你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用条件访问配置身份验证会话管理

  • 项目

在复杂部署中,组织可能需要限制身份验证会话。 部分场景包括:

  • 从非托管设备或共享设备访问资源
  • 从外部网络访问敏感信息
  • 对用户影响很大的操作
  • 业务关键型应用程序

使用条件访问控制可以创建相应的策略来满足组织中的具体用例,且不会影响到所有用户。

在深入了解如何配置策略之前,让我们了解默认的配置。

用户登录频率

登录频率定义在用户尝试访问资源时,要求用户重新登录之前所要经过的时限。

Microsoft Entra ID 的默认用户登录频率配置为 90 天的滚动周期。 经常要求用户提供凭据看似很明智,但有时适得其反:平时不加思索输入凭据的用户可能会意外中收到恶意的凭据提示。

不要求用户重新登录看似不安全,但实际上,任何违反 IT 策略的行为都会撤销会话。 部分示例包括(但不限于)密码更改、设备不合规或禁用帐户。 也可以使用 PowerShell 显式吊销用户会话。 Microsoft Entra ID 的默认配置是“如果用户会话的安全状况未发生变化,则不要求用户提供其凭据”。

登录频率设置适用于已根据标准实现了 OAuth2 或 OIDC 协议的应用。 大多数适用于 Windows、Mac 和 Mobile 的 Microsoft 本机应用(包括以下 Web 应用程序)都符合该设置。

  • Word、Excel、PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 管理门户
  • Exchange Online
  • SharePoint 和 OneDrive
  • Teams Web 客户端
  • Dynamics CRM Online
  • Azure 门户

登录频率设置还适用于第三方 SAML 应用程序以及已实现 OAuth2 或 OIDC 协议的应用,前提是这些应用不会删除自己的 Cookie,而且会定期重定向回 Microsoft Entra ID 进行身份验证。

用户登录频率和多重身份验证

以前,登录频率仅适用于已建立 Microsoft Entra 联接、已建立 Microsoft Entra 混合联接和已注册 Microsoft Entra 的设备上的第一因素身份验证。 对我们的客户来说,在这些设备上重新强制实施多重身份验证并不容易。 根据客户反馈,登录频率也将适用于 MFA。

登录频率和 MFA

用户登录频率和设备标识

在已建立 Microsoft Entra 联接和已建立 Microsoft Entra 混合联接的设备上,解锁设备或以交互方式登录时,只会每 4 小时刷新一次主刷新令牌 (PRT)。 与当前时间戳相比,为 PRT 记录的最后一个刷新时间戳必须在 SIF 策略中为 PRT 分配的时间范围内,这样才能满足 SIF 并授予对具有现有 MFA 声明的 PRT 的访问权限。 在已注册 Microsoft Entra 的设备上,解锁/登录不符合 SIF 策略,因为用户未通过 Microsoft Entra 帐户访问已注册 Microsoft Entra 的设备。 但是,Microsoft Entra WAM 插件可以在使用 WAM 进行本机应用程序身份验证期间刷新 PRT。

注意:由于刷新周期为 4 小时,从用户登录捕获的时间戳不一定与上次记录的 PRT 刷新时间戳相同。 如果 PRT 已过期,并且用户登录会将其刷新 4 小时,则情况相同。 在以下示例中,假设 SIF 策略设为 1 小时,且 PRT 在 00:00 刷新。

示例 1:当你在 SPO 中继续处理同一文档一小时

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 10 设备,并开始处理存储在 SharePoint Online 上的文档。
  • 用户继续在其设备上处理同一文档一个小时。
  • 在 01:00,系统根据管理员配置的条件访问策略中的登录频率要求,提示用户再次登录。

示例 2:当你暂停处理浏览器中运行的后台任务,然后在 SIF 策略时间过后再次交互

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 10 设备,并开始将文档上传到 SharePoint Online。
  • 在 00:10,该用户锁定设备,起身休息一会儿。 后台继续上传到 SharePoint Online。
  • 在 02:45,该用户结束休息并返回,然后解锁设备。 后台上传显示完成。
  • 在 02:45,当用户再次交互时,系统根据管理员配置的条件访问策略中的登录频率要求,提示该用户重新登录,因为上次登录时间为 00:00。

如果客户端应用(在活动详细信息下)是浏览器,我们会将后台服务上事件/策略的登录频率强制执行推后,直到下一次用户交互。   

示例 3:主刷新令牌解锁的刷新周期为 4 小时

方案 1 - 用户在周期内返回

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 10 设备,并开始处理存储在 SharePoint Online 上的文档。
  • 在 00:30,该用户锁定设备,起身休息一会儿。
  • 在 00:45,该用户结束休息并返回,然后解锁设备。
  • 在 01:00,系统根据管理员配置的条件访问策略中的登录频率要求,提示该用户在初次登录一小时后重新登录。

方案 2 - 用户从周期外返回

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 10 设备,并开始处理存储在 SharePoint Online 上的文档。
  • 在 00:30,该用户锁定设备,起身休息一会儿。
  • 在 04:45,该用户结束休息并返回,然后解锁设备。
  • 在 05:45,系统根据管理员配置的条件访问策略中的登录频率要求,提示该用户在 PRT 于 04:45(于 00:00 初次登录 4 个多小时后)刷新一小时后重新登录。

每次都需要重新进行身份验证

在有些情况下,客户可能需要让用户在每次执行特定操作之前都重新进行身份验证。 除了小时或天数外,登录频率有了一个新选项“每次”。

支持的方案:

  • 要求用户在 Intune 设备注册过程中重新进行身份验证,不考虑其当前 MFA 状态。
  • 利用要求更改密码授权控制,要求用户对有风险的用户重新进行身份验证。
  • 利用要求多重身份验证授权控制,要求用户对有风险的登录重新进行身份验证。

如果管理员选择“每次”,那么,在评估会话时,就会要求进行完全的重新身份验证。

浏览会话的持久性

持久性浏览器会话可让用户在关闭再重新打开其浏览器窗口后保持登录状态。

成功完成身份验证后,浏览器会话持久化的 Microsoft Entra ID 默认配置会显示“是否保持登录状态?”提示,让个人设备上的用户选择 是否要保留会话。 如果按照 AD FS 单一登录设置一文中的指导原则在 AD FS 中配置了浏览器持久性,我们将遵守该策略并保留 Microsoft Entra 会话。 还可以 通过更改公司品牌窗格中相应的设置来配置租户中的用户是否会看到“保持登录状态?”提示。

在持久性浏览器中,即使用户关闭浏览器,Cookie 也会一直存储在用户的设备中。 这些 Cookie 可以访问 Microsoft Entra 项目,而且无论资源环境中的条件访问策略如何,都可使用这些项目,直到令牌到期。 因此,令牌缓存可能会直接违反所需的身份验证安全策略。 虽然在当前会话之外存储令牌似乎很方便,但这样做可能会允许未经授权访问 Microsoft Entra 项目,从而带来安全漏洞。

配置身份验证会话控制

条件访问是一项 Microsoft Entra ID P1 或 P2 功能,要求安装高级版许可证。 若要了解有关条件访问的详细信息,请参阅什么是 Microsoft Entra ID 中的条件访问?

警告

如果你使用的是当前为公共预览版的可配置令牌生存期功能,请注意,我们不支持为同一用户或应用组合创建两种不同的策略:一个使用此功能,另一个使用可配置令牌生存期功能。 Microsoft 于 2021 年 1 月 30 日停用了用于刷新和会话令牌生存期的可配置令牌生存期功能,并将其替换为条件访问身份验证会话管理功能。

在启用登录频率之前,请确保其他重新身份验证设置在租户中已禁用。 如果已启用“记住受信任设备上的 MFA”,请确保在使用登录频率之前禁用该功能,因为如果将这两个设置一起使用,用户可能会收到意外提示。 若要详细了解重新身份验证提示和会话生存期,请参阅优化重新身份验证提示并了解 Microsoft Entra 多重身份验证的会话生存期一文。

策略部署

若要确保你的策略按预期工作,建议的最佳做法是在将其推广到生产环境之前对其进行测试。 理想情况下,使用一个测试租户来验证新策略是否按预期方式工作。 有关详细信息,请参阅计划条件访问部署一文。

策略 1:登录频率控制

  1. 至少以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“条件访问”。

  3. 选择“创建新策略”。

  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。

  5. 选择客户环境所需的所有条件,包括目标云应用。

    注意

    建议为 Exchange Online 和 SharePoint Online 等重要 Microsoft Office 应用设置相同的身份验证提示频率,以获得最佳用户体验。

  6. 在“访问控制”>“会话”下。

    1. 选择“用户登录频率”。
      1. 选择“定期重新进行身份验证”,然后输入小时数或天数值或选择“每次”。

  7. 保存策略。

    在条件访问策略中配置的登录频率

策略 2:持久性浏览器会话

  1. 至少以条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“条件访问”。

  3. 选择“创建新策略”。

  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。

  5. 选择所有所需的条件。

    注意

    请注意,此控制措施要求选择“所有云应用”作为条件。 浏览器会话持久性由身份验证会话令牌控制。 浏览器会话中的所有标签页共享一个会话令牌,因此它们都必须共享持久性状态。

  6. 在“访问控制”>“会话”下。

    1. 选择“持久性浏览器会话”。

      注意

      Microsoft Entra 条件访问中的持久性浏览器会话配置会覆盖“是否保持登录状态?” 在“公司品牌打造”窗格中为同一用户配置的“是否保持登录状态?”设置(如果同时配置了这两个策略)。

    2. 从下拉列表中选择一个值。

  7. 保存策略。

策略 3:风险用户的“每次”登录频率控制

  1. 至少以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“条件访问”。
  3. 选择“创建新策略”。
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识” 。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并选择组织的紧急访问或不受限帐户
    3. 选择“完成” 。
  6. 在“目标资源”>“云应用”>“包括”下,选择“所有云应用”。
  7. 在“条件”>“用户风险”下,将“配置”设置为“是”。 在“配置强制执行策略所需的用户风险级别”下,选择“高”,然后选择“完成”。
  8. 在“访问控制”>“授予”下,依次选择“"授予访问权限”、“需要更改密码”和“选择”。
  9. 在“会话控制”>“登录频率”下,选择“每次”。
  10. 确认设置,然后将“启用策略”设置为“仅限报告”。
  11. 选择“创建” ,以便创建启用策略所需的项目。

在管理员使用仅限报告模式确认你的设置后,他们可以将“启用策略”切换开关从“仅限报告”移至“开”。

验证

使用 What If 工具根据策略的配置方式来模拟用户登录目标应用程序及其他条件。 身份验证会话管理控制措施将显示在工具的结果中。

提示容错

我们考虑了五分钟的时钟偏差,因此,我们不会每五分钟就提示用户一次。 如果用户已在过去 5 分钟内完成了 MFA,这时,他们触发了另一个要求重新进行身份验证的条件访问策略,我们就不会提示用户。 过度提示用户进行重新身份验证可能会影响其工作效率,并增加用户批准不是由他们发起的 MFA 请求的风险。 仅针对特定业务需求使用“登录频率 - 每次”。

已知问题

  • 如果为移动设备配置登录频率,则在每次登录频率间隔后进行身份验证会很慢,可能平均需要 30 秒。 而且,各种应用中可能会同时发生该问题。
  • 在 iOS 设备中:如果应用将证书配置为第一个身份验证因素,并且已应用了登录频率和 Intune 移动应用管理策略,则触发策略时将阻止最终用户登录到该应用。

后续步骤