實作工作階段管理
在複雜的部署中,組織可能需要限制驗證工作階段。 其中一些案例可能包括:
- 從非受控或共用裝置存取資源。
- 從外部網路存取機密資訊。
- 高優先順序或高階主管使用者。
- 重大營運系統應用程式。
條件式存取控制可讓您建立以組織內特定使用案例為目標的原則,而不會影響所有使用者。
在深入探討有關如何設定原則的詳細資料之前,讓我們先來看預設設定。
使用者登入頻率
登入頻率定義使用者嘗試存取資源時,收到重新登入要求之前的時間週期。
Microsoft Entra ID 的預設使用者登入頻率設定是每隔 90 天。 要求使用者提供認證通常看似是合理的做法,但可能會產生反作用:習慣輸入其認證的使用者可能不假思索,就對惡意的認證提示提供認證。
不要求使用者重新登入聽起來可能很令人擔憂;但事實上,任何違反 IT 原則的情況都會撤銷工作階段。 其中一些範例包括密碼變更、不符合規範的裝置或帳戶停用。 您也可以使用 PowerShell 明確撤銷使用者的工作階段。 總而言之,Microsoft Entra ID 預設設定「不會在使用者工作階段的安全性狀態尚未變更時,要求使用者提供其認證」。
登入頻率設定適用於已根據標準實作 OAUTH2 或 OIDC 通訊協定的應用程式。 大部分適用於 Windows、Mac 和行動裝置的 Microsoft 原生應用程式 (包括下列 Web 應用程式) 都會遵循該設定。
- Word、Excel、PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365 管理入口網站
- Exchange Online
- SharePoint 和 OneDrive
- Teams 網頁用戶端
- Dynamics CRM Online
- Azure 入口網站
登入頻率設定也適用於 SAML 應用程式,但前提是使用者未卸載自己的 Cookie,而且會定期重新導向回到 Microsoft Entra ID 進行驗證。
使用者登入頻率和多重要素驗證
登入頻率先前只會套用至已使用已加入 Microsoft Entra、已加入混合式 Microsoft Entra 及已註冊 Microsoft Entra 之裝置上的第一個要素驗證。 我們的客戶無法輕鬆地在這些裝置上重新施行多重要素驗證 (MFA)。 根據客戶意見反應,登入頻率未來也將適用於 MFA。
使用者登入頻率和裝置身分識別
如果您擁有已加入 Microsoft Entra、已加入混合式 Microsoft Entra 或已註冊 Microsoft Entra 的裝置,則當使用者解除鎖定其裝置或以互動方式登入時,此事件也會滿足登入頻率原則。 在下列兩個範例中,使用者登入頻率設定為一小時:
範例 1:
- 在 00:00,使用者登入已加入 Windows 10 Microsoft Entra 裝置,並開始使用儲存在 SharePoint Online 上的文件作業。
- 使用者在其裝置上持續使用相同的文件一小時。
- 在 01:00,系統根據管理員所設定條件式存取原則中的登入頻率需求,提示使用者重新登入。
範例 2:
- 在 00:00,使用者登入已加入 Windows 10 Microsoft Entra 裝置,並開始使用儲存在 SharePoint Online 上的文件作業。
- 在 00:30,使用者起身休息,並鎖定其裝置。
- 在 00:45,使用者結束休息回到工作,並解除鎖定裝置。
- 在 01:45,系統根據管理員自上次在 00:45 登入後所設定條件式存取原則中的登入頻率需求,提示使用者重新登入。
瀏覽工作階段的持續性
持續性瀏覽器工作階段可讓使用者在關閉其瀏覽器視窗後重新開啟時,保持登入狀態。 Microsoft Entra ID 的瀏覽器工作階段持續性預設值,可讓個人裝置上的使用者選擇是否要在成功驗證之後顯示「保持登入嗎?」 提示,以保留工作階段。
驗證
使用假設狀況工具,根據您設定原則的方式,模擬使用者對目標應用程式的登入及其他狀況。 驗證工作階段管理控制項會顯示在此工具的結果中。
原則部署
若要確保您的原則如預期般運作,建議的最佳做法是在將原則推出至實際執行環境之前先進行測試。 理想的方式是使用測試租用戶來驗證您的新原則是否如預定運作。