次の方法で共有

条件访问自适应会话生存期策略

条件访问自适应会话生存期策略允许组织限制复杂部署中的身份验证会话。 场景包括:

  • 从非托管设备或共享设备访问资源
  • 从外部网络访问敏感信息
  • 对用户影响很大的操作
  • 业务关键型应用程序

条件访问提供自适应会话生存期策略控制,使你能够创建面向组织中特定用例的策略,而不会影响所有用户。

在探索如何配置策略之前,请检查默认配置。

用户登录频率

登录频率指定用户在要求再次登录之前可以访问资源的时间。

Microsoft Entra ID 的默认用户登录频率配置为 90 天的滚动周期。 通常要求用户提供凭据可能很合理,但这种方法可能会适得其反。 习惯性地不假思索输入凭据的用户可能会无意中将它们输入到恶意提示中。

不要求用户重新登录似乎令人震惊,但任何 IT 策略违规都撤销了会话。 示例包括密码更改、不符合要求的设备或被禁用的帐户。 你也可以使用 Microsoft Graph PowerShell 显式撤销用户会话。 Microsoft Entra ID 默认配置是: 如果会话的安全状况未更改,请不要要求用户提供其凭据。

登录频率设置适用于根据标准实现 OAuth2 或 OIDC 协议的应用。 大多数Microsoft本机应用,如适用于 Windows、Mac 和移动版的应用,包括以下 Web 应用程序符合该设置。

  • Word、Excel、PowerPoint Online
  • OneNote 在线
  • Office.com
  • Microsoft 365 管理门户
  • Exchange 在线版
  • SharePoint 和 OneDrive
  • Teams Web 客户端
  • Dynamics CRM 在线
  • Azure 门户

登录频率(SIF)适用于使用 OAuth2 或 OIDC 协议的非Microsoft SAML 应用程序和应用,只要它们不删除自己的 Cookie,并定期重定向回Microsoft Entra ID 进行身份验证。

用户登录频率和多重身份验证

以前,登陆频率仅适用于第一因素身份验证,包括已加入 Microsoft Entra 的设备、混合加入的设备和已注册的设备。 客户无法在这些设备上轻松强化多重身份验证。 根据客户反馈,登录频率现在也适用于多重身份验证(MFA)。

显示登录频率如何与 MFA 协同工作的关系图。

用户登录频率和设备标识

在已加入 Microsoft Entra 的设备和混合加入设备上,解锁设备或以交互方式登录时,主刷新令牌(PRT)每四小时刷新一次。 与当前时间戳相比,为 PRT 记录的最后一个刷新时间戳必须在 SIF 策略中为 PRT 分配的时间范围内,才能满足 SIF 并授予对具有现有 MFA 声明的 PRT 的访问权限。 在 Microsoft Entra 注册的设备上,解锁或登录不符合 SIF 策略,因为用户未通过 Microsoft Entra 帐户访问已注册的 Microsoft Entra 设备。 但是,Microsoft Entra WAM 插件可以在使用 WAM 进行本机应用程序身份验证期间刷新 PRT。

注意

由于刷新周期为 4 小时,从用户登录捕获的时间戳不一定与上次记录的 PRT 刷新时间戳相同。 相同的情况是,如果 PRT 已过期,用户登录会将其刷新 4 小时。 在以下示例中,假设 SIF 策略设为 1 小时,且 PRT 在 00:00 刷新。

示例 1:当你在 SPO 中继续处理同一文档一小时

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始处理存储在 SharePoint Online 上的文档。
  • 用户继续在其设备上处理同一文档一个小时。
  • 在 01:00,系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求。

示例 2:当你暂停处理浏览器中运行的后台任务,然后在 SIF 策略时间过后再次交互

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始将文档上传到 SharePoint Online。
  • 在 00:10,该用户锁定设备,起身休息一会儿。 后台继续上传到 SharePoint Online。
  • 在 02:45,该用户结束休息并返回,然后解锁设备。 后台上传显示完成。
  • 在 02:45,当用户再次交互时,系统提示用户登录。 此提示基于管理员配置的条件访问策略中的登录频率要求,因为上次登录时间为 00:00。

如果客户端应用(在活动详细信息下)是浏览器,我们会延迟在后台服务上执行登录频率相关的事件和策略,直到下一次用户交互。 在机密客户端上,非交互式登录的登录频率执行将推迟到下一个交互式登录。

示例 3:主刷新令牌解锁的刷新周期为四小时

方案 1 - 用户在周期内返回

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始处理存储在 SharePoint Online 上的文档。
  • 在 00:30,该用户锁定设备,起身休息一会儿。
  • 在 00:45,该用户结束休息并返回,然后解锁设备。
  • 在 01:00,系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求,即初次登录一小时后。

方案 2 - 用户从周期外返回

  • 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始处理存储在 SharePoint Online 上的文档。
  • 在 00:30,该用户锁定设备,起身休息一会儿。
  • 在 04:45,该用户结束休息并返回,然后解锁设备。
  • 在 05:45,系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求。 现在距离在 04:45 刷新 PRT 过去了 1 小时,距离初始登录时间 00:00 超过 4 小时。

每次都需要重新进行身份验证

在有些情况下,客户可能需要让用户在每次执行特定操作时都重新进行身份验证:

  • 访问敏感应用程序。
  • 保护 VPN 或网络即服务 (NaaS) 提供程序背后的资源。
  • 保护 PIM 中的特权角色提升。
  • 保护用户登录到 Azure 虚拟桌面计算机。
  • 保护敏感用户操作,如注册 Microsoft Intune。

如果管理员选择“每次”,那么在评估会话时,就会要求进行完整的重新身份验证。 例如,如果用户在会话生存期内关闭并打开了浏览器,则不会提示他们重新进行身份验证。 当资源具有识别客户端何时应获取新令牌的逻辑时,将登录频率设置为每次效果最佳。 这些资源仅在会话过期后,才会将用户重定向回 Microsoft Entra。

管理员应限制其强制实施策略以要求用户每次都重新进行身份验证的应用程序数。 触发重新身份验证过于频繁可能会增加安全摩擦,使其使用户遇到 MFA 疲劳并打开网络钓鱼的大门。 启用每次都需要重新身份验证时,Web 应用程序的体验破坏通常比桌面应用程序更轻微。 在策略中选择每次时,我们会考虑 5 分钟的时钟偏差,这样我们就不会比每五分钟更频繁的间隔提示用户。

警告

每次使用登录频率要求重新身份验证时,如果不使用多重身份验证,可能会导致用户出现登录循环问题。

浏览会话的持久性

持久浏览器会话允许用户在关闭并重新打开其浏览器窗口后保持登录状态。

Microsoft Entra ID 的默认浏览器会话持久性允许用户在身份验证成功后显示 “保持登录” 提示,从而决定是否保留会话。 如果使用 AD FS 单一登录设置中的指南在 AD FS 中设置浏览器持久性,则会遵循策略,并且还会保留Microsoft Entra 会话。 通过更改公司品牌窗格中的相应设置,配置租户中的用户是否看到“保持登录状态”提示。

在持久性浏览器中,即使浏览器关闭,Cookie 仍存储在用户的设备上。 无论应用于资源环境的条件访问策略如何,这些 Cookie 都可以访问Microsoft Entra 项目,这些项目在令牌过期之前仍可用。 因此,令牌缓存可能会直接违反所需的身份验证安全策略。 将令牌存储在当前会话之外可能看起来很方便,但它可以通过允许未经授权的访问 Microsoft Entra 项目来创建安全漏洞。

配置身份验证会话控制

条件访问是需要高级许可证的 Microsoft Entra ID P1 或 P2 功能。 若要了解有关条件访问的详细信息,请参阅 Microsoft Entra ID 中的条件访问是什么?

警告

如果当前使用公共预览版中的 可配置令牌生存期 功能,请不要为同一用户或应用组合创建两个不同的策略:一个策略与此功能,另一个策略具有可配置的令牌生存期功能。 Microsoft于 2021 年 1 月 30 日停用了用于刷新和会话令牌生存期的可配置令牌生存期功能,并将其替换为条件访问身份验证会话管理功能。

启用登录频率之前,请确保租户中禁用其他重新身份验证设置。 如果启用了“在受信任的设备上记住 MFA”功能,请在使用“登录频率”设置之前将其禁用,因为同时启用这两个设置可能导致用户意外收到提示。

后续步骤