優化重新驗證提示並瞭解 Microsoft Entra 多重要素驗證的會話存留期

Microsoft Entra ID 有多個設定,可決定使用者重新驗證的頻率。 此重新驗證可能具有第一個因素,例如密碼、FIDO 或無密碼的 Microsoft Authenticator,或執行多重要素驗證。 您可以視需要為您自己的環境設定這些重新驗證設定,以及您想要的使用者體驗。

Microsoft Entra ID 的預設使用者登入頻率設定是每隔 90 天。 要求使用者提供認證通常似乎是一件明智的事,但可能會適得其反。 如果使用者經過訓練,在不考慮的情況下輸入其認證,他們可能會無意中將認證提供給惡意認證提示。

雖然任何違反 IT 原則的違規都撤銷會話,但不要要求使用者重新登入,這聽起來可能令人震驚。 某些範例包括密碼變更、不相容的裝置或帳戶停用作業。 您也可以使用 Microsoft Graph PowerShell 明確 撤銷使用者的會話。

本文詳述建議的組態,以及不同設定如何彼此運作及互動。

若要藉由要求使用者以正確的頻率登入,以正確的方式提供使用者安全性與使用便利性平衡,我們建議使用下列設定:

  • 如果您有 Microsoft Entra ID P1 或 P2:
    • 使用 受控裝置 無縫 SSO 跨應用程式啟用單一登入(SSO )。
    • 如果需要重新驗證,請使用條件式存取 登入頻率原則
    • 對於從非受控裝置或行動裝置案例登入的使用者,持續性瀏覽器會話可能不理想,或者您可以使用條件式存取來啟用具有登入頻率原則的持續性瀏覽器會話。 根據登入風險,將持續時間限制為適當的時間,其中風險較低的使用者具有較長的會話持續時間。
  • 如果您有 Microsoft 365 應用程式授權或免費的 Microsoft Entra 層:
  • 針對行動裝置案例,請確定您的使用者使用 Microsoft Authenticator 應用程式。 此應用程式可作為其他 Microsoft Entra ID 同盟應用程式的訊息代理程式,並減少裝置上的驗證提示。

我們的研究表明,這些設定適用于大多數租使用者。 這些設定的某些組合,例如 「記住 MFA 」和 「保持登入 」,可能會導致提示使用者太常進行驗證。 定期重新驗證提示對使用者生產力不利,而且可能會讓他們更容易遭受攻擊。

Microsoft Entra 會話存留期組態設定

若要優化使用者驗證提示的頻率,您可以設定 Microsoft Entra 會話存留期選項。 瞭解商務和使用者的需求,並設定為環境提供最佳平衡的設定。

評估會話存留期原則

如果沒有任何會話存留期設定,瀏覽器會話中就不會有持續性 Cookie。 每次使用者關閉並開啟瀏覽器時,他們都會收到重新驗證的提示。 在 Office 用戶端中,預設時間週期是 90 天的滾動時間範圍。 使用此預設 Office 組態時,如果使用者已重設其密碼,或有 90 天以上的閒置狀態,使用者必須以所有必要的因素重新驗證(第一個和第二個因素)。

使用者可能會在 Microsoft Entra 識別碼中沒有身分識別的裝置上看到多個 MFA 提示。 當每個應用程式有自己的 OAuth 重新整理權杖未與其他用戶端應用程式共用時,會產生多個提示。 在此案例中,MFA 會提示多次,因為每個應用程式要求 OAuth 重新整理權杖以 MFA 進行驗證。

在 Microsoft Entra ID 中,會話存留期限制最嚴格的原則會決定使用者何時需要重新驗證。 試想以下情況:

  • 您可以啟用 [保持登入 ],其使用持續性瀏覽器 Cookie,以及
  • 您也啟用 記住 MFA 14 天

在此範例案例中,使用者必須每隔 14 天重新驗證一次。 此行為遵循限制最嚴格的原則,即使 [讓我保持登入 ] 本身不需要使用者在瀏覽器中重新驗證。

受管理的裝置

使用 Microsoft Entra join 或 Microsoft Entra 混合式聯結加入 Microsoft Entra 識別碼的裝置會收到主要重新整理權杖 (PRT) 以跨應用程式使用單一 登錄 (SSO)。 此 PRT 可讓使用者在裝置上登入一次,並允許 IT 人員確保符合安全性和合規性標準。 如果某些應用程式或案例需要要求使用者更頻繁地在已加入的裝置上登入,可以使用條件式存取登入頻率 來達成 此目的。

顯示保持登入的選項

當使用者在登入期間選取 [保持登入嗎? 提示] 選項上 選取 [是 ],就會在瀏覽器上設定持續性 Cookie。 此持續性 Cookie 會同時記住第一個和第二個因素,而且僅適用于瀏覽器中的驗證要求。

Screenshot of example prompt to remain signed in

如果您有 Microsoft Entra ID P1 或 P2 授權,建議您針對 常設瀏覽器會話 使用條件式存取原則。 此原則會 覆寫 [保持登入? ] 設定,並提供改善的使用者體驗。 如果您沒有 Microsoft Entra ID P1 或 P2 授權,建議您為使用者啟用保持登入設定。

如需設定選項以讓使用者保持登入的詳細資訊,請參閱 如何管理「保持登入?」提示

記住多重要素驗證

此設定可讓您設定介於 1-365 天之間的值,並在使用者選取 [登入時不要再次要求 X 天 ] 選項,在瀏覽器中設定持續性 Cookie。

Screenshot of example prompt to approve a sign-in request

雖然此設定可減少 Web 應用程式上的驗證數目,但它會增加新式驗證用戶端的驗證數目,例如 Office 用戶端。 這些用戶端通常只有在密碼重設或 90 天未使用之後才會提示。 不過,將此值設定為小於 90 天會縮短 Office 用戶端的預設 MFA 提示,並增加重新驗證頻率。 與 [保持登入 ] 或 [條件式存取] 原則搭配 使用時,可能會增加驗證要求的數目。

如果您使用 記住 MFA 並擁有 Microsoft Entra ID P1 或 P2 授權,請考慮將這些設定移轉至條件式存取登入頻率。 否則,請考慮改用 [讓我保持登入嗎?

詳細資訊,請參閱 記住多重要素驗證

使用條件式存取進行驗證會話管理

登入頻率 可讓系統管理員選擇用戶端和瀏覽器中第一個和第二個因素適用的登入頻率。 當您需要限制驗證會話時,建議您使用這些設定,以及使用受管理的裝置,例如針對重要的商務應用程式。

持續性瀏覽器會話 可讓使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。 類似于 [保持登入 ] 設定,它會在瀏覽器上設定持續性 Cookie。 不過,由於系統管理員已設定,因此不需要使用者在 [保持登入] 選項中 選取 [是 ?] 選項,因此提供更好的使用者體驗。 如果您使用 [保持登入?] 選項,建議您改為啟用 常設瀏覽器會話 原則。

如需詳細資訊, 請參閱 使用條件式存取 設定驗證會話管理。

可設定的權杖存留期

此設定允許設定 Microsoft Entra ID 所簽發之權杖的存留期。 此原則會取代為 使用條件式存取 的驗證會話管理。 如果您目前使用 可設定的 權杖存留期,建議您開始移轉至條件式存取原則。

檢閱您的租使用者設定

現在您已瞭解不同設定的運作方式和建議組態,現在可以檢查您的租使用者。 您可以從查看登入記錄開始,以瞭解登入期間套用的會話存留期原則。

在每個登入記錄下,移至 [ 驗證詳細 資料] 索引標籤,並探索 [已套用的會話存留 期原則]。 如需詳細資訊,請參閱 瞭解登入記錄活動詳細 資料一文。

Screenshot of authentication details.

若要設定或檢閱 [保持登入 ] 選項,請完成下列步驟:

  1. 以全域管理員istrator 身分 登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 身分 > 識別公司商標 ],然後針對每個地區設定,選擇 [ 顯示] 選項以保持登入 狀態。
  3. 選擇 [ ],然後選取 [ 儲存 ]。

若要記住受信任裝置上的多重要素驗證設定,請完成下列步驟:

  1. 以至少驗證 原則管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [ 保護 > 多重要素驗證]。
  3. 在 [設定 ] 底下 ,選取 [其他雲端式 MFA 設定 ]。
  4. 在 [ 多重要素驗證服務設定 ] 頁面中,捲動以 記住多重要素驗證設定 。 取消核取核取方塊以停用設定。

若要設定登入頻率和持續性瀏覽器會話的條件式存取原則,請完成下列步驟:

  1. 以至少條件 式存取管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護 > 條件式存取]。
  3. 使用本文詳述的建議會話管理選項來設定原則。

若要檢閱權杖存留期, 請使用 Azure AD PowerShell 查詢任何 Microsoft Entra 原則 。 停用您已就緒的任何原則。

如果您的租使用者中已啟用多個設定,建議您根據您可用的授權來更新您的設定。 例如,如果您有 Microsoft Entra ID P1 或 P2 授權,則應該只使用登入頻率 永續性瀏覽器會話 的條件 式存取原則。 如果您有 Microsoft 365 應用程式或 Microsoft Entra ID 免費授權,您應該使用 [保持登入嗎? ] 組態。

如果您已啟用可設定的權杖存留期,這項功能很快就會移除。 規劃移轉至條件式存取原則。

下表摘要說明根據授權的建議:

Microsoft Entra ID Free 和 Microsoft 365 應用程式 Microsoft Entra ID P1 或 P2
SSO Microsoft Entra join Microsoft Entra hybrid join ,或 Unmanaged 裝置的無縫 SSO Microsoft Entra 加入
Microsoft Entra 混合式加入
重新驗證設定 保持登入 使用條件式存取原則進行登入頻率和持續性瀏覽器會話

下一步

若要開始使用,請完成 使用 Microsoft Entra 多重要素驗證 保護使用者登入事件的教學課程,或使用 使用者登入的風險偵測來觸發 Microsoft Entra 多重要素驗證