在用户成功登录后将显示“保持登录状态?”提示。 此过程称为“使我保持登录状态”(KMSI),以前是自定义品牌打造过程的一部分。
本文介绍了KMSI 流程的工作原理、如何为客户启用该流程,以及如何排查 KMSI 问题。
管理“保持登录状态?” prompt
先决条件
配置“使我保持登录状态”(KMSI) 选项需要以下许可证之一:
- Microsoft Entra ID P1 或 P2
- Office 365(对于 Office 应用)
- Microsoft 365
必须要有全局管理员角色才能启用“保持登录状态?” 提示。
工作原理
如果用户对“保持登录状态”提示回答“是”,则会发出永久性身份验证 Cookie。 Cookie 必须存储在会话中,KMSI 才能正常工作。 KMSI 不适用于本地存储的 Cookie。 如果未启用 KMSI,则会发出非持久性 Cookie,并持续 24 小时或直到浏览器关闭。
下图显示了使用 KMSI 提示的托管租户和联合租户的用户登录流。 此流包含智能逻辑,因此如果机器学习系统检测到高风险登录或来自共享设备的登录,将不会显示“保持登录状态?”选项。 对于联合租户,此提示在使用联合标识服务成功进行身份验证后显示。
SharePoint Online 和 Office 2010 的某些功能取决于用户能否选择保持登录状态。 如果取消选中“显示保持登录状态的选项”选项,则用户在登录过程中可能会看到其他的意外提示。
启用“保持登录状态?” prompt
提示
本文中的步骤可能因开始使用的门户而略有不同。
KMSI 设置在“用户设置”中管理。
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“用户设置”。
将“显示‘保持用户登录状态’”切换为“是”。
排查“保持登录状态?” issues
如果用户没有针对“保持登录状态?”提示进行操作而是舍弃了登录尝试,则会在 Microsoft Entra 登录日志中显示一个登录日志条目。 用户看到的提示称为“中断”。
可以在“登录日志”中找到登录错误的详细信息。 从列表中选择受影响的用户,并在“基本信息”部分中找到下面的详细信息。
- 登录错误代码:50140
- 失败原因:此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。
你可以通过在用户设置中将“显示保持登录状态的选项”设置为“否”来阻止用户看到中断信息。 此设置会为目录中的所有用户禁用 KMSI 提示。
为了确保 KMSI 提示只在有益于用户的情况下显示,在以下情况下我们有意不显示 KMSI 提示:
- 用户通过无缝 SSO 和集成 Windows 身份验证 (IWA) 登录
- 用户通过 Active Directory 联合身份验证服务和 IWA 登录
- 用户是租户中的来宾
- 用户的风险评分高
- 登录发生在用户或管理员同意流期间
- 持久性浏览器会话控制在条件访问策略中配置
