設定自適性工作階段存留期原則
警告
如果您使用目前處於公開預覽狀態的可設定權杖存留期功能,請注意,我們不支援針對相同的使用者或應用程式組合建立兩個不同的原則:一種是具有此功能,另一種則是具有可設定權杖存留期功能。 Microsoft 已在 2021 年 1 月 30 日淘汰重新整理和工作階段權杖存留期的可設定權杖存留期功能,並將其取代為 條件式存取驗證工作階段管理功能。
在啟用登入頻率之前,請確定您的租用戶中已停用其他重新驗證設定。 如果已啟用 [記住受信任裝置上的 MFA],請務必在使用登入頻率之前將其停用,因為這兩個設定一起使用時,可能會導致使用者收到非預期的提示。 若要深入了解重新驗證提示和工作階段存留期,請參閱這篇文章:將重新驗證提示最佳化並了解 Microsoft Entra 多重要素驗證的工作階段存留期。
原則部署
若要確保您的原則如預期般運作,建議的最佳做法是在將原則推出至實際執行環境之前先進行測試。 理想的方式是使用測試租用戶來驗證您的新原則是否如預定運作。 如需詳細資訊,請參閱規劃條件式存取部署一文。
原則 1:登入頻率控制
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [原則]。
選取 [新增原則]。
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
選擇客戶環境的所有必要條件,包括目標雲端應用程式。
注意
建議您為金鑰 Microsoft Office 應用程式 (例如 Exchange Online 和 SharePoint Online) 設定相同的驗證提示頻率,以獲得最佳使用者體驗。
在 [存取控制]>[工作階段] 底下。
- 選取 [登入頻率]。
- 選擇 [定期重新驗證],然後輸入小時或天數的值,或選取 [每次]。
- 選取 [登入頻率]。
儲存原則。
原則 2:持續性瀏覽器工作階段
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [原則]。
選取 [新增原則]。
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
選擇所有必要的條件。
注意
此控制程式需要選擇「所有雲端應用程式」作為條件。 瀏覽器工作階段持續性是由驗證工作階段權杖所控制。 瀏覽器工作階段的所有索引標籤都會共用單一工作階段權杖,因此它們都必須共用持續性狀態。
在 [存取控制]>[工作階段] 底下。
選取 [持續性瀏覽器工作階段]。
注意
Microsoft Entra 條件式存取中的持續性瀏覽器會話設定會覆寫相同使用者公司商標窗格中的 [保持登入嗎?] 設定,如果您已設定這兩個原則。
從下拉式清單中選取值。
儲存原則。
原則 3:登入頻率控制 (出現風險性使用者時)
- 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 選取完成。
- 在 [雲端應用程式或動作>包含] 下,選取 [所有資源] (先前稱為 [所有雲端應用程式] 。
- 在 [條件] > [使用者風險] 底下,將 [設定] 設為 [是]。
- 在 [設定原則強制執行所需的使用者風險等級] 下,選取 [高]。 本指引是以 Microsoft 建議為基礎,且各組織適用狀況可能有所不同
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 [需要驗證強度],然後從清單中選取內 建的多重要素驗證 驗證強度。
- 選取 [ 需要變更密碼]。
- 選取選取。
- 在 [工作階段] 下。
- 選取 [登入頻率]。
- 確定已選取 [每次]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報表專用模式確認您的設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
驗證
使用假設狀況工具,根據您設定原則的方式,模擬使用者對目標應用程式的登入及其他狀況。 驗證工作階段管理控制項會顯示在此工具的結果中。
提示容錯
每次在原則中選擇時間時,我們都會考慮五分鐘的時鐘誤差,因此不會以超過每隔五分鐘一次的頻率提示使用者。 如果使用者在過去 5 分鐘中完成 MFA,且遇到另一需要重新驗證的條件式存取原則,我們不會提示使用者。 過度提示使用者進行重新驗證可能會影響其生產力,並增加使用者核准非由他們所起始 MFA 要求的風險。 僅針對特定商務需求使用「登入頻率 – 每次」。
已知問題
- 如果您設定行動裝置的登入頻率:每個登入頻率間隔之後的驗證可能很慢 (平均可能需要 30 秒)。 此外,其也可能同時在不同的應用程式之間發生。
- 在 iOS 裝置上:如果應用程式將憑證設定為第一個驗證要素,而且應用程式同時套用了登入頻率和 Intune 行動應用程式管理原則,則終端使用者會在原則觸發時遭到封鎖而無法登入應用程式。
下一步
- 如果您已準備好設定環境的條件式存取原則,請參閱規劃條件式存取部署一文。