共用方式為

設定自適性連線存留期原則

  • 發行項

警告

如果您使用目前處於公開預覽狀態的可設定權杖存留期功能,請注意,我們不支援針對相同的使用者或應用程式組合建立兩個不同的原則:一種是具有此功能,另一種則是具有可設定權杖存留期功能。 Microsoft 已在 2021 年 1 月 30 日淘汰重新整理和工作階段權杖存留期的可設定權杖存留期功能,並將其取代為 條件式存取驗證工作階段管理功能。

在啟用登入頻率之前,請確定您的租用戶中已停用其他重新驗證設定。 如果已啟用「記住受信任裝置上的 MFA」,請務必在使用「登入頻率」設定之前將其停用,因為同時使用這兩個設定可能會導致使用者收到非預期的提示。 若要深入了解重新驗證提示和工作階段存留期,請參閱這篇文章:將重新驗證提示最佳化並了解 Microsoft Entra 多重要素驗證的工作階段存留期

政策部署

若要確保您的原則如預期般運作,建議的最佳做法是在將原則推出至實際執行環境之前先進行測試。 理想的方式是使用測試租用戶來驗證您的新政策是否如預期運作。 如需詳細資訊,請參閱規劃條件式存取部署一文。

原則 1:登入頻率控制

  1. 以至少條件式存取管理員的身分登入Microsoft Entra 系統管理中心

  2. 瀏覽至 保護>條件式存取>原則

  3. 選取 新增政策

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇客戶環境的所有必要條件,包括目標雲端應用程式。

    備註

    建議您為金鑰 Microsoft Office 應用程式 (例如 Exchange Online 和 SharePoint Online) 設定相同的驗證提示頻率,以獲得最佳使用者體驗。

  6. 在 [存取控制]>[工作階段] 底下。

    1. 選取 [登入頻率]。
      1. 選擇 [定期重新驗證],然後輸入小時或天數的值,或選取 [每次]

    螢幕擷取畫面:顯示為登入頻率所設定的條件式存取原則。

  7. 儲存您的保單。

原則 2:持續性瀏覽器會話

  1. 以至少條件式存取管理員的身分登入Microsoft Entra 系統管理中心

  2. 瀏覽至 保護>條件式存取>原則

  3. 選取 新增政策

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 選擇所有必要的條件。

    備註

    此控制程式需要選擇「所有雲端應用程式」作為條件。 瀏覽器工作階段的持續性由驗證會話令牌控制。 瀏覽器工作階段中的所有索引標籤都共用一個單一的工作階段權杖,因此它們必須共用持續狀態。

  6. 在 [存取控制]>[工作階段] 底下。

    1. 選擇 [持續性瀏覽器工作階段]。

      備註

      在 Microsoft Entra 條件式存取中,持續瀏覽器工作階段的設定會覆蓋相同使用者在公司形象面板中的 [保持登入?] 設定,若您已配置這兩個策略。

    2. 從下拉式清單中選取值。

  7. 儲存您的保單。

政策 3:每次出現風險性使用者時進行登入頻率控制

  1. 以至少條件式存取管理員的身分登入Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[條件式存取]
  3. 選取 新增政策
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [包含] 下,選取 [所有使用者]
    2. 排除 下,選取 使用者和群組,並選擇您組織的緊急存取或急用帳戶。
    3. 選取完成
  6. 在 [目標資源>包含] 中,選取 [所有資源](原「所有雲端應用程式」)
  7. 在 [條件]> [使用者風險] 底下,將 [設定] 設為 [是]
    1. 在 [設定原則強制執行所需的使用者風險等級] 下,選取 [高]本指引是以 Microsoft 建議為基礎,且各組織適用狀況可能有所不同
    2. 選取完成
  8. 在 [存取控制]>[授權]下,選取 [授權存取]
    1. 選取 [需要驗證強度],然後從清單中選取內 建的多重要素驗證 驗證強度。
    2. 選取 要求變更密碼
    3. 選取選擇
  9. 在 [工作階段] 下。
    1. 選取 [登入頻率]。
    2. 確定已選取「每次」。
    3. 選取選擇
  10. 確認您的設定,並將 [啟用原則] 設為 [報告專用]
  11. 選取 [建立] 以建立並啟用您的原則。

管理員使用報表專用模式確認您的設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

驗證

使用假設狀況工具,根據您設定原則的方式,模擬使用者對目標應用程式的登入及其他狀況。 驗證工作階段管理控制項會顯示在此工具的結果中。

提示寬容度

當在原則中選擇每次時,我們會考慮五分鐘的時鐘誤差,以免提示使用者的頻率超過每五分鐘一次。 如果使用者在過去 5 分鐘中完成 MFA,且遇到另一需要重新驗證的條件式存取原則,我們不會提示使用者。 過度提示使用者進行重新驗證可能會影響其生產力,並增加使用者核准非由他們所起始 MFA 要求的風險。 僅在特定的商務需求下,選擇使用「每次都登入」的登入頻率設定。

已知問題

  • 如果您設定行動裝置的登入頻率:每個登入頻率間隔之後的驗證可能很慢 (平均可能需要 30 秒)。 此外,其也可能同時在不同的應用程式之間發生。
  • 在 iOS 裝置上:如果應用程式將憑證設定為第一個驗證要素,而且應用程式同時套用了登入頻率和 Intune 行動應用程式管理原則,則終端使用者會在原則觸發時遭到封鎖而無法登入應用程式。
  • Microsoft Entra Private Access 尚不支援將登入頻率設定為每次。

下一步