条件访问自适应会话生存期策略允许组织限制复杂部署中的身份验证会话。 场景包括:
- 从非托管设备或共享设备访问资源
- 从外部网络访问敏感信息
- 对用户影响很大的操作
- 业务关键型应用程序
条件访问提供自适应会话生存期策略控制,因此你可以创建策略,以组织内的特定用例为目标,而不会影响所有用户。
在探索如何配置策略之前,请检查默认配置。
用户登录频率
登录频率指定用户在要求再次登录之前可以访问资源的时间。
Microsoft Entra ID 的默认用户登录频率配置为 90 天的滚动周期。 通常要求用户提供凭据可能很合理,但这种方法可能会适得其反。 习惯性地不假思索输入凭据的用户可能会无意中将它们输入到恶意提示中。
不要求用户重新登录似乎令人震惊,但任何 IT 策略违规都撤销了会话。 示例包括密码更改、不符合要求的设备或被禁用的帐户。 还可以 使用 Microsoft Graph PowerShell 显式撤销用户的会话。 Microsoft Entra ID 默认配置是: 如果会话的安全状况未更改,请不要要求用户提供其凭据。
登录频率设置适用于根据标准实现 OAuth2 或 OIDC 协议的应用。 大多数Microsoft本机应用,如适用于 Windows、Mac 和移动版的应用,包括以下 Web 应用程序符合该设置。
- Word、Excel、PowerPoint Online
- OneNote 联机
- Office.com
- Microsoft 365 管理门户
- Exchange 在线版
- SharePoint 和 OneDrive
- Teams Web 客户端
- Dynamics CRM 在线
- Azure 门户
登录频率(SIF)适用于使用 OAuth2 或 OIDC 协议的非Microsoft SAML 应用程序和应用,只要它们不删除自己的 Cookie,并定期重定向回Microsoft Entra ID 进行身份验证。
用户登录频率和多重身份验证
以前,登陆频率仅适用于第一因素身份验证,包括已加入 Microsoft Entra 的设备、混合加入的设备和已注册的设备。 无法在这些设备上轻松强化多重身份验证。 根据客户反馈,登录频率现在也适用于多重身份验证(MFA)。
用户登录频率和设备标识
在已加入 Microsoft Entra 的设备和混合加入设备上,解锁设备或以交互方式登录时,主刷新令牌(PRT)每四小时刷新一次。 与当前时间戳相比,为 PRT 记录的最后一个刷新时间戳必须在 SIF 策略中为 PRT 分配的时间范围内,才能满足 SIF 并授予对具有现有 MFA 声明的 PRT 的访问权限。 在 Microsoft Entra 注册的设备上,解锁或登录不符合 SIF 策略,因为用户未通过 Microsoft Entra 帐户访问已注册的 Microsoft Entra 设备。 但是,Microsoft Entra WAM 插件 可以在本机应用程序身份验证时使用 WAM 刷新 PRT。
注意
从用户登录捕获的时间戳不一定与 PRT 刷新的最后一个记录时间戳相同,因为刷新周期为四小时。 情况相同时,PRT 过期,用户登录将刷新 4 小时。 在以下示例中,假定 SIF 策略设置为一小时,PRT 刷新为 00:00。
示例 1:当你在 SPO 中继续处理同一文档一小时
- 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始处理存储在 SharePoint Online 上的文档。
- 用户继续在其设备上处理同一文档一个小时。
- 在 01:00,系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求。
示例 2:当你暂停处理浏览器中运行的后台任务,然后在 SIF 策略时间过后再次交互
- 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始将文档上传到 SharePoint Online。
- 在 00:10,用户锁定其设备。 后台继续上传到 SharePoint Online。
- 在 02:45,用户解锁设备。 后台上传显示完成。
- 在 02:45,当用户再次交互时,系统提示用户登录。 此提示基于管理员配置的条件访问策略中的登录频率要求,因为上次登录时间为 00:00。
如果客户端应用(在活动详细信息下)是浏览器,则系统会针对后台服务延迟事件和策略的登录频率的强制实施,直到下次用户交互。 在机密客户端上,系统会延迟非交互式登录的登录频率强制实施,直到下一个交互式登录。
示例 3:主刷新令牌解锁的刷新周期为四小时
方案 1 - 用户在周期内返回
- 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始处理存储在 SharePoint Online 上的文档。
- 在 00:30,用户锁定其设备。
- 在 00:45,用户解锁设备。
- 在 01:00,系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求,在初始登录后一小时。
方案 2 - 用户从周期外返回
- 在 00:00 时,有用户登录到其已建立 Microsoft Entra 联接的 Windows 11 设备,并开始处理存储在 SharePoint Online 上的文档。
- 在 00:30,用户锁定其设备。
- 在 04:45,用户解锁设备。
- 在 05:45,系统提示用户再次登录。 此提示基于管理员配置的条件访问策略中的登录频率要求。 现在距离 PRT 在 04:45 刷新已有一小时,而距离初始登录时间 00:00 则已超过 4 小时。
每次都需要重新进行身份验证
在某些情况下,你可能希望在每次用户执行特定作时都需要新的身份验证,例如:
- 访问敏感应用程序。
- 保护 VPN 或网络即服务 (NaaS) 提供程序背后的资源。
- 保护 PIM 中的特权角色提升。
- 保护用户登录到 Azure 虚拟桌面计算机。
- 保护由 Microsoft Entra ID 保护标识出的风险用户和风险登录。
- 保护敏感用户操作,如注册 Microsoft Intune。
选择 “每次”时,策略在 评估会话时需要完全重新身份验证。 此要求意味着,如果用户在会话生存期内关闭并打开其浏览器,则可能不会提示他们重新进行身份验证。 将登录频率设置为每次资源具有确定客户端何时应获取新令牌的逻辑时都最有效。 这些资源仅在会话过期后,才会将用户重定向回 Microsoft Entra。
限制强制实施策略的应用程序数,要求用户每次重新进行身份验证。 触发重新身份验证过于频繁可能会增加安全摩擦,使其使用户遇到 MFA 疲劳并打开网络钓鱼的大门。 启用每次都需要重新身份验证时,Web 应用程序的体验破坏通常比桌面应用程序更轻微。 选择每次选择时,策略因素在 5 分钟的时钟偏差中,以便不会每隔五分钟多次提示用户。
警告
每次使用登录频率要求重新身份验证时,如果不使用多重身份验证,可能会导致用户出现登录循环问题。
- 对于 Microsoft 365 堆栈中的应用程序,请使用 基于时间的用户登录频率 来提高用户体验。
- 对于 Azure 门户和 Microsoft Entra 管理中心,为了获得更好的用户体验,请使用 基于时间的用户登录频率,或者使用身份验证上下文来要求 PIM 激活时重新进行身份验证。
浏览会话的持久性
持久浏览器会话允许用户在关闭并重新打开其浏览器窗口后保持登录状态。
Microsoft Entra ID 的默认浏览器会话持久性允许用户在身份验证成功后显示 “保持登录” 提示,从而决定是否保留会话。 如果按照 AD FS 单一登录设置中的指导在 AD FS 中设置浏览器持久性,则会遵循策略,并保留Microsoft Entra 会话。 通过更改公司品牌窗格中的相应设置,配置租户中的用户是否看到“保持登录状态”提示。
在持久性浏览器中,即使浏览器关闭,Cookie 仍存储在用户的设备上。 无论应用于资源环境的条件访问策略如何,这些 Cookie 都可以访问Microsoft Entra 项目,这些项目在令牌过期之前仍可用。 因此,令牌缓存可能会直接违反所需的身份验证安全策略。 将令牌存储在当前会话之外可能看起来很方便,但它可以通过允许未经授权的访问 Microsoft Entra 项目来创建安全漏洞。
配置身份验证会话控制
条件访问是需要高级许可证的 Microsoft Entra ID P1 或 P2 功能。 有关条件访问的详细信息,请参阅 Microsoft Entra ID 中的条件访问是什么?。
警告
如果使用当前处于公共预览版的 可配置令牌生存期 功能,请不要为同一用户或应用组合创建两个不同的策略:一个具有此功能,另一个策略具有可配置的令牌生存期功能。 Microsoft于 2021 年 1 月 30 日停用了用于刷新和会话令牌生存期的可配置令牌生存期功能,并将其替换为条件访问身份验证会话管理功能。
启用登录频率之前,请确保租户中禁用其他重新身份验证设置。 如果启用了“在受信任的设备上记住 MFA”功能,请在使用“登录频率”设置之前将其禁用,因为同时启用这两个设置可能导致用户意外收到提示。 有关重新身份验证提示和会话生存期的详细信息,请参阅 优化重新身份验证提示并了解Microsoft Entra 多重身份验证的会话生存期。