條件式存取自適性會話存留期
在複雜的部署中,組織可能需要限制驗證工作階段。 其中一些案例可能包括:
- 從非受控或共用裝置存取資源
- 從外部網路存取敏感性資訊
- 高影響使用者
- 關鍵商務應用程式
條件式存取提供自適性會話存留期原則控制,可讓您在組織中建立以特定使用案例為目標的原則,而不會影響所有使用者。
在深入探討有關如何設定原則的詳細資料之前,讓我們先來看預設設定。
使用者登入頻率
登入頻率定義使用者嘗試存取資源時,收到重新登入要求之前的時間週期。
Microsoft Entra ID 的預設使用者登入頻率設定是每隔 90 天。 要求使用者輸入認證通常似乎是明智的動作,但它可能會適得其反:訓練進入其認證的使用者,而不考慮不小心將認證提供給惡意認證提示。
不要求使用者重新登入,這聽起來可能令人震驚,事實上,任何違反IT原則的違規都會撤銷會話。 某些範例包括密碼變更、不符合規範的裝置或帳戶停用。 您也可以使用 Microsoft Graph PowerShell 明確撤銷使用者的作業階段。 如果會話的安全性狀態沒有變更,Microsoft Entra ID 預設設定會歸結為「不要要求使用者提供其認證」。
登入頻率設定適用於根據標準實作 OAuth2 或 OIDC 通訊協定的應用程式。 大部分適用於 Windows、Mac 和 Mobile 的 Microsoft 原生應用程式,包括下列 Web 應用程式都符合設定。
- Word、Excel、PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365 管理入口網站
- Exchange Online
- SharePoint 和 OneDrive
- Teams 網頁用戶端
- Dynamics CRM Online
- Azure 入口網站
登入頻率 (SIF) 可與實作 OAuth2 或 OIDC 通訊協定的第三方 SAML 應用程式和應用程式搭配運作,只要它們不會卸除自己的 Cookie,並定期重新導向回 Microsoft Entra ID 進行驗證。
使用者登入頻率和多重要素驗證
登入頻率先前只會套用至已加入 Microsoft Entra、Microsoft Entra 混合式聯結,以及已註冊 Microsoft Entra 的裝置上的第一個要素驗證。 客戶無法輕易地在這些裝置上重新強制執行多重要素驗證。 根據客戶意見反應,登入頻率也適用於 MFA。
使用者登入頻率和裝置身分識別
在已加入 Microsoft Entra 和 Microsoft Entra 混合式已加入的裝置上,解除鎖定裝置,或以互動方式登入每隔 4 小時重新整理主要重新整理令牌 (PRT)。 相較於目前時間戳,針對 PRT 所記錄的最後一個重新整理時間戳,必須在 PRT 原則中分配的時間內,PRT 才能滿足 SIF,並授與具有現有 MFA 宣告之 PRT 的存取權。 在 Microsoft Entra 註冊的裝置上,解除鎖定/登入無法滿足 SIF 原則,因為使用者無法透過 Microsoft Entra 帳戶存取 Microsoft Entra 註冊的裝置。 不過, Microsoft Entra WAM 外掛程式可以在使用WAM 進行原生應用程式驗證期間重新整理PRT。
注意
從使用者登入擷取的時間戳不一定與PRT重新整理的最後一個記錄時間戳相同,因為4小時重新整理週期。 當PRT過期且使用者登入重新整理4小時時,情況相同。 在下列範例中,假設SIF原則設定為1小時,且PRT會在00:00重新整理。
範例 1:當您在 SPO 中繼續處理相同檔一小時時
- 在 00:00,使用者登入其已加入 Windows 11 的 Microsoft Entra 裝置,並開始處理儲存在 SharePoint Online 上的檔。
- 使用者在其裝置上持續使用相同的文件一小時。
- 在 01:00,系統會提示使用者再次登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率需求為基礎。
範例 2:當您暫停使用瀏覽器中執行的背景工作時,然後在 SIF 原則時間經過之後再次互動
- 在 00:00,使用者登入其 Windows 11 Microsoft Entra 已加入裝置,並開始將檔上傳至 SharePoint Online。
- 在 00:10,用戶啟動並中斷鎖定其裝置。 背景上傳會繼續至 SharePoint Online。
- 在 02:45,使用者會從中斷返回並解除鎖定裝置。 背景上傳會顯示完成。
- 在 02:45,當使用者再次互動時,系統會提示使用者登入。 此提示是以系統管理員自上次登入發生於 00:00 之後所設定的條件式存取原則中的登入頻率需求為基礎。
如果用戶端應用程式(在活動詳細數據下)是瀏覽器,我們會延遲在背景服務上強制執行事件/原則的頻率,直到下一個使用者互動為止。 在機密用戶端上,非互動式登入的登入頻率會延遲到下一個互動式登入為止。
範例 3:解除鎖定主要重新整理令牌的四小時重新整理週期
案例 1 - 使用者在週期內傳回
- 在 00:00,使用者登入其已加入 Windows 11 的 Microsoft Entra 裝置,並開始處理儲存在 SharePoint Online 上的檔。
- 在 00:30,用戶啟動並中斷鎖定其裝置。
- 在 00:45,使用者結束休息回到工作,並解除鎖定裝置。
- 在 01:00,系統會提示使用者再次登入。 此提示是以系統管理員在初始登入后 1 小時所設定的條件式存取原則中的登入頻率需求為基礎。
案例 2 - 用戶傳回外部迴圈
- 在 00:00,使用者登入其已加入 Windows 11 的 Microsoft Entra 裝置,並開始處理儲存在 SharePoint Online 上的檔。
- 在 00:30,用戶啟動並中斷鎖定其裝置。
- 在 04:45,使用者會從中斷返回並解除鎖定裝置。
- 在 05:45,系統會提示使用者再次登入。 此提示是以其系統管理員所設定的條件式存取原則中的登入頻率需求為基礎。 PRT 在 04:45 重新整理 1 小時之後,自初始登入 00:00 之後已超過 4 小時。
每次都需要重新驗證
在某些情況下,客戶可能會想要要求新的驗證,每次使用者執行特定動作,例如:
- 存取敏感性應用程式。
- 保護 VPN 或網路即服務 (NaaS) 提供者背後的資源。
- 在 PIM 中保護特殊許可權角色提升。
- 保護使用者登入 Azure 虛擬機。
- 保護有風險的使用者和 Microsoft Entra ID Protection 所識別的風險性登入。
- 保護敏感性用戶動作,例如 Microsoft Intune 註冊。
當資源具有何時客戶端應該取得新令牌的邏輯時,登入頻率會設定為 最佳。 這些資源會在會話到期后,將使用者重新導向回 Microsoft Entra。
管理員 istrators 應限制其強制執行原則的應用程式數目,要求使用者每次使用重新驗證。 在原則中選取時,我們會考慮 5 分鐘的時鐘扭曲,因此我們不會每隔五分鐘多次提示使用者。 觸發重新驗證太頻繁可能會增加安全性摩擦,使其讓使用者遇到 MFA 疲勞,並開啟網路釣魚嘗試的大門。 每次啟用需要重新驗證時,Web 應用程式通常會提供比桌面對應專案更少的干擾性體驗。
- 針對 Microsoft 365 堆疊中的應用程式,我們建議使用 以時間為基礎的使用者登入頻率 ,以提供更好的用戶體驗。
- 針對 Azure 入口網站 和 Microsoft Entra 系統管理中心,建議您使用以時間為基礎的使用者登入頻率,或使用驗證內容在 PIM 啟用時要求重新驗證,以取得更好的用戶體驗。
正式推出支援的案例:
- 在 Intune 裝置註冊期間要求使用者重新驗證,無論其目前的 MFA 狀態為何。
- 針對具有風險的使用者 要求使用者重新驗證,且需要密碼變更 授與控制。
- 使用需要多重要素驗證授與控制,要求使用者重新驗證有風險的登入。
2024 年 2 月公開預覽功能可讓系統管理員要求使用下列專案進行驗證:
當系統管理員選取 [每次] 時,在評估會話時需要完整重新驗證。
瀏覽工作階段的持續性
持續性瀏覽器工作階段可讓使用者在關閉其瀏覽器視窗後重新開啟時,保持登入狀態。
Microsoft Entra ID 的瀏覽器工作階段持續性預設值,可讓個人裝置上的使用者選擇是否要在成功驗證之後顯示「保持登入嗎?」 提示,以保留工作階段。 如果使用 AD FS 單一登入設定一文中的指引,在 AD FS 中設定瀏覽器持續性,我們也會遵守該原則並保存 Microsoft Entra 會話。 您也可以設定租使用者中的使用者是否看到「保持登入?」 在公司商標窗格中變更適當的設定,以提示。
在持續性瀏覽器中,即使使用者關閉瀏覽器之後,Cookie 仍會保留在使用者的裝置中。 這些 Cookie 可以存取 Microsoft Entra 成品,而且這些成品可在令牌到期之前使用,而不論放置於資源環境的條件式存取原則為何。 因此,令牌快取可能會直接違反所需的安全策略進行驗證。 雖然將令牌儲存在目前會話之外似乎很方便,但這樣做可以藉由允許未經授權的存取 Microsoft Entra 成品來建立安全性弱點。
設定驗證會話控件
條件式存取是 Microsoft Entra ID P1 或 P2 功能,需要進階授權。 如果您想要深入了解條件式存取,請參閱 什麼是 Microsoft Entra ID 中的條件式存取?
警告
如果您使用目前處於公開預覽狀態的 可設定令牌存留期 功能,請注意,我們不支援為相同的使用者或應用程式組合建立兩個不同的原則:一個具有此功能,另一個具有可設定的令牌存留期功能。 Microsoft 已在 2021 年 1 月 30 日淘汰重新整理和工作階段權杖存留期的可設定權杖存留期功能,並將其取代為 條件式存取驗證工作階段管理功能。
啟用登入頻率之前,請確定您的租使用者中已停用其他重新驗證設定。 如果已啟用「在信任的裝置上記住 MFA」,請務必在使用登入頻率之前將其停用,因為一起使用這兩個設定可能會導致非預期地提示使用者。 若要深入瞭解重新驗證提示和會話存留期,請參閱優化重新驗證提示和瞭解 Microsoft Entra 多重要素驗證的會話存留期一文。
下一步
- 在條件式存取原則中設定會話存留期
- 如果您已準備好為環境設定條件式存取原則,請參閱規劃條件式存取部署一文。