共用方式為

設定自適性工作階段存留期原則

  • 發行項

警告

如果您使用目前處於公開預覽狀態的可設定權杖存留期功能,請注意,我們不支援針對相同的使用者或應用程式組合建立兩個不同的原則:一種是具有此功能,另一種則是具有可設定權杖存留期功能。 Microsoft 已在 2021 年 1 月 30 日淘汰重新整理和工作階段權杖存留期的可設定權杖存留期功能,並將其取代為 條件式存取驗證工作階段管理功能。

在啟用登入頻率之前,請確定您的租用戶中已停用其他重新驗證設定。 如果已啟用 [記住受信任裝置上的 MFA],請務必在使用登入頻率之前將其停用,因為這兩個設定一起使用時,可能會導致使用者收到非預期的提示。 若要深入了解重新驗證提示和工作階段存留期,請參閱這篇文章:將重新驗證提示最佳化並了解 Microsoft Entra 多重要素驗證的工作階段存留期

原則部署

若要確保您的原則如預期般運作,建議的最佳做法是在將原則推出至實際執行環境之前先進行測試。 理想的方式是使用測試租用戶來驗證您的新原則是否如預定運作。 如需詳細資訊,請參閱規劃條件式存取部署一文。

原則 1:登入頻率控制

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[條件式存取]>[原則]

  3. 選取 [新增原則]

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇客戶環境的所有必要條件,包括目標雲端應用程式。

    注意

    建議您為金鑰 Microsoft Office 應用程式 (例如 Exchange Online 和 SharePoint Online) 設定相同的驗證提示頻率,以獲得最佳使用者體驗。

  6. 在 [存取控制]>[工作階段] 底下。

    1. 選取 [登入頻率]。
      1. 選擇 [定期重新驗證],然後輸入小時或天數的值,或選取 [每次]

    螢幕擷取畫面:顯示為登入頻率所設定的條件式存取原則。

  7. 儲存原則。

原則 2:持續性瀏覽器工作階段

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[條件式存取]>[原則]

  3. 選取 [新增原則]

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇所有必要的條件。

    注意

    此控制項需要選擇「所有雲端應用程式」作為條件。 瀏覽器工作階段持續性是由驗證工作階段權杖所控制。 瀏覽器工作階段的所有索引標籤都會共用單一工作階段權杖,因此它們都必須共用持續性狀態。

  6. 在 [存取控制]>[工作階段] 底下。

    1. 選取 [持續性瀏覽器工作階段]。

      注意

      Microsoft Entra 條件式存取中的持續性瀏覽器工作階段設定將會覆寫「要保持登入嗎?」 如果您已設定這兩個原則,則可以在同一使用者的公司品牌窗格中進行設定。

    2. 從下拉式清單中選取值。

  7. 儲存原則。

原則 3:登入頻率控制 (出現風險性使用者時)

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[條件式存取]>[原則]
  3. 選取 [新增原則]
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶
    3. 選取完成
  6. 在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [所有雲端應用程式]
  7. 在 [條件] > [使用者風險] 底下,將 [設定] 設為 [是]。 在 [設定需要強制執行原則的使用者風險層級] 下,選取 [高],然後選取 [完成]
  8. 在 [存取控制]>[授與] 底下,選取 [授與存取權]、[需要變更密碼],然後選取 [選取]
  9. 在 [工作階段控制項]>[登入頻率] 下,選取 [每次]
  10. 確認您的設定,並將 [啟用原則] 設為 [報告專用]
  11. 選取 [建立] 以建立並啟用您的原則。

管理員使用報表專用模式確認您的設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

驗證

使用假設狀況工具,根據您設定原則的方式,模擬使用者對目標應用程式的登入及其他狀況。 驗證工作階段管理控制項會顯示在此工具的結果中。

提示容錯

每次在原則中選擇時間時,我們都會考慮五分鐘的時鐘誤差,因此不會以超過每隔五分鐘一次的頻率提示使用者。 如果使用者在過去 5 分鐘中完成 MFA,且遇到另一需要重新驗證的條件式存取原則,我們不會提示使用者。 過度提示使用者進行重新驗證可能會影響其生產力,並增加使用者核准非由他們所起始 MFA 要求的風險。 僅針對特定業務需求使用「登入頻率 - 每次」。

已知問題

  • 如果您設定行動裝置的登入頻率:每個登入頻率間隔之後的驗證可能很慢 (平均可能需要 30 秒)。 此外,其也可能同時在不同的應用程式之間發生。
  • 在 iOS 裝置上:如果應用程式將憑證設定為第一個驗證要素,而且應用程式同時套用了登入頻率和 Intune 行動應用程式管理原則,則終端使用者會在原則觸發時遭到封鎖而無法登入應用程式。

下一步