管理“保持登录状态?” prompt

配置“使我保持登录状态”(KMSI) 选项需要以下许可证之一：

• Microsoft Entra ID P1 或 P2
• Office 365（对于 Office 应用）
• Microsoft 365

必须要有全局管理员角色才能启用“保持登录状态?” 提示。

工作原理

如果用户对“保持登录状态”提示回答“是”，则会发出永久性身份验证 Cookie。 Cookie 必须存储在会话中，KMSI 才能正常工作。 KMSI 不适用于本地存储的 Cookie。 如果未启用 KMSI，则会发出非持久性 Cookie，并持续 24 小时或直到浏览器关闭。

下图显示了使用 KMSI 提示的托管租户和联合租户的用户登录流。 此流包含智能逻辑，因此如果机器学习系统检测到高风险登录或来自共享设备的登录，将不会显示“保持登录状态？”选项。 对于联合租户，此提示在使用联合标识服务成功进行身份验证后显示。

SharePoint Online 和 Office 2010 的某些功能取决于用户能否选择保持登录状态。 如果取消选中“显示保持登录状态的选项”选项，则用户在登录过程中可能会看到其他的意外提示。

KMSI 设置在“用户设置”中管理。

1. 以全局管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“用户”>“用户设置”。

   

3. 将“显示‘保持用户登录状态’”切换为“是”。

   

   排查“保持登录状态？” issues

   如果用户没有针对“保持登录状态?”提示进行操作而是舍弃了登录尝试，则会在 Microsoft Entra 登录日志中显示一个登录日志条目。 用户看到的提示称为“中断”。

   

   可以在“登录日志”中找到登录错误的详细信息。 从列表中选择受影响的用户，并在“基本信息”部分中找到下面的详细信息。

   • 登录错误代码：50140
   • 失败原因：此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。

   你可以通过在用户设置中将“显示保持登录状态的选项”设置为“否”来阻止用户看到中断信息。 此设置会为目录中的所有用户禁用 KMSI 提示。

   你还可以使用条件访问中的持久性浏览器会话控制来防止用户看到 KMSI 提示。 此选项使你能够对选定的用户组（例如全局管理员）禁用 KMSI 提示，而不会影响目录中其他人员的登录行为。

   为了确保 KMSI 提示只在有益于用户的情况下显示，在以下情况下我们有意不显示 KMSI 提示：

   • 用户通过无缝 SSO 和集成 Windows 身份验证 (IWA) 登录
   • 用户通过 Active Directory 联合身份验证服务和 IWA 登录
   • 用户是租户中的来宾
   • 用户的风险评分高
   • 登录发生在用户或管理员同意流期间
   • 持久性浏览器会话控制在条件访问策略中配置