設定自適性會話存留期原則

警告

如果您使用目前處於公開預覽狀態的 可設定令牌存留期 功能,請注意,我們不支援為相同的使用者或應用程式組合建立兩個不同的原則:一個具有此功能,另一個具有可設定的令牌存留期功能。 Microsoft 已在 2021 年 1 月 30 日淘汰重新整理和工作階段權杖存留期的可設定權杖存留期功能,並將其取代為 條件式存取驗證工作階段管理功能。

啟用登入頻率之前,請確定您的租使用者中已停用其他重新驗證設定。 如果已啟用「在信任的裝置上記住 MFA」,請務必在使用登入頻率之前將其停用,因為一起使用這兩個設定可能會導致非預期地提示使用者。 若要深入瞭解重新驗證提示和會話存留期,請參閱優化重新驗證提示和瞭解 Microsoft Entra 多重要素驗證的會話存留期一文

原則部署

若要確保您的原則如預期般運作,建議的最佳做法是在將原則推出至實際執行環境之前先進行測試。 理想的方式是使用測試租用戶來驗證您的新原則是否如預定運作。 如需詳細資訊,請參閱規劃條件式存取部署一文

原則 1:登入頻率控制

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護>條件式存取]。

  3. 選取 [ 建立新原則]。

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇客戶環境的所有必要條件,包括目標雲端應用程式。

    注意

    建議為密鑰 Microsoft Office 應用程式,例如 Exchange Online 和 SharePoint Online 設定相同的驗證提示頻率,以獲得最佳用戶體驗。

  6. 在 [存取控制>工作階段] 底下。

    1. 選取 [登入頻率]。
      1. 選擇 [ 定期重新驗證 ],然後輸入小時或天數的值,或選取 [每次]。

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. 儲存您的原則。

原則 2:持續性瀏覽器會話

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護>條件式存取]。

  3. 選取 [ 建立新原則]。

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇所有必要的條件。

    注意

    此控制程式需要選擇[所有雲端應用程式] 作為條件。 瀏覽器會話持續性是由驗證會話令牌所控制。 瀏覽器會話中的所有索引標籤都會共用單一會話令牌,因此它們都必須共用持續性狀態。

  6. 在 [存取控制>工作階段] 底下。

    1. 選取 [持續性瀏覽器會話]。

      注意

      Microsoft Entra 條件式存取中的持續性瀏覽器會話設定會覆寫「保持登入嗎? 如果您已設定這兩個原則,則為相同的用戶設定公司商標窗格中的 設定。

    2. 從下拉式清單中選取值。

  7. 儲存您的原則。

原則 3:每次有風險的使用者登入頻率控制

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取 [ 建立新原則]。
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取權或打破帳戶
    3. 選取完成
  6. 在 [目標資源>雲端應用程式>包含] 下,選取 [所有雲端應用程式]。
  7. 在 [條件>用戶風險],將 [設定] 設定為 [是]。 在 [ 設定原則強制執行 所需的用戶風險等級] 下,選取 [ ],然後選取 [ 完成]。
  8. 在 [訪問控制>與] 底下,選取 [授與存取權]、[需要變更密碼],然後選取 [選取]。
  9. [工作階段] 下控制>[登入頻率],選取 [每次]。
  10. 確認您的設定,並將 [啟用原則] 設定[僅報告]。
  11. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用僅限報表模式確認您的設定之後,可以將 [僅報表] 切換為 [開啟]。

驗證

使用 What If 工具,根據您設定原則的方式,模擬使用者登入目標應用程式和其他條件。 驗證工作階段管理控制項會顯示在此工具的結果中。

提示容錯

在原則中選取時,我們會考慮 5 分鐘的時鐘扭曲,因此我們不會每隔五分鐘多次提示使用者。 如果使用者在過去 5 分鐘內完成 MFA,而且他們遇到另一個需要重新驗證的條件式存取原則,我們不會提示使用者。 過度提示用戶進行重新驗證可能會影響其生產力,並增加使用者核准他們未起始之 MFA 要求的風險。 僅針對特定商務需求使用「登入頻率 – 每次」。

已知問題

  • 如果您設定行動裝置的登入頻率:每個登入頻率間隔之後的驗證可能會很慢,平均可能需要 30 秒的時間。 此外,它可能會在各種應用程式同時發生。
  • 在 iOS 裝置上:如果應用程式將憑證設定為第一個驗證因素,且應用程式同時套用登入頻率和 Intune 行動應用程式管理 原則,則當使用者觸發原則時,會封鎖使用者登入應用程式。

下一步

  • 如果您已準備好為環境設定條件式存取原則,請參閱規劃條件式存取部署一文