Microsoft Entra ID 包含多个设置,用于确定用户需要重新执行身份验证的频率。 这种重新身份验证可能仅涉及第一因素,例如密码、线上快速身份验证 (FIDO) 或无密码 Microsoft Authenticator。 或者可能需要多重身份验证 (MFA)。 你可以根据自己的环境和所需的用户体验,按需配置这些重新身份验证设置。
Microsoft Entra ID 的默认用户登录频率配置为 90 天的滚动周期。 经常要求用户提供凭据看似很明智,但有时会适得其反。 如果用户习惯于不加思索地输入凭据,可能会无意中将凭据提供给恶意的凭据提示。
不要求用户重新登录可能听起来令人担忧。 但是,任何违反 IT 策略的行为都会吊销会话。 一些示例包括密码更改、不合规的设备或禁用帐户的操作。 还可以 使用 Microsoft Graph PowerShell 显式撤销用户的会话。
本文详细介绍了建议的配置以及各种设置的工作原理和相互作用。
建议的设置
要通过要求用户按适当的频率登录来为用户适当平衡安全性和易用性,我们建议使用以下配置:
- 如果拥有 Microsoft Entra ID P1 或 P2:
- 如果拥有 Microsoft 365 应用版或 Microsoft Entra ID Free 许可证:
- 对于移动设备场景,请确保你的用户使用 Microsoft Authenticator 应用。 此应用是其他 Microsoft Entra ID 联合应用的代理,可减少设备上的身份验证提示。
我们的研究表明,这些设置适用于大多数租户。 这些设置的某些组合(例如“记住多重身份验证”和“显示保持登录选项”)可能导致频繁提示用户进行身份验证。 频繁的重新身份验证提示不利于用户工作效率,并且会使用户更容易受到攻击。
配置 Microsoft Entra 会话生存期的设置
要优化用户的身份验证提示频率,可以配置 Microsoft Entra 会话生存期的设置。 了解业务和用户的需求,并配置可为你的环境提供最佳平衡的设置。
会话生存期策略
如果没有任何会话生存期设置,浏览器会话将没有持久性 Cookie。 每次用户关闭并重新打开浏览器时,都会收到重新身份验证的提示。 在 Office 客户端中,默认时间周期为 90 天的滚动周期。 使用此默认 Office 配置,如果用户重置密码或会话处于非活动状态超过 90 天,则用户必须使用所需的第一和第二因素重新进行身份验证。
用户在没有 Microsoft Entra ID 标识的设备上可能看到多个 MFA 提示。 每个应用程序都有其未与其他客户端应用共享的 OAuth 刷新令牌时,会产生多个提示。 在这种情况下,MFA 会由于每个应用程序都请求使用 MFA 验证 OAuth 刷新令牌而进行多次提示。
在 Microsoft Entra ID 中,由对会话生存期限制最严格的策略决定用户什么时候需要重新进行身份验证。 考虑同时启用以下两项设置的场景:
- 显示保持登录选项,该选项使用持久性浏览器 Cookie
- 记住多重身份验证,值为 14 天
在此示例中,用户需要每 14 天重新进行一次身份验证。 此行为遵循限制性最强的策略,即使“显示保持登录选项”本身不会要求用户在浏览器上重新进行身份验证。
受管理设备
通过 Microsoft Entra 联接或 Microsoft Entra 混合联接与 Microsoft Entra ID 联接的设备会收到主刷新令牌 (PRT),以便跨应用程序使用 SSO。
此 PRT 允许用户在设备上登录一次,并允许 IT 人员确保设备符合安全和合规性标准。 如果需要要求用户在已加入的设备上更频繁地登录某些应用或方案,可以使用条件访问 登录频率 策略。
保持登录选项
当用户在登录期间对“保持登录?”提示选项选择“是”时,该选择会在浏览器上设置一个持久性 Cookie。 此持久性 Cookie 会记住第一和第二因素,并且仅适用于浏览器中的身份验证请求。
如果拥有 Microsoft Entra ID P1 或 P2 许可证,建议为“持久性浏览器会话”使用条件访问策略。 此策略会覆盖“显示保持登录选项”设置,并提供更好的用户体验。 如果没有 Microsoft Entra ID P1 或 P2 许可证,建议为用户启用“显示保持登录选项”设置。
有关配置允许用户保持登录状态的选项的详细信息,请参阅 管理“保持登录状态?”提示。
记住多重身份验证选项
“记住多重身份验证”设置允许你配置 1 到 365 天的值。 当用户在登录时选择“X 天内不再询问”选项时,它会在浏览器上设置一个持久性 Cookie。
尽管此设置减少了 Web 应用上的身份验证次数,但增加了新式身份验证客户端(如 Office 客户端)的身份验证次数。 这些客户端通常仅在密码重置或处于非活动状态 90 天后,才会显示提示。 但是,将此值设置为少于 90 天会缩短 Office 客户端的默认 MFA 提示,并增加重新身份验证的频率。 当将此设置与“显示保持登录选项”或条件访问策略结合使用时,可能会增加身份验证请求的数量。
如果使用“记住多重身份验证”选项,并且拥有 Microsoft Entra ID P1 或 P2 许可证,请考虑将这些设置迁移到“条件访问登录频率”。 否则,考虑改用“显示保持登录选项”。
有关详细信息,请参阅 “记住多重身份验证”。
使用条件访问的身份验证会话管理
管理员可以使用“登录频率”策略选择适用于客户端和浏览器中的第一和第二因素的登录频率。 在需要限制身份验证会话的场景中,建议将这些设置与受管理设备一起使用。 例如,你可能需要限制关键业务应用程序的身份验证会话。
持久浏览器会话 允许用户在关闭并重新打开其浏览器窗口后保持登录状态。 与“显示保持登录选项”设置一样,它会在浏览器上设置一个持久性 Cookie。 但由于它是由管理员配置的,因此不需要用户在“保持登录?”选项中选择“是”。 这样,它提供了更好的用户体验。 如果使用“显示保持登录选项”,建议改为启用“持久性浏览器会话”策略。
有关详细信息,请参阅 配置自适应会话生存期策略。
可配置令牌生存期
“可配置令牌生存期”设置允许配置 Microsoft Entra ID 颁发的令牌的生存期。 使用条件访问的身份验证会话管理取代了此策略。 如果现在正在使用“可配置令牌生存期”,建议开始向条件访问策略迁移。
查看租户配置
现在,你已了解各种设置的工作原理和建议的配置,可以检查租户了。 可以先查看登录日志,了解在登录期间应用了哪些会话生存期策略。
在每个登录日志下,转到“ 身份验证详细信息 ”选项卡并浏览 “已应用会话生存期策略”。 有关详细信息,请参阅 “了解登录日志活动详细信息”。
要配置或查看“显示保持登录选项”:
重要
Microsoft 建议使用权限最少的角色。 这种做法有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于紧急方案,或者无法使用现有角色时。
- 以全局管理员身份登录到 Microsoft Entra 管理中心。
- 导航至 Entra ID>自定义品牌。 然后,对于每个区域设置,选择“显示保持登录选项”。
- 选择“是”,然后选择“保存”。
要在受信任的设备上记住多重身份验证设置:
- 以至少身份验证策略管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>多重身份验证。
- 在 “配置”下,选择 “其他基于云的 MFA 设置”。
- 在“多重身份验证服务设置”窗格上,滚动到“记住多重身份验证设置”并选中复选框。
要配置用于登录频率和持久性浏览器会话的条件访问策略:
- 至少以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问。
- 使用本文建议的会话管理选项配置策略。
若要查看令牌生存期, 请使用 Microsoft Graph PowerShell 查询任何Microsoft Entra 策略。 禁用已有的任何策略。
如果你的租户中启用了多个设置,建议根据可用的许可证更新你的设置。 例如,如果你拥有 Microsoft Entra ID P1 或 P2 许可证,则应仅使用“登录频率”和“持久性浏览器会话”的条件访问策略。 如果拥有 Microsoft 365 应用版或 Microsoft Entra ID Free 许可证,则应使用“显示保持登录选项”配置。
如果启用了“可配置令牌生存期”,请记住此功能即将被移除。 计划向条件访问策略迁移。
下表汇总了基于许可证的建议:
| 类别 | Microsoft 365 应用版或 Microsoft Entra ID Free | Microsoft Entra ID P1 或 P2 |
|---|---|---|
| SSO | Microsoft Entra 联接或 Microsoft Entra 混合联接,或非管理的设备的无缝 SSO | Microsoft Entra 联接和 Microsoft Entra 混合联接 |
| 重新身份验证设置 | 显示保持登录状态的选项 | 用于登录频率和持久性浏览器会话的条件访问策略 |