配置自适应会话生存期策略
警告
如果你使用的是当前为公共预览版的可配置令牌生存期功能,请注意,我们不支持为同一用户或应用组合创建两种不同的策略:一个使用此功能,另一个使用可配置令牌生存期功能。 Microsoft 于 2021 年 1 月 30 日停用了用于刷新和会话令牌生存期的可配置令牌生存期功能,并将其替换为条件访问身份验证会话管理功能。
在启用登录频率之前,请确保其他重新身份验证设置在租户中已禁用。 如果已启用“记住受信任设备上的 MFA”,请确保在使用登录频率之前禁用该功能,因为如果将这两个设置一起使用,用户可能会收到意外提示。 若要详细了解重新身份验证提示和会话生存期,请参阅优化重新身份验证提示并了解 Microsoft Entra 多重身份验证的会话生存期一文。
策略部署
若要确保你的策略按预期工作,建议的最佳做法是在将其推广到生产环境之前对其进行测试。 理想情况下,使用一个测试租户来验证新策略是否按预期方式工作。 有关详细信息,请参阅计划条件访问部署一文。
策略 1:登录频率控制
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”。
选择“创建新策略”。
为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
选择客户环境所需的所有条件,包括目标云应用。
注意
建议为 Exchange Online 和 SharePoint Online 等重要 Microsoft Office 应用设置相同的身份验证提示频率,以获得最佳用户体验。
在“访问控制”>“会话”下。
- 选择“用户登录频率”。
- 选择“定期重新进行身份验证”,然后输入小时数或天数值或选择“每次”。
- 选择“用户登录频率”。
保存策略。
策略 2:持久性浏览器会话
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”。
选择“创建新策略”。
为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
选择所有所需的条件。
注意
此控制措施要求选择“所有云应用”作为条件。 浏览器会话持久性由身份验证会话令牌控制。 浏览器会话中的所有标签页共享一个会话令牌,因此它们都必须共享持久性状态。
在“访问控制”>“会话”下。
选择“持久性浏览器会话”。
注意
Microsoft Entra 条件访问中的持久性浏览器会话配置会覆盖“是否保持登录状态?” 在公司品牌窗格中为同一用户配置的“是否保持登录状态?”设置(如果同时配置了这两个策略)。
从下拉列表中选择一个值。
保存策略。
策略 3:风险用户的“每次”登录频率控制
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“条件访问”。
- 选择“创建新策略”。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识” 。
- 在“包括”下,选择“所有用户”。
- 在“排除”下,选择“用户和组”,并选择组织的紧急访问或不受限帐户。
- 选择“完成” 。
- 在“目标资源”>“云应用”>“包括”下,选择“所有云应用”。
- 在“条件”>“用户风险”下,将“配置”设置为“是”。 在“配置强制执行策略所需的用户风险级别”下,选择“高”,然后选择“完成”。
- 在“访问控制”>“授予”下,依次选择“"授予访问权限”、“需要更改密码”和“选择”。
- 在“会话控制”>“登录频率”下,选择“每次”。
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“创建” ,以便创建启用策略所需的项目。
在管理员使用仅限报告模式确认你的设置后,他们可以将“启用策略”切换开关从“仅限报告”移至“开”。
验证
使用 What If 工具根据策略的配置方式来模拟用户登录目标应用程序及其他条件。 身份验证会话管理控制措施将显示在工具的结果中。
提示容错
在策略中选择每次时,我们会考虑 5 分钟的时钟偏差,这样我们就不会比每五分钟更频繁的间隔提示用户。 如果用户在过去 5 分钟内完成了 MFA,而又触发了另一个要求重新身份验证的条件访问策略,我们不会提示用户。 过度提示用户进行重新身份验证可能会影响其工作效率,并增加用户批准不是由他们发起的 MFA 请求的风险。 仅针对特定业务需求使用“登录频率 - 每次”。
已知问题
- 如果为移动设备配置登录频率,则在每次登录频率间隔后进行身份验证会很慢,可能平均需要 30 秒。 而且,各种应用中可能会同时发生该问题。
- 在 iOS 设备中:如果应用将证书配置为第一个身份验证因素,并且已应用了登录频率和 Intune 移动应用管理策略,则触发策略时将阻止最终用户登录到该应用。
后续步骤
- 如果你已准备好针对环境配置条件访问策略,请参阅计划条件访问部署一文。