條件式存取自適性會話存留期原則可協助組織限制複雜部署中的驗證會話。 案例包括:
- 從非受控或共用裝置存取資源
- 從外部網路存取敏感性資訊
- 高影響度的使用者
- 重大商務應用程式
條件式存取提供自適性會話存留期原則控制,讓您建立以組織內特定使用案例為目標的原則,而不會影響所有使用者。
在深入瞭解如何設定原則的詳細數據之前,讓我們來檢查預設組態。
使用者登入頻率
登入頻率定義使用者嘗試存取資源時,收到重新登入要求之前的時間週期。
Microsoft Entra ID 的預設使用者登入頻率設定是每隔 90 天。 要求使用者提供認證通常看起來很合理,但可能會適得其反。 經過訓練而不加思索地輸入憑證的使用者,可能會不小心將其憑證提供給惡意要求輸入憑證的提示。
不要求使用者重新登入聽起來可能令人擔憂,但任何違反 IT 原則的行為都會將會話終止。 某些範例包括密碼變更、不符合規範的裝置或帳戶停用。 您也可以使用 Microsoft Graph PowerShell 明確撤銷使用者的工作階段。 Microsoft Entra ID 預設設定歸結為「如果用戶會話的安全性狀態未變更,請勿要求使用者提供其認證」。
登入頻率設定適用於已根據標準實作 OAuth2 或 OIDC 通訊協定的應用程式。 大部分Microsoft原生應用程式,例如適用於 Windows、Mac 和 Mobile 的應用程式,包括下列 Web 應用程式符合設定。
- Word、Excel、PowerPoint Online
- OneNote 連線
- Office.com
- Microsoft 365 管理入口網站
- Exchange Online
- SharePoint 和 OneDrive
- Teams 網頁用戶端
- Dynamics CRM 在線
- Azure 入口網站
登入頻率 (SIF) 適用於實作 OAuth2 或 OIDC 通訊協定的非Microsoft SAML 應用程式和應用程式,只要它們不會卸除自己的 Cookie,並且會定期重新導向回 Microsoft Entra ID 以進行驗證。
使用者登入頻率和多重要素驗證
此前,登入頻率僅適用於已加入 Microsoft Entra、已混合加入 Microsoft Entra,及已註冊 Microsoft Entra 裝置上的第一要素驗證。 客戶無法輕易地在這些裝置上強化多重要素驗證。 根據客戶的意見反應,登入頻率現在也適用於多重要素驗證 (MFA)。
使用者登入頻率和裝置身分識別
在 Microsoft Entra 加入及 Microsoft Entra 混合式加入裝置上,解除鎖定裝置或以互動方式登入會每隔 4 小時重新整理主要重新整理令牌(PRT)。 相較於目前時間戳記,針對 PRT 所記錄的最後一個重新整理時間戳記必須處於 SIF 原則中分配的時間內,以便 PRT 滿足 SIF,並向具有現有 MFA 宣告的 PRT 授與存取權。 在 Microsoft Entra 註冊的裝置上,解除鎖定或登入不符合 SIF 原則,因為使用者無法透過 Microsoft Entra 帳戶存取Microsoft Entra 註冊的裝置。 不過,Microsoft Entra WAM 外掛程式可以在使用 WAM 的原生應用程式驗證期間重新整理 PRT。
注意
由於 4 小時重新整理週期,從使用者登入擷取的時間戳記不一定與 PRT 重新整理的最後一個記錄時間戳記相同。 當 PRT 過期時,使用者登入會使其有效期延長4小時,這種情況與原先相同。 在下列範例中,假設 SIF 原則設定為 1 小時,且 PRT 會在 00:00 重新整理。
範例 1:當您在 SPO 中繼續處理相同文件一個小時時
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始處理儲存在 SharePoint Online 上的文件。
- 使用者在其裝置上持續使用相同的文件一小時。
- 於 01:00,系統會提示使用者再次登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率要求為基礎。
範例 2:當您暫停在瀏覽器中運行的背景任務時,然後在經過 SIF 原則時間後再重新互動
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始將文件上傳至 SharePoint Online。
- 於 00:10,使用者起身休息,並鎖定其裝置。 背景會繼續上傳至 SharePoint Online。
- 在 02:45,使用者從休息返回並解除鎖定裝置。 背景上傳顯示已完成。
- 於 02:45,當使用者再次互動時,系統會提示使用者登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率要求為基礎 (由於上次登入發生於 00:00)。
如果用戶端應用程式(在活動詳情中)是瀏覽器,我們會延遲在背景服務上執行活動事件和原則的強制登入頻率,直到下一次使用者互動為止。 在機密用戶端上,非互動式登入的登入頻率強制執行會延遲到下一次互動式登入為止。
範例 3:從解除鎖定開始的主要重新整理權杖的重新整理週期為四小時
案例 1 - 使用者在週期內返回
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始處理儲存在 SharePoint Online 上的文件。
- 在 00:30,使用者起身休息,並鎖住裝置。
- 在 00:45,使用者結束休息回到工作,並解除鎖定裝置。
- 於 01:00,系統會提示使用者再次登入。 此提示是以系統管理員設定的條件式存取原則中的登入頻率要求為基礎 (首次登入後 1 小時)。
情境 2 - 使用者在週期外返回
- 於 00:00,使用者登入其已加入 Microsoft Entra 的 Windows 11 裝置,並開始處理儲存在 SharePoint Online 上的文件。
- 在 00:30,使用者起身休息,並鎖住裝置。
- 使用者於 04:45 結束休息並解除鎖定裝置。
- 於 05:45,系統會提示使用者再次登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率要求為基礎。 現在距離 PRT 於 04:45 重新整理已經過 1 小時,距離 00:00 首次登入已經過 4 小時以上。
每次都需要重新驗證
在某些情況下,客戶可能希望在每次使用者執行特定動作時要求重新驗證,例如:
- 存取敏感性應用程式。
- 保護 VPN 或網路即服務 (NaaS) 提供者背後的資源。
- 保護 PIM 中的特殊權限角色提升。
- 保護使用者登入 Azure 虛擬桌面機器。
- 保護 Microsoft Entra ID Protection 識別出具風險的使用者和具風險的登入。
- 保護敏感性使用者動作,例如 Microsoft Intune 註冊。
當管理員選取 [每次] 時,系統均會在評估工作階段時要求完整重新驗證。 例如,如果使用者在會話存留期內關閉並開啟瀏覽器,則不會提示他們重新驗證。 當資源具有邏輯來識別用戶端何時應該取得新令牌時,設定為每次登入會達到最佳效果。 這些資源只會在會話到期后,將使用者重新導向回Microsoft Entra。
系統管理員應限制其強制執行原則 (要求使用者每次重新驗證) 的應用程式數目。 重新驗證的過於頻繁可能會增加安全程序的阻礙,導致使用者對多因素驗證感到厭煩,進而提高被網路釣魚攻擊的風險。 當每次啟用都需要重新驗證時,Web 應用程式通常比桌面應用程式提供更少的破壞性體驗。 每次在原則中選擇時間時,我們都會考慮五分鐘的時鐘誤差,因此不會以超過每隔五分鐘一次的頻率提示使用者。
警告
每次都要求重新驗證而不使用多重身份驗證,可能會導致使用者陷入重複性的登入循環。
- 針對 Microsoft 365 堆疊中的應用程式,我們建議使用時間型使用者登入頻率,以提供更好的使用者體驗。
- 針對 Azure 入口網站和 Microsoft Entra 系統管理中心,我們建議您使用 以時間為基礎的使用者登入頻率,或在啟用 PIM 時透過驗證內容 要求再次驗證, 以提供更好的用戶體驗。
瀏覽會話的持續性
持續性瀏覽器會話可讓使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
zh-TW: Microsoft Entra ID 的預設瀏覽器會話持續性選項允許使用者在個人裝置上選擇,是否在成功驗證後透過顯示 保持登入? 提示來保持會話。 如果在 AD FS 中使用文章 AD FS 單一登入設定中的指導來配置瀏覽器的持久性,我們將遵循該政策,並同時持續 Microsoft Entra 的會話。 您也可以在公司商標窗格中變更適當的設定,來設定租使用者中的使用者是否看到 [保持登入?] 提示。
在持續性瀏覽器中,即使使用者關閉瀏覽器之後,Cookie 仍會保留在使用者的裝置中。 這些 Cookie 可以存取 Microsoft Entra 成品,而且這些成品可在令牌到期之前使用,而不論放置在資源環境的條件式存取原則為何。 因此,令牌快取可能會直接違反驗證所需的安全性原則。 將 token 儲存超出當前會話之外似乎很方便,但這樣做可能會造成安全漏洞,因為它允許未經授權就能存取 Microsoft Entra 構件。
配置身份驗證連線控制
條件式存取是 Microsoft Entra ID P1 或 P2 功能,且需要 Premium 授權。 如果您想要深入了解條件式存取,請參閱 Microsoft Entra ID 中的什麼是條件式存取?。
警告
如果您使用目前處於公開預覽狀態的 可設定令牌存留期 功能,請注意,我們不支援為相同的使用者或應用程式組合建立兩個不同的原則:一個具有這項功能,另一個具有可設定的令牌存留期功能。 Microsoft於 2021 年 1 月 30 日淘汰了重新整理和會話令牌存留期的可設定令牌存留期功能,並取代為條件式存取驗證會話管理功能。
啟用登入頻率之前,請確定租使用者中已停用其他重新驗證設定。 如果已啟用「記住受信任裝置上的 MFA」,請在使用登入頻率之前將其停用,因為同時使用這兩個設定可能會導致使用者意外地收到提示。 若要深入瞭解重新驗證提示和工作階段存留期,請參閱最佳化重新驗證提示,並瞭解 Microsoft Entra 多重要素驗證的工作階段存留期一文。
下一步
- 在條件式存取原則中設定工作階段存留期
- 若要為您的環境設定條件式存取原則,請參閱 規劃條件式存取部署一文。