使用设备状态构建复原能力

通过在 Microsoft Entra ID 中启用设备状态,管理员可以创建根据设备状态控制应用程序访问权限的条件访问策略。 通过启用设备状态,可满足资源访问的强身份验证要求,减少多重身份验证请求,并提高复原能力。

下面的流程图显示了在 Microsoft Entra ID 中加入启用设备状态的设备的方法。 你可以在你的组织中使用多种方法。

选择设备状态的流程图

当你使用设备状态时,在大部分情况下用户都可通过主刷新令牌 (PRT) 单一登录到资源。 PRT 包含有关用户和设备的声明。 可使用这些声明来获取从设备访问应用程序所用的身份验证令牌。 PRT 的有效期为 14 天,只要用户经常使用该设备,就会持续续订,为用户提供可复原的体验。 有关 PRT 如何获取多重身份验证声明的详细信息,请参阅 PRT 何时获取 MFA 声明

设备状态有何作用?

PRT 请求访问某个应用程序时,Microsoft Entra ID 会信任其设备、会话和 MFA 声明。 当管理员创建需要基于设备的控制或多重身份验证控制的策略时,可以通过设备状态来满足策略要求,而无需尝试 MFA。 用户不会在同一设备上看到更多 MFA 提示。 这会增强抵御 Microsoft Entra 多重身份验证服务或依赖方(例如本地电信提供商)服务中断的复原能力。

如何实现实现设备状态?

后续步骤

面向管理员和架构师的复原能力资源

适用于开发人员的复原能力资源