在用户成功登录后将显示“保持登录状态?”提示。 此过程称为“使我保持登录状态”(KMSI),以前是自定义品牌打造过程的一部分。
本文介绍了KMSI 流程的工作原理、如何为客户启用该流程,以及如何排查 KMSI 问题。
配置“使我保持登录状态”(KMSI) 选项需要以下许可证之一:
- Microsoft Entra ID 免费版
- Office 365(对于 Office 应用)
- Microsoft 365
必须要有全局管理员角色才能启用“保持登录状态?” 提示。
如果用户回答“保持登录状态?”提示,则会设置持久身份验证 Cookie。 Cookie 必须存储在会话中,KMSI 才能正常工作。 KMSI 不适用于本地存储的 Cookie。 如果未启用 KMSI,则会发出非持久性 Cookie,并持续 24 小时或直到浏览器关闭。
下图显示了使用 KMSI 提示的托管租户和联合租户的用户登录流。 如果用户看到 “保持登录状态” 提示符,并且他们选择“是”,则会设置永久性 Cookie。
- “不再显示此内容”复选框与“保持登录状态”功能分开? 流。
- 此体验可能不适用,具体取决于为租户配置的身份验证要求。 某些条件访问策略和身份验证配置阻止显示“使我保持登录状态”流。
- 如果机器学习系统检测到高风险登录或从共享设备登录,则流包含智能逻辑,因此不会显示 “保持登录?” 选项。 此方案反映在关系图中,其中删除了“使我保持登录状态”选项。
- 对于联合租户,提示在用户成功通过联合标识服务进行身份验证后显示。
- SharePoint Online 和 Office 2010 的某些功能取决于用户能否选择保持登录状态。 如果取消选中“显示保持登录状态的选项”选项,则用户在登录过程中可能会看到其他的意外提示。
KMSI 设置在“用户设置”中管理。
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“用户设置”。
将“显示‘保持用户登录状态’”切换为“是”。
排查“保持登录状态?” 问题
如果用户没有针对“保持登录状态?”提示进行操作而是舍弃了登录尝试,则会在 Microsoft Entra 登录日志中显示一个登录日志条目。 用户看到的提示称为“中断”。
可以在“登录日志”中找到登录错误的详细信息。 从列表中选择受影响的用户,并在“基本信息”部分中找到下面的详细信息。
- 登录错误代码:50140
- 失败原因:此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。
你可以通过在用户设置中将“显示保持登录状态的选项”设置为“否”来阻止用户看到中断信息。 此设置会为目录中的所有用户禁用 KMSI 提示。
为了确保 KMSI 提示只在有益于用户的情况下显示,在以下情况下我们有意不显示 KMSI 提示:
- 用户通过无缝 SSO 和集成 Windows 身份验证 (IWA) 登录
- 用户通过 Active Directory 联合身份验证服务和 IWA 登录
- 用户是租户中的来宾
- 用户的风险评分高
- 登录发生在用户或管理员同意流期间
- 持久性浏览器会话控制在条件访问策略中配置