条件访问自适应会话持续时间策略

条件访问自适应会话生存期策略允许组织限制复杂部署中的身份验证会话。 场景包括：

• 从非托管设备或共享设备访问资源
• 从外部网络访问敏感信息
• 影响力大的用户
• 业务关键型应用程序

条件访问提供自适应会话生存期策略控制，因此你可以创建策略，以组织内的特定用例为目标，而不会影响所有用户。

在探索如何配置策略之前，请检查默认配置。

用户登录频率

登录频率指定用户在要求再次登录之前可以访问资源的时间。

Microsoft Entra ID 的用户登录频率默认配置为 90 天的滚动窗口。 通常要求用户提供凭据可能很合理，但这种方法可能会适得其反。 习惯性地不假思索输入凭据的用户可能会无意中将它们输入到恶意提示中。

不要求用户重新登录似乎令人震惊，但任何 IT 策略违规都撤销了会话。 示例包括密码更改、不符合要求的设备或被禁用的帐户。 还可以使用 Microsoft Graph PowerShell 显式撤销用户的会话。 Microsoft Entra ID默认配置为：如果会话的安全状况未更改，则不要要求用户提供凭据。

登录频率设置适用于根据标准实现 OAuth2 或 OIDC 协议的应用。 大多数Microsoft本机应用，如适用于 Windows、Mac 和 Mobile 的应用，包括以下 Web 应用程序符合该设置。

• Word、Excel、PowerPoint Online
• OneNote Online
• Office.com
• Microsoft 365管理门户
• Exchange Online
• SharePoint和OneDrive
• Teams Web 客户端
• Dynamics CRM Online
• Azure门户

登录频率（SIF）适用于使用 OAuth2 或 OIDC 协议的非Microsoft SAML 应用程序和应用，只要它们不删除自己的 Cookie，并定期重定向回Microsoft Entra ID进行身份验证。

用户登录频率和多重身份验证

以前，登录频率仅适用于 Microsoft Entra 已加入、混合加入和已注册设备的单因素身份验证。 无法在这些设备上轻松强化多重身份验证。 根据客户反馈，登录频率现在也适用于多重身份验证（MFA）。

用户登录频率和设备标识

在已加入Microsoft Entra和已加入混合的设备上，解锁设备或以交互方式登录每四小时刷新一次主刷新令牌（PRT）。 与当前时间戳相比，为 PRT 记录的最后一个刷新时间戳必须在 SIF 策略中为 PRT 分配的时间范围内，才能满足 SIF 并授予对具有现有 MFA 声明的 PRT 的访问权限。 在Microsoft Entra注册的设备，解锁或登录不符合 SIF 策略，因为用户未通过Microsoft Entra帐户访问已注册Microsoft Entra设备。 但是，Microsoft Entra WAM 插件可以使用 WAM 在本机应用程序身份验证过程中刷新 PRT。

示例 1：当你在 SPO 中继续处理同一文档一小时

• 在 00：00，用户登录到其已加入Windows 11 Microsoft Entra的设备，并开始处理存储在 SharePoint Online 上的文档。
• 用户继续在其设备上处理同一文档一个小时。
• 在 01：00，系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求。

示例 2：当您暂停在浏览器中运行的后台任务，然后在 SIF 策略时间过后再次与其交互

• 在 00：00，用户登录到其已加入Windows 11 Microsoft Entra的设备，并开始将文档上传到 SharePoint Online。
• 在 00：10，用户锁定其设备。 后台上传将继续进行到 SharePoint Online。
• 在 02：45，用户解锁设备。 后台上传显示完成。
• 在 02：45，当用户再次交互时，系统提示用户登录。 此提示基于管理员配置的条件访问策略中的登录频率要求，因为上次登录时间为 00:00。

如果客户端应用（在活动详细信息下）是浏览器，则系统会针对后台服务延迟事件和策略的登录频率的强制实施，直到下次用户交互。 在机密客户端上，系统会延迟非交互式登录的登录频率强制实施，直到下一个交互式登录。

示例 3：主刷新令牌在解锁后的刷新周期为四小时

方案 1 - 用户在周期内返回

• 在 00：00，用户登录到其已加入Windows 11 Microsoft Entra的设备，并开始处理存储在 SharePoint Online 上的文档。
• 在 00：30，用户锁定其设备。
• 在 00：45，用户解锁设备。
• 在 01：00，系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求，在初始登录后一小时。

方案 2 - 用户从周期外返回

• 在 00：00，用户登录到其已加入Windows 11 Microsoft Entra的设备，并开始处理存储在 SharePoint Online 上的文档。
• 在 00：30，用户锁定其设备。
• 在 04：45，用户解锁设备。
• 在 05：45，系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求。 现在距离 PRT 在 04：45 刷新已有一小时，而距离初始登录时间 00：00 则已超过 4 小时。

每次都需要重新进行身份验证

在某些情况下，你可能希望在每次用户执行特定作时都需要新的身份验证，例如：

• 访问敏感应用程序。
• 保护 VPN 或网络即服务 (NaaS) 提供程序背后的资源。
• 保护 PIM 中的特权角色权限提升。
• 保护用户登录到Azure Virtual Desktop计算机。
• 保护敏感用户操作的措施，如 Microsoft Intune 注册。

选择 “每次”时，策略在 评估会话时需要完全重新身份验证。 此要求意味着，如果用户在会话生存期内关闭并打开其浏览器，则可能不会提示他们重新进行身份验证。 将登录频率设置为每次资源具有确定客户端何时应获取新令牌的逻辑时都最有效。 这些资源仅在会话到期后将用户重定向回到 Microsoft Entra。

限制强制实施策略的应用程序数，要求用户每次重新进行身份验证。 触发重新身份验证过于频繁可能会增加安全摩擦，使其使用户遇到 MFA 疲劳并打开网络钓鱼的大门。 在启用每次都需要重新身份验证的情况下，Web 应用程序通常比桌面应用程序提供更不受干扰的体验。 选择每次选择时，策略因素在 5 分钟的时钟偏差中，以便不会每隔五分钟多次提示用户。

• 对于 Microsoft 365 堆栈中的应用程序，请使用时间为基础的用户登录频率来获得更好的用户体验。
• 对于 Azure 门户 和 Microsoft Entra 管理中心，请使用 基于时间的用户登录频率 或使用 身份验证上下文要求在 PIM 激活时重新进行身份验证，以提供更好的用户体验。

浏览会话的持久性

持久浏览器会话允许用户在关闭并重新打开其浏览器窗口后保持登录状态。

Microsoft Entra ID 的浏览器会话持久性的默认设置允许用户在个人设备上成功身份验证后，通过显示 保持登录状态？提示来决定是否保留会话。 如果按照 AD FS 单一登录设置中的指南在 AD FS 中设置浏览器持久性，则还会遵循策略，并保留Microsoft Entra会话。 通过更改公司品牌窗格中的相应设置，配置租户中的用户是否看到“保持登录状态”提示。

在持久性浏览器中，即使浏览器关闭，Cookie 仍存储在用户的设备上。 无论应用于资源环境的条件访问策略如何，这些 Cookie 都可以访问Microsoft Entra项目，这些项目在令牌过期前仍可用。 因此，令牌缓存可能会直接违反所需的身份验证安全策略。 将令牌存储在当前会话之外可能看起来很方便，但它可以通过允许未经授权的访问Microsoft Entra项目来创建安全漏洞。

配置身份验证会话控制

条件访问是Microsoft Entra ID P1 或 P2 功能，需要高级许可证。 有关条件访问的详细信息，请参阅 什么是条件访问Microsoft Entra ID？。

后续步骤

• 计划条件访问部署