O365などにブラウザでログインしようとするときに、「サインインの状態を維持しますか?」という画面が表示されることがあります。これは、条件付きアクセスの設定で非表示とすることが可能です。
ユーザーからすると「なんのこっちゃ?」という感じだと思うので、非表示にして、管理者側で有効とするか無効とするか設定しておきたいところです。
ちなみにここで「はい」を選択した場合は、ブラウザセッションが永続化され、ユーザーはブラウザー ウィンドウを閉じてから再度開いた後でもサインインした状態を維持できます。
設定方法
設定方法は、条件付きアクセスのポリシーの「セッション」のところで、「永続的なブラウザーセッション」を選択し、「常に永続的」か「永続的にしない」かを選択するだけです。
永続的ブラウザーセッションを有効化するかどうか
個人的には、永続的ブラウザーセッションは無効にしたほうが良いのではないか?と思っていたのですが、Microsoft社のドキュメントを見るとそうでもなさそうです。
多くの場合、ユーザーに資格情報を要求することは賢明であるように思われますが、逆効果になることがあります。何も考えずに資格情報を入力するように教えられたユーザーは、意図せずに、資格情報を求める悪意のあるプロンプトに入力してしまう可能性があります。
ユーザーにサインインし直すように求めないことは不安に感じられるかもしれませんが、実際は IT ポリシーのどのような違反によってもセッションは取り消されます。 たとえば、パスワードの変更、非準拠のデバイス、アカウントの無効化などがあります (ただしこれらに限定されません)。 また、明示的に PowerShell を使用してユーザーのセッションを取り消すことができます。 Azure AD の既定の構成は、結局、「セッションのセキュリティ体制が変更していなければ、資格情報の提供をユーザーに求めない」というものになります。
ユーザーやデバイスの状態が変化すれば、いずれにせよセッションは取り消されるのと、むやみやたらに認証を求めると、悪意のあるプロンプトに対しても何も考えずに入力してしまうようになってしまうよ。ということですね。
これを見て、永続的ブラウザーセッションは有効にすることとしました。
