使用條件式存取來設定驗證工作階段管理

在複雜的部署中,組織可能需要限制驗證工作階段。 其中一些案例可能包括:

  • 從非受控或共用裝置存取資源
  • 從外部網路存取敏感性資訊
  • 高影響度的使用者
  • 重大商務應用程式

條件式存取控制可讓您建立以組織內特定使用案例為目標的原則,而不會影響所有使用者。

在深入探討有關如何設定原則的詳細資料之前,讓我們先來看預設設定。

使用者登入頻率

登入頻率定義使用者嘗試存取資源時,收到重新登入要求之前的時間週期。

使用者登入頻率的 Azure Active Directory (Azure AD) 預設設定是 90 天的滾動時段。 要求使用者提供認證通常是很好的事,但可以會適得其反:已受過訓練不需思考即輸入認證的使用者,可能會不慎將認證提供給惡意認證提示。

不要求使用者重新登入聽起來可能很令人擔憂;但事實上,任何違反 IT 原則的情況都會撤銷工作階段。 部分範例包括 (但不限於) 密碼變更、不合規裝置或帳戶停用。 您也可以使用 PowerShell 明確撤銷使用者的工作階段。 Azure AD 預設設定會出現「不要求使用者提供其認證 (如果其工作階段的安全性態勢尚未變更)」。

登入頻率適用於已根據標準實作 OAuth2 或 OIDC 通訊協定的應用程式。 大部分適用於 Windows、Mac 和行動裝置的 Microsoft 原生應用程式 (包括下列 Web 應用程式) 都會遵循該設定。

  • Word、Excel、PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 管理入口網站
  • Exchange Online
  • SharePoint 和 OneDrive
  • Teams 網頁用戶端
  • Dynamics CRM Online
  • Azure 入口網站

登入頻率設定適用於第三方 SAML 應用程式和已實作 OAuth2 或 OIDC 通訊協定,只要其不會卸除自己的 Cookie,並定期重新導向回到 Azure AD 進行驗證。

使用者登入頻率和多重要素驗證

登入頻率先前只套用至已加入 Azure AD、加入混合式 Azure AD,以及註冊 Azure AD 之裝置上的第一個要素驗證。 我們的客戶無法輕鬆地在這些裝置上重新施行多重要素驗證 (MFA)。 根據客戶意見反應,登入頻率未來也將適用於 MFA。

登入頻率和 MFA

使用者登入頻率和裝置身分識別

在已加入 Azure AD 的裝置、已使用混合式 Azure AD 而聯結的裝置或 Azure AD 註冊裝置上,解除鎖定裝置或以互動方式登入會滿足登入頻率原則。 在下列兩個範例中,使用者登入頻率設定為 1 小時:

範例 1:

  • 在 00:00,使用者登入已使用 Azure AD 而聯結的 Windows 10 裝置,並開始使用儲存在 SharePoint Online 上的文件。
  • 使用者在其裝置上持續使用相同的文件一小時。
  • 在 01:00,系統根據管理員所設定條件式存取原則中的登入頻率需求,提示使用者重新登入。

範例 2:

  • 在 00:00,使用者登入已使用 Azure AD 而聯結的 Windows 10 裝置,並開始使用儲存在 SharePoint Online 上的文件。
  • 在 00:30,使用者起身休息,並鎖定其裝置。
  • 在 00:45,使用者結束休息回到工作,並解除鎖定裝置。
  • 在 01:45,系統根據管理員自上次在 00:45 登入後所設定條件式存取原則中的登入頻率需求,提示使用者重新登入。

每次都需要重新驗證

在某些情況下,在使用者執行特定動作之前,客戶可能會希望每次均要求重新驗證。 除了小時或天數以外,登入頻率也新增了 [每次] 選項。

支援的情節:

當管理員選取 [每次] 時,系統均會在評估工作階段時要求完整重新驗證。

瀏覽工作階段的持續性

持續性瀏覽器工作階段可讓使用者在關閉其瀏覽器視窗後重新開啟時,保持登入狀態。

Azure AD 的瀏覽器工作階段持續性預設值,可讓個人裝置上的使用者選擇是否要在成功驗證之後顯示「保持登入嗎?」 提示,以保留工作階段。 如果瀏覽器持續性是在 AD FS 中使用 AD FS 單一登入設定一文中的指引來設定,我們將遵守該原則,並同時保存 Azure AD 工作階段。 您也可以設定租用戶中的使用者是否看到「保持登入?」 提示,方法是在公司商標窗格中變更適當的設定。

設定驗證工作階段控制項

條件式存取是 Azure AD Premium 功能,且需要 Premium 授權。 如果想進一步深入瞭解條件式存取,請參閱什麼是 Azure Active Directory 條件式存取?

警告

如果您使用目前處於公開預覽狀態的可設定權杖存留期功能,請注意,我們不支援針對相同的使用者或應用程式組合建立兩個不同的原則:一種是具有此功能,另一種則是具有可設定權杖存留期功能。 Microsoft 已在 2021 年 1 月 30 日淘汰重新整理和工作階段權杖存留期的可設定權杖存留期功能,並將其取代為條件式存取驗證工作階段管理功能。

在啟用登入頻率之前,請確定您的租用戶中已停用其他重新驗證設定。 如果已啟用 [記住受信任裝置上的 MFA],請務必在使用登入頻率之前將其停用,因為這兩個設定一起使用時,可能會導致使用者收到非預期的提示。 若要深入了解重新驗證提示和工作階段存留期,請參閱最佳化重新驗證提示,並了解 Azure AD Multi-Factor Authentication 的工作階段存留期一文。

原則部署

若要確定您的原則會如預期般運作,建議的最佳做法是先測試,再推出到生產環境。 在理想情況下,可以使用測試租用戶來驗證您的新原則是否如預期般運作。 如需詳細資訊,請參閱規劃條件式存取部署一文。

原則 1:登入頻率控制

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站

  2. 瀏覽至 [Azure Active Directory]>[安全性]>[條件式存取]。

  3. 選取 [新增原則]。

  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇客戶環境的所有必要條件,包括目標雲端應用程式。

    注意

    建議您為金鑰 Microsoft Office 應用程式 (例如 Exchange Online 和 SharePoint Online) 設定相同的驗證提示頻率,以獲得最佳使用者體驗。

  6. 在 [存取控制]>[工作階段] 底下。

    1. 選取 [登入頻率]。
      1. 選擇 [定期重新驗證],然後輸入小時或天數的值,或選取 [每次]。
  7. 儲存原則。

    為登入頻率所設定的條件式存取原則。

原則 2:持續性瀏覽器工作階段

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站

  2. 瀏覽至 [Azure Active Directory]>[安全性]>[條件式存取]。

  3. 選取 [新增原則]。

  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇所有必要的條件。

    注意

    請注意,此控制項需要選擇「所有雲端應用程式」作為條件。 瀏覽器工作階段持續性由驗證工作階段權杖控制。 瀏覽器工作階段中的所有索引標籤都會共用單一工作階段權杖,因此其都必須共用持續性狀態。

  6. 在 [存取控制]>[工作階段] 底下。

    1. 選取 [持續性瀏覽器工作階段]。

      注意

      Azure AD 條件式存取中的持續性瀏覽器工作階段設定將會為相同使用者 在 Azure 入口網站的 [公司商標] 窗格中覆寫「保持登入?」設定 (如果您已設定這兩個原則)。

    2. 從下拉式清單中選取值。

  7. 儲存原則。

原則 3:登入頻率控制 (出現風險性使用者時)

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory]>[安全性]>[條件式存取]。
  3. 選取 [新增原則]。
  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
    1. 在 [包含] 下,選取 [所有使用者]。
    2. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶
    3. 選取 [完成]。
  6. 在 [雲端應用程式或動作] > [包括] 底下,選取 [所有雲端應用程式]。
  7. 在 [條件] > [使用者風險] 底下,將 [設定] 設為 [是]。 在 [設定需要強制執行原則的使用者風險層級] 下,選取 [高],然後選取 [完成]。
  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]、[需要變更密碼],然後選取 [選取]。
  9. 在 [工作階段控制項]>[登入頻率] 下,選取 [每次]。
  10. 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
  11. 選取 [建立],以建立並啟用您的原則。

管理員使用報表專用模式確認您的設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

驗證

使用假設狀況工具,根據您設定原則的方式,模擬使用者對目標應用程式的登入及其他狀況。 驗證工作階段管理控制項會顯示在此工具的結果中。

提示容錯

我們會考量五分鐘的時鐘誤差,因此不會以超過每隔五分鐘一次的頻率提示使用者。 如果使用者在過去 5 分鐘中完成 MFA,且遇到另一需要重新驗證的條件式存取原則,我們不會提示使用者。 過度提示使用者進行重新驗證可能會影響其生產力,並增加使用者核准他們未起始之 MFA 要求的風險。 僅針對特定業務需求使用「登入頻率 - 每次」。

已知問題

  • 如果您設定行動裝置的登入頻率:每個登入頻率間隔之後的驗證可能很慢 (平均可能需要 30 秒)。 此外,其也可能同時在不同的應用程式之間發生。
  • 在 iOS 裝置上:如果應用程式將憑證設定為第一個驗證要素,而且應用程式同時套用了登入頻率和 Intune 行動應用程式管理原則,則終端使用者會在原則觸發時遭到封鎖而無法登入應用程式。

後續步驟