

Überprüfen Ihrer Mandantenkonfiguration

Da Sie nun wissen, wie die verschiedenen Einstellungen funktionieren und welche Konfiguration empfohlen wird, sollten Sie Ihre Mandanten überprüfen. Sie können damit beginnen, sich die Anmeldeprotokolle anzusehen, um zu verstehen, welche Richtlinien für die Sitzungsdauer während der Anmeldung angewendet wurden.

Gehen Sie unter jedem Anmeldeprotokoll auf die Registerkarte Authentifizierungsdetails und erkunden Sie Angewandte Richtlinien für die Sitzungslebensdauer. Weitere Informationen finden Sie unter Informationen zu den Details der Anmeldeprotokollaktivität.

So konfigurieren oder überprüfen Sie die Einstellung Option „Angemeldet bleiben“ anzeigen

1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
2. Navigieren Sie zu Identität>Unternehmensbranding. Wählen Sie dann für jedes Gebietsschema die Einstellung Option „Angemeldet bleiben“ anzeigen aus.
3. Wählen Sie Ja und dann Speichern aus.

So speichern Sie Einstellungen für die Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
2. Navigieren Sie zu Schutz>Multi-Faktor-Authentifizierung.
3. Wählen Sie unter Konfigurieren die Option Zusätzliche cloudbasierte MFA-Einstellungen aus.
4. Scrollen Sie im Bereich Einstellungen für Multi-Faktor-Authentifizierungsdienst zu Multi-Faktor-Authentifizierung erinnern, und aktivieren Sie das Kontrollkästchen.

So konfigurieren Sie Richtlinien für bedingten Zugriff für die Anmeldehäufigkeit und persistente Browsersitzungen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Browsen Sie zu Schutz>Bedingter Zugriff.
3. Konfigurieren Sie eine Richtlinie mithilfe der Optionen für die Sitzungsverwaltung, die in diesem Artikel empfohlen werden.

Zum Überprüfen der Tokengültigkeitsdauer verwenden Sie Microsoft Graph PowerShell, um Microsoft Entra-Richtlinien abzufragen. Deaktivieren Sie alle Richtlinien, die Sie eingerichtet haben.

Wenn mehrere Einstellungen in Ihrem Mandanten aktiviert ist, wird empfohlen, die Einstellungen ausgehend von der für Sie verfügbaren Lizenzierung zu aktualisieren. Wenn Sie beispielsweise über eine P1- bzw. P2-Lizenz für Microsoft Entra ID verfügen, sollten Sie nur die Richtlinie für bedingten Zugriff für die Anmeldehäufigkeit und Persistente Browsersitzung verwenden. Wenn Sie über Lizenz für Microsoft 365 Apps oder eine Microsoft Entra ID Free-Lizenz verfügen, verwenden Sie die Konfiguration Option „Angemeldet bleiben“ anzeigen.

Falls Sie die konfigurierbare Tokengültigkeitsdauer aktiviert haben, sollten Sie beachten, dass diese Funktion demnächst entfernt wird. Planen Sie eine Migration zu einer Richtlinie für bedingten Zugriff.

In der folgenden Tabelle werden die Empfehlungen auf Grundlage von Lizenzen zusammengefasst:

Zugehöriger Inhalt

• Tutorial: Schützen von Anmeldeereignissen mit der Multi-Faktor-Authentifizierung in Microsoft Entra
• Tutorial: Verwenden von Risikoerkennungen für Anmeldungen zum Auslösen der Multi-Faktor-Authentifizierung in Microsoft Entra oder von Kennwortänderungen