管理“保持登录状态?” prompt

在用户成功登录后将显示“保持登录状态？”提示。 此过程称为“使我保持登录状态”(KMSI)，以前是自定义品牌打造过程的一部分。

本文介绍了KMSI 流程的工作原理、如何为客户启用该流程，以及如何排查 KMSI 问题。

先决条件

配置“使我保持登录状态”(KMSI) 选项需要以下许可证之一：

• Microsoft Entra ID P1 或 P2
• Office 365（对于 Office 应用）
• Microsoft 365

必须要有全局管理员角色才能启用“保持登录状态?” 提示。

工作原理

如果用户对“保持登录状态”提示回答“是”，则会发出永久性身份验证 Cookie。 Cookie 必须存储在会话中，KMSI 才能正常工作。 KMSI 不适用于本地存储的 Cookie。 如果未启用 KMSI，则会发出非持久性 Cookie，并持续 24 小时或直到浏览器关闭。

下图显示了使用 KMSI 提示的托管租户和联合租户的用户登录流。 此流包含智能逻辑，因此如果机器学习系统检测到高风险登录或来自共享设备的登录，将不会显示“保持登录状态？”选项。 对于联合租户，此提示在使用联合标识服务成功进行身份验证后显示。

Microsoft 365 和 Office 2010 中 SharePoint 的一些功能取决于用户能否选择保持登录状态。 如果取消选中“显示保持登录状态的选项”选项，则用户在登录过程中可能会看到其他的意外提示。

启用“保持登录状态?” 提示

KMSI 设置在“用户设置”中管理。

1. 以全局管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“用户”>“用户设置”。

   

3. 将“显示‘保持用户登录状态’”切换为“是”。

   

排查“保持登录状态？” issues

如果用户没有针对“保持登录状态?”提示进行操作而是舍弃了登录尝试，则会在 Microsoft Entra 登录日志中显示一个登录日志条目。 用户看到的提示称为“中断”。

可以在“登录日志”中找到登录错误的详细信息。 从列表中选择受影响的用户，并在“基本信息”部分中找到下面的详细信息。

• 登录错误代码：50140
• 失败原因：此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。

你可以通过在用户设置中将“显示保持登录状态的选项”设置为“否”来阻止用户看到中断信息。 此设置会为目录中的所有用户禁用 KMSI 提示。

为了确保 KMSI 提示只在有益于用户的情况下显示，在以下情况下我们有意不显示 KMSI 提示：

• 用户将通过无缝单一登录 (SSO) 和集成 Windows 身份验证 (IWA) 登录
• 用户通过 Active Directory 联合身份验证服务和 IWA 登录
• 用户是租户中的来宾
• 用户的风险评分高
• 登录发生在用户或管理员同意流期间
• 持久性浏览器会话控制在条件访问策略中配置

后续步骤

• 了解如何自定义品牌打造中的登录体验
• 在 Microsoft Entra ID 中管理用户设置