配置自适应会话生存期策略
警告
如果你使用的是当前为公共预览版的可配置令牌生存期功能,请注意,我们不支持为同一用户或应用组合创建两种不同的策略:一个使用此功能,另一个使用可配置令牌生存期功能。 Microsoft 于 2021 年 1 月 30 日停用了用于刷新和会话令牌生存期的可配置令牌生存期功能,并将其替换为条件访问身份验证会话管理功能。
在启用登录频率之前,请确保其他重新身份验证设置在租户中已禁用。 如果已启用“记住受信任设备上的 MFA”,请确保在使用登录频率之前禁用该功能,因为如果将这两个设置一起使用,用户可能会收到意外提示。 若要详细了解重新身份验证提示和会话生存期,请参阅优化重新身份验证提示并了解 Microsoft Entra 多重身份验证的会话生存期一文。
策略部署
若要确保你的策略按预期工作,建议的最佳做法是在将其推广到生产环境之前对其进行测试。 理想情况下,使用一个测试租户来验证新策略是否按预期方式工作。 有关详细信息,请参阅计划条件访问部署一文。
策略 1:登录频率控制
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略”。
为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
选择客户环境所需的所有条件,包括目标云应用。
注意
建议为 Exchange Online 和 SharePoint Online 等重要 Microsoft Office 应用设置相同的身份验证提示频率,以获得最佳用户体验。
在“访问控制”>“会话”下。
- 选择“用户登录频率”。
- 选择“定期重新进行身份验证”,然后输入小时数或天数值或选择“每次”。
- 选择“用户登录频率”。
保存策略。
策略 2:持久性浏览器会话
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略”。
为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
选择所有所需的条件。
注意
此控制措施要求选择“所有云应用”作为条件。 浏览器会话持久性由身份验证会话令牌控制。 浏览器会话中的所有标签页共享一个会话令牌,因此它们都必须共享持久性状态。
在“访问控制”>“会话”下。
选择“持久性浏览器会话”。
注意
Microsoft Entra 条件访问中的持久性浏览器会话配置将在公司品牌窗格中覆盖同一用户的“保持登录?”设置(如果已配置这两个策略)。
从下拉列表中选择一个值。
保存策略。
策略 3:风险用户的“每次”登录频率控制
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“条件访问”。
- 选择“新策略” 。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识” 。
- 在“包括”下,选择“所有用户”。
- 在“排除”下选择“用户和组”,然后选择组织的紧急访问帐户或不受限帐户。
- 选择“完成”。
- 在“云应用或操作”>“包括”下,选择资源(以前为“所有云应用”)。
- 在“条件”>“用户风险”下,将“配置”设置为“是”。
- 在“配置强制执行策略所需的用户风险级别”下,选择“高”。 本指南基于 Microsoft 建议,对于每个组织来说可能有所不同
- 选择“完成” 。
- 在“访问控制” > “授权”下,选择“授权访问”。
- 选择“需要身份验证强度”,然后从列表中选择内置的“多重身份验证”身份验证强度。
- 选择“要求更改密码”。
- 选择“选择” 。
- 在“会话”下。
- 选择“用户登录频率”。
- 确保选择了“每次”。
- 选择“选择” 。
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“创建” ,以便创建启用策略所需的项目。
在管理员使用仅限报告模式确认你的设置后,他们可以将“启用策略”切换开关从“仅限报告”移至“开”。
验证
使用 What If 工具根据策略的配置方式来模拟用户登录目标应用程序及其他条件。 身份验证会话管理控制措施将显示在工具的结果中。
提示容错
在策略中选择每次时,我们会考虑 5 分钟的时钟偏差,这样我们就不会比每五分钟更频繁的间隔提示用户。 如果用户在过去 5 分钟内完成了 MFA,而又触发了另一个要求重新身份验证的条件访问策略,我们不会提示用户。 过度提示用户进行重新身份验证可能会影响其工作效率,并增加用户批准不是由他们发起的 MFA 请求的风险。 仅针对特定业务需求使用“登录频率 - 每次”。
已知问题
- 如果为移动设备配置登录频率,则在每次登录频率间隔后进行身份验证会很慢,可能平均需要 30 秒。 而且,各种应用中可能会同时发生该问题。
- 在 iOS 设备中:如果应用将证书配置为第一个身份验证因素,并且已应用了登录频率和 Intune 移动应用管理策略,则触发策略时将阻止最终用户登录到该应用。
后续步骤
- 如果你已准备好针对环境配置条件访问策略,请参阅计划条件访问部署一文。