Microsoft Entra 多重要素驗證的重新驗證提示和會話存留期
Microsoft Entra ID 有多個設定可決定使用者需要重新驗證的頻率。 此重新驗證可能只牽涉到第一個因素,例如密碼、快速 IDentity Online (FIDO),或無密碼Microsoft驗證器。 或者可能需要多重要素驗證 (MFA)。 您可以視需要針對自己的環境以及您想要的用戶體驗,設定這些重新驗證設定。
Microsoft Entra ID 的預設使用者登入頻率設定是每隔 90 天。 經常要求使用者提供認證雖然看似合理,但也可能會帶來反效果。 如果使用者習慣不加思索地輸入其登入資訊,則可能會不慎將登入資訊提供給惡意認證提示。
不要求使用者重新登入可能聽起來令人震驚。 不過,任何違反 IT 原則的行為會撤銷工作階段。 某些範例包括密碼變更、不相容的裝置,或停用帳戶的作業。 您也可以使用 Microsoft Graph PowerShell 明確撤銷使用者的工作階段。
本文詳述建議的組態,以及各種設定如何彼此運作及互動。
建議的設定
若要以正確的頻率要求使用者登入,讓您的使用者在安全性和便利性之間取得平衡,建議您執行下列設定:
- 若您有 Microsoft Entra ID P1 或 P2:
- 使用 受控裝置 或 無縫 SSO 跨應用程式啟用單一登錄(SSO)。
- 如果需要重新驗證,請使用Microsoft Entra 條件式存取 登入頻率原則 。
- 對於從非受控裝置或行動裝置案例登入的使用者,持續性瀏覽器會話可能不是較佳的。 或者,您可以使用條件式存取來啟用具有登入頻率原則的持續性瀏覽器會話。 根據登入風險將持續時間限制在適當的時間,其中風險較低的使用者會有較長的工作階段持續時間。
- 如果您有 Microsoft 365 Apps 授權或 Microsoft Entra ID 免費授權:
- 使用 受控裝置 或 無縫 SSO 跨應用程式啟用 SSO。
- 保留 [ 顯示] 選項以保持 登入選項已啟用,並引導使用者接受 [保持登入? 登入]。
- 針對行動裝置案例,請確定您的使用者使用 Microsoft Authenticator 應用程式。 此應用程式是其他Microsoft Entra ID 同盟應用程式的訊息代理程式,可減少裝置上的驗證提示。
我們的研究顯示這些設定最適合大部分的租用戶。 這些設定的某些組合,例如 [記住多重要素驗證 ] 和 [顯示] 選項以保持登入狀態,可能會導致提示使用者太常進行驗證。 定期重新驗證提示對用戶生產力不利,而且可讓使用者更容易遭受攻擊。
設定 Microsoft Entra 工作階段存留期的設定
若要優化使用者驗證提示的頻率,您可以設定 Microsoft Entra 工作階段存留期的設定。 了解公司和使用者的需求,設定可為環境提供最佳平衡的設定。
會話存留期原則
如果沒有任何會話存留期設定,瀏覽器會話就沒有持續性 Cookie。 每次使用者關閉並開啟瀏覽器時,他們都會收到重新驗證的提示。 在 Office 用戶端中,預設的週期是 90 天的滾動時段。 使用此預設 Office 組態時,如果使用者重設密碼或會話超過 90 天,用戶必須以所需的第一個和第二個因素重新驗證。
使用者可能會在 Microsoft Entra ID 中沒有身分識別的裝置上看到多個 MFA 提示。 當每個應用程式都有自己的 OAuth 重新整理權杖,而該權杖未與其他用戶端應用程式共用時,便會產生多個提示。 在此案例中,因為每個應用程式要求使用 MFA 驗證 OAuth 重新整理權杖,因此 MFA 會提示多次。
在 Microsoft Entra ID 中,工作階段存留期限制最嚴格的原則會決定使用者何時需要重新驗證。 請考慮您啟用這兩個設定的案例:
- 顯示保持登入的選項,其使用持續性瀏覽器 Cookie
- 記住值為 14 天的多重要素驗證
在此範例中,用戶必須每隔 14 天重新驗證一次。 此行為遵循限制最嚴格的原則,即使 [顯示] 選項自行保持登入 ,也不需要使用者在瀏覽器上重新驗證。
受控裝置
透過Microsoft Entra join 或 Microsoft Entra 混合式聯結加入Microsoft Entra 標識符的裝置會收到 主要重新整理令牌 (PRT) 以跨應用程式使用 SSO。
此 PRT 可讓使用者在裝置上登入一次,並允許 IT 人員確定裝置符合安全性和合規性標準。 如果您需要要求使用者在某些應用程式或案例中更頻繁地登入已加入裝置,您可以使用條件式存取 登入頻率原則 。
保持登入的選項
當使用者在登入期間選取 [保持登入嗎? 提示] 選項時,選取範圍會在瀏覽器中設定持續性 Cookie。 此持續性 Cookie 會記住第一個和第二個因素,而且僅適用於瀏覽器中的驗證要求。
如果您有Microsoft Entra ID P1 或 P2 授權,建議您針對 常設瀏覽器會話使用條件式存取原則。 此原則會覆寫 [ 顯示] 選項以維持登入 設定,並提供改善的用戶體驗。 如果您沒有Microsoft Entra ID P1 或 P2 授權,建議您啟用 [顯示] 選項以維持使用者的登入 設定。
如需設定選項以讓使用者保持登入的詳細資訊,請參閱 管理「保持登入?」提示。
記住多重要素驗證的選項
[ 記住多重要素驗證 ] 設定可讓您設定 1 到 365 天的值。 當使用者在登入時選取 [不要再次要求 X 天 ] 選項時,它會在瀏覽器中設定持續性 Cookie。
雖然此設定可減少 Web 應用程式上的驗證數目,但它會增加新式驗證客戶端的驗證數目,例如 Office 用戶端。 這些用戶端通常只會在密碼重設或閒置 90 天後才會提示驗證。 不過,將此值設定為小於90天會縮短 Office 客戶端的預設 MFA 提示,並增加重新驗證頻率。 當您將此設定與 [顯示] 選項搭配 使用以保持登入 或條件式存取原則時,可能會增加驗證要求數目。
如果您使用 [記住多重要素驗證 ],並具有 Microsoft Entra ID P1 或 P2 授權,請考慮將這些設定移轉至條件式存取 登入頻率。 否則,請考慮改用 [顯示] 選項來保持登入 狀態。
如需詳細資訊,請參閱<記住多重要素驗證>。
透過條件式存取進行驗證工作階段管理
系統管理員可以使用 登入頻率原則來選擇適用於客戶端和瀏覽器中第一個和第二個因素的登入頻率 。 建議您在需要限制驗證會話的情況下,使用這些設定以及使用受管理的裝置。 例如,您可能需要限制重要商務應用程式的驗證會話。
瀏覽器永續性工作階段可讓使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。 就像 [ 顯示] 選項保持登入 設定一樣,它會在瀏覽器上設定持續性 Cookie。 但是,因為系統管理員會設定它,所以不需要使用者在 [保持登入嗎?] 選項中選取 [是]。 如此一來,它可提供更佳的用戶體驗。 如果您使用 [ 顯示] 選項維持登入 選項,建議您改為啟用 常設瀏覽器會話 原則。
如需詳細資訊,請參閱 設定自適性會話存留期原則。
可設定的權杖存留期
[ 可設定的 令牌存留期] 設定允許針對Microsoft Entra ID 問題的令牌設定存留期。 使用條件式存取 的驗證會話管理會取代此原則。 如果您現在使用 可設定的令牌存留期 ,建議您開始移轉至條件式存取原則。
檢查租用戶設定
現在您已瞭解各種設定的運作方式和建議的設定,現在可以檢查您的租使用者。 您可以先查看登入記錄,了解登入期間已套用哪些工作階段存留期原則。
在每個登入記錄下,移至 [驗證詳細資料] 索引標籤,並探索 [已套用工作階段存留期原則]。 如需詳細資訊,請參閱 瞭解登入記錄活動詳細數據。
若要設定或檢閱 [ 顯示] 選項以保持登入 選項:
- 以全域管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分識別>公司商標]。 然後,針對每個地區設定,選取 [ 顯示] 選項以保持登入狀態。
- 選取 [ 是],然後選取 [ 儲存]。
若要記住受信任裝置上的多重要素驗證設定:
- 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至[資料保護] > [多重要素驗證]。
- 在 [設定] 底下,選取 [其他雲端式 MFA 設定]。
- 在 [ 多重要素驗證服務設定 ] 窗格中,捲動至 [ 記住多重要素驗證設定 ],然後選取複選框。
若要設定登入頻率和持續性瀏覽器會話的條件式存取原則:
- 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]。
- 使用本文建議的會話管理選項來設定原則。
若要檢閱令牌存留期, 請使用 Microsoft Graph PowerShell 來查詢任何Microsoft Entra 原則。 停用任何您已設置的原則。
如果您的租使用者中已啟用多個設定,建議您根據可用的授權來更新您的設定。 例如,如果您有Microsoft Entra ID P1 或 P2 授權,則應該只使用登入頻率和常設瀏覽器會話的條件式存取原則。 如果您有 Microsoft 365 Apps 授權或 Microsoft Entra ID 免費授權,您應該使用 [ 顯示] 選項維持登入設定 。
如果您已啟用可設定的令牌存留期,請記住,這項功能很快就會移除。 規劃移轉至條件式存取原則。
下表摘要說明以授權為基礎的建議:
| 類別 | Microsoft 365 應用程式或 Microsoft 項目標識碼免費 | Microsoft Entra ID P1 或 P2 |
|---|---|---|
| SSO | Microsoft Entra join 或 Microsoft Entra hybrid join,或 Unmanaged 裝置的無縫 SSO | Microsoft Entra 聯結或Microsoft Entra 混合式聯結 |
| 重新驗證設定 | 顯示保持登入的選項 | 登入頻率和持續性瀏覽器會話的條件式存取原則 |