條件式存取調適型工作階段存留期原則可讓組織限制複雜部署中的驗證工作階段。 案例包括:
- 從非受控或共用裝置存取資源
- 從外部網路存取敏感性資訊
- 高影響度的使用者
- 重大商務應用程式
條件式存取提供自適性會話存留期原則控制,讓您建立以組織內特定使用案例為目標的原則,而不會影響所有使用者。
在探索如何設定原則之前,請檢查預設設定。
使用者登入頻率
登入頻率會指定使用者在系統要求再次登入之前可以存取資源的時間長度。
Microsoft Entra ID 的預設使用者登入頻率設定是每隔 90 天。 經常向使用者詢問憑證似乎是明智的,但這種方法可能會適得其反。 習慣性不假思索地輸入憑證的使用者可能會無意中將其提供給惡意提示。
不要求使用者重新登入可能看起來令人擔憂,但任何 IT 原則違規都會撤銷會話。 範例包括密碼變更、不合規的裝置或帳戶被停用。 您也可以使用 Microsoft Graph PowerShell 明確撤銷使用者的工作階段。 Microsoft Entra ID 預設設定為: 如果會話的安全性狀態未變更,請勿要求使用者提供其認證。
登入頻率設定適用於已根據標準實作 OAuth2 或 OIDC 通訊協定的應用程式。 大部分Microsoft原生應用程式,例如適用於 Windows、Mac 和 Mobile 的應用程式,包括下列 Web 應用程式符合設定。
- Word、Excel、PowerPoint Online
- OneNote 連線
- Office.com
- Microsoft 365 管理入口網站
- 線上交換所
- SharePoint 和 OneDrive
- Teams 網頁用戶端
- Dynamics CRM 在線
- Azure 入口網站
登入頻率 (SIF) 可與使用 OAuth2 或 OIDC 通訊協定的非 Microsoft SAML 應用程式和應用程式搭配使用,只要它們不會卸除自己的 Cookie,並定期重新導向回 Microsoft Entra ID 進行驗證即可。
使用者登入頻率和多重要素驗證
先前,登入頻率只會套用至 Microsoft Entra 加入、混合式加入和已註冊裝置上的第一因素驗證。 客戶無法輕鬆強化這些裝置上的多重要素驗證。 根據客戶的意見反應,登入頻率現在也適用於多重要素驗證 (MFA)。
使用者登入頻率和裝置身分識別
在 Microsoft Entra 加入和混合式加入的裝置上,每次解除鎖定或以互動方式登入時,主要重新整理權杖(PRT)會每四小時被重新整理一次。 相較於目前時間戳記,針對 PRT 所記錄的最後一個重新整理時間戳記必須處於 SIF 原則中分配的時間內,以便 PRT 滿足 SIF,並向具有現有 MFA 宣告的 PRT 授與存取權。 在 Microsoft Entra 註冊的裝置上,解除鎖定或登入不符合 SIF 原則,因為使用者無法透過 Microsoft Entra 帳戶存取Microsoft Entra 註冊的裝置。 不過,Microsoft Entra WAM 外掛程式可以在使用 WAM 的原生應用程式驗證期間重新整理 PRT。
注意
由於 4 小時重新整理週期,從使用者登入擷取的時間戳記不一定與 PRT 重新整理的最後一個記錄時間戳記相同。 當 PRT 過期時,使用者登入會使其有效期延長4小時,這種情況與原先相同。 在下列範例中,假設 SIF 原則設定為 1 小時,且 PRT 會在 00:00 重新整理。
範例 1:當您在 SPO 中繼續處理相同文件一個小時時
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始處理儲存在 SharePoint Online 上的文件。
- 使用者在其裝置上持續使用相同的文件一小時。
- 於 01:00,系統會提示使用者再次登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率要求為基礎。
範例 2:當您暫停在瀏覽器中運行的背景任務時,然後在經過 SIF 原則時間後再重新互動
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始將文件上傳至 SharePoint Online。
- 於 00:10,使用者起身休息,並鎖定其裝置。 背景會繼續上傳至 SharePoint Online。
- 在 02:45,使用者從休息返回並解除鎖定裝置。 背景上傳顯示已完成。
- 於 02:45,當使用者再次互動時,系統會提示使用者登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率要求為基礎 (由於上次登入發生於 00:00)。
如果用戶端應用程式(在活動詳情中)是瀏覽器,我們會延遲在背景服務上執行活動事件和原則的強制登入頻率,直到下一次使用者互動為止。 在機密用戶端上,非互動式登入的登入頻率強制執行會延遲到下一次互動式登入為止。
範例 3:從解除鎖定開始的主要重新整理權杖的重新整理週期為四小時
案例 1 - 使用者在週期內返回
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始處理儲存在 SharePoint Online 上的文件。
- 在 00:30,使用者起身休息,並鎖住裝置。
- 在 00:45,使用者結束休息回到工作,並解除鎖定裝置。
- 於 01:00,系統會提示使用者再次登入。 此提示是以系統管理員設定的條件式存取原則中的登入頻率要求為基礎 (首次登入後 1 小時)。
情境 2 - 使用者在週期外返回
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始處理儲存在 SharePoint Online 上的文件。
- 在 00:30,使用者起身休息,並鎖住裝置。
- 使用者於 04:45 結束休息並解除鎖定裝置。
- 於 05:45,系統會提示使用者再次登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率要求為基礎。 現在距離 PRT 於 04:45 重新整理已經過 1 小時,距離 00:00 首次登入已經過 4 小時以上。
每次都需要重新驗證
在某些情況下,客戶可能希望在每次使用者執行特定動作時要求重新驗證,例如:
- 存取敏感性應用程式。
- 保護 VPN 或網路即服務 (NaaS) 提供者背後的資源。
- 保護 PIM 中的特殊權限角色提升。
- 保護使用者登入 Azure 虛擬桌面機器。
- 保護 Microsoft Entra ID Protection 識別出具風險的使用者和具風險的登入。
- 保護敏感性使用者動作,例如 Microsoft Intune 註冊。
當管理員選取 [每次] 時,系統均會在評估工作階段時要求完整重新驗證。 例如,如果使用者在會話存留期內關閉並開啟瀏覽器,則不會提示他們重新驗證。 當資源具有邏輯來識別用戶端何時應該取得新令牌時,設定為每次登入會達到最佳效果。 這些資源只會在會話到期后,將使用者重新導向回Microsoft Entra。
系統管理員應限制其強制執行原則 (要求使用者每次重新驗證) 的應用程式數目。 重新驗證的過於頻繁可能會增加安全程序的阻礙,導致使用者對多因素驗證感到厭煩,進而提高被網路釣魚攻擊的風險。 當每次啟用都需要重新驗證時,Web 應用程式通常比桌面應用程式提供更少的破壞性體驗。 每次在原則中選擇時間時,我們都會考慮五分鐘的時鐘誤差,因此不會以超過每隔五分鐘一次的頻率提示使用者。
警告
每次都要求重新驗證而不使用多重身份驗證,可能會導致使用者陷入重複性的登入循環。
- 針對 Microsoft 365 堆疊中的應用程式,我們建議使用時間型使用者登入頻率,以提供更好的使用者體驗。
- 針對 Azure 入口網站和 Microsoft Entra 系統管理中心,我們建議您使用 以時間為基礎的使用者登入頻率,或在啟用 PIM 時透過驗證內容 要求再次驗證, 以提供更好的用戶體驗。
瀏覽會話的持續性
持續性瀏覽器會話可讓使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
Microsoft Entra ID 的瀏覽器工作階段持續性預設值可讓個人裝置上的使用者決定是否要保存工作階段,方法是在驗證成功之後顯示 [保持登入狀態?] 提示。 如果根據 AD FS 單一登入設定中的指引在 AD FS 中設定瀏覽器持續性,則會遵循該政策,並保持 Microsoft Entra 的會話持續性。 您可以變更公司品牌窗格中的適當設定,以設定租用戶中的使用者是否看到 [保持登入狀態?] 提示。
在持久性瀏覽器中,即使瀏覽器關閉後,cookie 仍儲存在使用者的裝置上。 這些 Cookie 可能會存取 Microsoft Entra 成品,這些成品在權杖到期之前仍可使用,而不論套用至資源環境的條件式存取原則為何。 因此,令牌快取可能會直接違反驗證所需的安全性原則。 儲存目前會話以外的權杖可能看起來很方便,但這可能會造成安全性漏洞,允許未經授權存取 Microsoft Entra 資源。
配置身份驗證連線控制
條件式存取是需要進階授權的 Microsoft Entra ID P1 或 P2 功能。 若要深入瞭解條件式存取,請參閱 什麼是 Microsoft Entra ID 中的條件式存取?。
警告
如果您使用目前公開預覽中的 可設定權杖存留期 功能,請勿為相同的使用者或應用程式組合建立兩個不同的原則:一個具有此功能,另一個具有可設定的權杖存留期功能。 Microsoft於 2021 年 1 月 30 日淘汰了重新整理和會話令牌存留期的可設定令牌存留期功能,並取代為條件式存取驗證會話管理功能。
啟用登入頻率之前,請確定您的租使用者已停用其他重新驗證設定。 如果啟用了「在受信任的裝置上記住 MFA」,請先停用此設定,再使用登入頻率,因為這兩個設定同時使用時可能會意外地提示使用者。 若要深入瞭解重新驗證提示和工作階段存留期,請參閱 最佳化重新驗證提示,並瞭解 Microsoft Entra 多重要素驗證的工作階段存留期。
下一步
- 在條件式存取原則中設定工作階段存留期
- 若要為您的環境設定條件式存取原則,請參閱規劃 條件式存取部署一文。