配置自适应会话生存期策略

策略部署

若要确保策略按预期工作，请在将其推出到生产环境之前对其进行测试。 使用测试租户验证新策略是否按预期工作。 有关详细信息，请参阅计划条件访问部署一文。

策略 1：登录频率控制

1. 至少以条件访问管理员的身份登录到Microsoft Entra 管理中心。

2. 请导航到 Entra ID>条件访问>策略。

3. 选择“新策略”。

4. 为策略指定名称。 为命名策略创建有意义的标准。

5. 选择客户环境所需的所有条件，包括目标云应用。

   注释

   建议为密钥Microsoft 365应用（如 Exchange Online 和 SharePoint Online）设置相同的身份验证提示频率，以便获得最佳用户体验。

6. 在访问控制>会话下。

   1. 选择“用户登录频率”。
      1. 选择“定期重新进行身份验证”，然后输入小时数或天数值或选择“每次”。

   

7. 保存策略。

策略 2：持久性浏览器会话

1. 至少以条件访问管理员的身份登录到Microsoft Entra 管理中心。

2. 请导航到 Entra ID>条件访问>策略。

3. 选择“新策略”。

4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。

5. 选择所有所需的条件。

   注释

   此控件需要选择“所有云应用”作为条件。 浏览器会话持久性由身份验证会话令牌控制。 浏览器会话中的所有标签页共享一个会话令牌，因此它们都必须共享持久性状态。

6. 在访问控制>会话下。

   1. 选择“持久性浏览器会话”。

      注释

      在 Microsoft Entra Conditional Access 中，持久浏览器会话配置会覆盖公司品牌窗格中对同一用户的“保持登录状态？”设置（如果配置了这两个策略）。

   2. 从下拉列表中选择一个值。

7. 保存策略。

策略 3：风险用户的“每次”登录频率控制

1. 至少以条件访问管理员的身份登录到Microsoft Entra 管理中心。
2. 导航至 Entra ID>条件访问。
3. 选择“新策略”。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在分配下，选择用户或工作负载标识。
   1. 在“包含”选项下，选择“所有用户”。
   2. 在“排除”下，选择“用户和组”，并选择组织的紧急访问或不受限帐户。
   3. 选择完成。
6. 在 目标资源>包括下，选择 所有资源（以前为“所有云应用”）。
7. 在“条件”>“用户风险”下，将“配置”设置为“是”。
   1. 在“配置强制执行策略所需的用户风险级别”下，选择“高”。 本指南基于 Microsoft 建议，每个组织的指南可能有所不同
   2. 选择完成。
8. 在访问控制>授权下，选择授权访问。
   1. 选择“需要身份验证强度”，然后从列表中选择内置的“多重身份验证”身份验证强度。
   2. 选择“要求更改密码”。
   3. 选择 选择。
9. 在“会话”下：
   1. 选择“用户登录频率”。
   2. 确保选择了“每次”。
   3. 选择 选择。
10. 确认设置，然后将“启用策略”设置为“只限报告”。
11. 选择“ 创建 ”以启用策略。

确认设置后，使用 仅限报表模式，将 启用策略 从 仅报告 切换到 打开。

验证

使用 What If 工具 根据策略配置模拟登录到目标应用程序和其他条件。 身份验证会话管理控制措施将显示在工具的结果中。

提示容错

每次在策略中选择时，我们会考虑到五分钟的时钟偏差，因此我们不会在五分钟内多次提示用户。 如果用户在过去 5 分钟内完成 MFA，并遇到需要重新身份验证的另一个条件访问策略，则我们不会提示用户。 提示用户过于频繁地重新进行身份验证可能会影响他们的工作效率，并增加用户批准他们未启动的 MFA 请求的风险。 仅当有特定的业务需求时，才使用“登录频率 - 每次”。

已知问题

• 如果为移动设备配置登录频率：每次登录频率间隔后的身份验证可能很慢，平均可能需要 30 秒。 此问题也可能同时在各种应用中发生。
• 在 iOS 设备上：如果应用将证书配置为第一个身份验证因素，并且应用了登录频率和 Intune 移动应用程序管理策略 ，则策略触发时，用户将被阻止登录到应用。
• Microsoft Entra Private Access不支持将登录频率设置为每次。

后续步骤

• 已准备好为环境配置条件访问策略？ 请参阅 计划条件访问部署。