Optimización de las solicitudes de reautenticación y comprensión de la duración de la sesión para la autenticación multifactor de Microsoft Entra
Microsoft Entra ID tiene varios valores que determinan la frecuencia con la que los usuarios deben reautenticarse.Microsoft Entra. Esta reautenticación podría ser con un primer factor como contraseña, FIDO o Microsoft Authenticator sin contraseña, o bien mediante autenticación multifactor. Puede configurar estas opciones de reautenticación según sea necesario para su propio entorno y la experiencia de usuario que desee.
La configuración predeterminada de Microsoft Entra ID para la frecuencia de inicio de sesión de usuario es un período sucesivo de 90 días. La petición de credenciales a los usuarios a menudo parece algo sensato, pero puede tener sus desventajas. Si los usuarios están entrenados para escribir sus credenciales sin necesidad de pensar, pueden proporcionarlas involuntariamente ante una petición de credenciales malintencionada.
Puede parecer alarmante no pedir a un usuario que vuelva a iniciar sesión, aunque cualquier infracción de las directivas de TI revocará la sesión. Algunos ejemplos incluyen un cambio de contraseña, un dispositivo que no cumple con las normas o la operación de deshabilitación de la cuenta. También puede revocar sesiones de usuarios mediante PowerShell de forma explícita.
En este artículo se detallan las configuraciones recomendadas y cómo funcionan estas e interactúan entre sí.
Configuración recomendada
Para ofrecer a los usuarios el equilibrio adecuado entre seguridad y facilidad de uso pidiéndoles que inicien sesión con la frecuencia correcta, se recomiendan las siguientes configuraciones:
- Si tiene Microsoft Entra ID P1 o P2:
- Habilite el inicio de sesión único (SSO) en todas las aplicaciones mediante dispositivos administrados o SSO de conexión directa.
- Si se requiere la reautenticación, use una directiva de frecuencia de inicio de sesión de acceso condicional.
- Para los usuarios que inician sesión desde dispositivos no administrados o escenarios de dispositivos móviles, puede que las sesiones del explorador persistentes no sean una opción preferible, o bien puede usar el acceso condicional para habilitar sesiones persistentes del explorador con directivas de frecuencia de inicio de sesión. Limite la duración a un tiempo adecuado en función del riesgo de inicio de sesión, donde un usuario con menos riesgo tiene duración de la sesión más larga.
- Si tiene licencias de aplicaciones de Microsoft 365 o el nivel de Microsoft Entra gratuito:
- Habilite el inicio de sesión único (SSO) en todas las aplicaciones mediante dispositivos administrados o SSO de conexión directa.
- Mantenga habilitada la opción Remain signed-in (Permanecer conectado) y guíe a los usuarios para que la acepten.
- Para escenarios con dispositivos móviles, asegúrese de que los usuarios utilizan la aplicación Microsoft Authenticator. Esta aplicación se usa como agente para otras aplicaciones federadas de Microsoft Entra ID y reduce los avisos de autenticación en el dispositivo.
Nuestra investigación muestra que estos valores son adecuados para la mayoría de los inquilinos. Algunas combinaciones de estas opciones, como Recordar Multi-Factor Authentication y Permanecer conectado, pueden dar lugar a la aparición frecuente de mensajes de autenticación para los usuarios. Los mensajes de reautenticación periódicos son perjudiciales para la productividad del usuario y pueden hacerlos más vulnerables frente a los ataques.
Opciones de configuración de duración de la sesión de Microsoft Entra
Para optimizar la frecuencia de los mensajes de autenticación para los usuarios, puede configurar las opciones de duración de la sesión de Microsoft Entra. Sea consciente de las necesidades de su empresa y sus usuarios y configure los valores que proporcionen el mejor equilibrio para su entorno.
Evaluación de las directivas de duración de la sesión
Sin ninguna configuración de duración de la sesión, no hay cookies persistentes en la sesión del explorador. Cada vez que un usuario cierra y abre el explorador, recibe una solicitud de reautenticación. En los clientes de Office, el período de tiempo predeterminado es un período sucesivo de 90 días. Con esta configuración de Office predeterminada, si el usuario ha restablecido su contraseña o ha habido inactividad de más de 90 días, el usuario deberá volver a autenticarse con todos los factores necesarios (primer y segundo factor).
Un usuario podría ver varias solicitudes de MFA en un dispositivo que no tiene una identidad en Microsoft Entra ID. Se generan varios mensajes cuando cada aplicación tiene su propio token de actualización de OAuth que no se comparte con otras aplicaciones cliente. En este escenario, MFA solicita la autenticación varias veces, ya que cada aplicación solicita un token de actualización de OAuth que se va a validar con MFA.
En Microsoft Entra ID, la directiva más restrictiva para la duración de la sesión determina cuándo es necesario volver a autenticar el usuario. Considere el caso siguiente:
- Habilita Remain signed-in (Permanecer conectado), que usa una cookie persistente del explorador.
- Además, habilita Remember MFA for 14 days (Recordar MFA durante 14 días).
En este escenario de ejemplo, el usuario debe volver a autenticarse cada 14 días. Este comportamiento sigue la directiva más restrictiva, incluso si la opción Mantener sesión iniciada no requeriría por sí misma al usuario la reautenticación en el explorador.
Dispositivos administrados
Los dispositivos unidos a Microsoft Entra ID mediante Unión a Microsoft Entra o Unión híbrida a Microsoft Entra reciben un token de actualización principal (PRT) para usar el inicio de sesión único (SSO) entre aplicaciones. Estos tokens de actualización principales permiten a un usuario iniciar sesión una vez en el dispositivo y ayudan al personal de TI a garantizar que se cumplen los estándares de seguridad y cumplimiento. Si es necesario solicitar a un usuario que inicie sesión con más frecuencia en un dispositivo combinado para algunas aplicaciones o escenarios, puede recurrir a la frecuencia de inicio de sesión de acceso condicional.
Mostrar la opción para mantener la sesión iniciada
Cuando un usuario selecciona Sí en la pregunta¿Quiere mantener la sesión iniciada? durante el inicio de sesión, se establece una cookie persistente en el explorador. Esta cookie persistente recuerda el primer y el segundo factor, y se aplica solo a las solicitudes de autenticación en el explorador.
Si tiene una licencia Microsoft Entra ID P1 o P2, se recomienda usar la directiva de acceso condicional para la sesión del explorador persistente. Esta directiva sobrescribe al valor de ¿Quiere mantener la sesión iniciada? y proporciona una experiencia de usuario mejorada. Si no tiene una licencia Microsoft Entra ID P1 o P2, se recomienda habilitar la configuración de mantener la sesión iniciada para los usuarios.
Para obtener más información sobre cómo configurar la opción para permitir que los usuarios permanezcan conectados, consulte Cómo administrar la pregunta "¿Quiere mantener la sesión iniciada?".
Recordar autenticación multifactor
Esta opción permite configurar valores entre 1 y 365 días y establece una cookie persistente en el explorador cuando un usuario selecciona la opción No preguntar de nuevo durante X días en el momento del inicio de sesión.
Aunque esta configuración reduce el número de autenticaciones en las aplicaciones web, aumenta el número de autenticaciones para los clientes de autenticación moderna, como los clientes de Office. Normalmente, estos clientes solo hacen la solicitud después de un restablecimiento de la contraseña o una inactividad de 90 días. Sin embargo, si se establece este valor en menos de 90 días, se acortan los mensajes de MFA predeterminados para los clientes de Office y aumenta la frecuencia de una nueva autenticación. Cuando se usa en combinación con Remain signed-in (Permanecer conectado) o con directivas de acceso condicional, puede aumentar el número de solicitudes de autenticación.
Si usa Recordar autenticación multifactor y tiene licencias de Microsoft Entra ID P1 o P2, considere la posibilidad de migrar esta configuración a la frecuencia de inicio de sesión de acceso condicional. De lo contrario, considere la posibilidad de usar Mantener sesión iniciada.
Para obtener más información, consulte Recordar autenticación multifactor.
Administración de la sesión de autenticación con acceso condicional
La frecuencia de inicio de sesión permite al administrador elegir la frecuencia de inicio de sesión que se aplica para el primer y el segundo factor tanto en el cliente como en el explorador. Se recomienda usar estos valores, junto con dispositivos administrados, en escenarios en los que es necesario restringir la sesión de autenticación, por ejemplo, los de las aplicaciones empresariales críticas.
Una sesión persistente del explorador permite a los usuarios permanecer conectados después de cerrar y volver a abrir la ventana del explorador. De forma similar a la configuración de Remain signed-in (Permanecer conectado), establece una cookie persistente en el explorador. Sin embargo, dado que está configurado por el administrador, no requiere que el usuario seleccione Sí en la opción ¿Quiere mantener la sesión iniciada? , por lo que permite una mejor experiencia del usuario. Si usa la opciónRemain signed-in (Permanecer conectado), se recomienda habilitar en su lugar la directiva Sesión del explorador persistente.
Para obtener más información, consulte Configuración de la administración de las sesiones de autenticación con el acceso condicional.
Vigencia de tokens configurable
Esta opción permite configurar la duración del token emitido por Microsoft Entra ID. Esta directiva se reemplaza por la administración de sesiones de autenticación con acceso condicional. Si actualmente utiliza Vigencia de tokens configurable, se recomienda iniciar la migración a las directivas de acceso condicional.
Revisión de la configuración del inquilino
Ahora que comprende cómo funcionan las diferentes opciones y la configuración recomendada, es el momento de comprobar la configuración de los inquilinos. Para empezar, puede ver los registros de inicio de sesión para comprender qué directivas de duración de sesión se aplicaron durante el inicio de sesión.
En cada registro de inicio de sesión, vaya a la pestaña Detalles de autenticación y explore Directivas de duración de sesión aplicadas. Para obtener más información, consulte el artículo Más información sobre los detalles de la actividad de registro de inicio de sesión.
Para configurar o revisar la opción Remain signed-in (Permanecer conectado), complete los pasos siguientes:
- Inicie sesión en el centro de administración de Microsoft Entra como administrador global.
- Navegue a Identidad>Personalización de marca de empresa y, a continuación, para cada configuración regional, elija Mostrar la opción para mantener la sesión iniciada.
- Seleccione Sí y, después, Guardar.
Para recordar la configuración de la autenticación multifactor en los dispositivos de confianza, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
- Vaya a Protección>Autenticación multifactor.
- En Configurar, seleccione Configuración adicional de MFA basado en la nube.
- En la configuración del servicio de autenticación multifactor, desplácese hasta la opción para recordar la configuración de la autenticación multifactor. Deshabilite la opción desactivando la casilla.
Para configurar directivas de acceso condicional para la frecuencia de inicio de sesión y la sesión del explorador persistente, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como administrador de acceso condicional.
- Vaya a Protección> Acceso condicional.
- Configure una directiva mediante las opciones de administración de sesión recomendadas que se detallan en este artículo.
Para revisar la vigencia de los tokens, use Azure AD PowerShell para consultar las directivas de Microsoft Entra. Deshabilite las directivas que haya implementado.
Si hay más de una opción de configuración habilitada en el inquilino, se recomienda actualizar la configuración en función de las licencias disponibles. Por ejemplo, si tiene licencias Microsoft Entra ID P1 o P2, solo debe usar la directiva de acceso condicional de Frecuencia de inicio de sesión y Sesión del explorador persistente. Si tiene aplicaciones de Microsoft 365 o licencias de Microsoft Entra ID gratuitas, debe usar la configuración Remain signed-in (Permanecer conectado).
Si ha habilitado la vigencia de tokens configurable, esta funcionalidad se quitará pronto. Planee una migración a una directiva de acceso condicional.
En la tabla siguiente se resumen las recomendaciones basadas en licencias:
| Microsoft Entra ID gratis y aplicaciones de Microsoft 365 | Microsoft Entra ID P1 o P2 | |
|---|---|---|
| SSO | Unión a Microsoft Entra o Unión híbrida a Microsoft Entra o SSO de conexión directa para dispositivos no administrados. | Unión a Microsoft Entra Unión híbrida de Microsoft Entra |
| Configuración de la reautenticación | Permanecer conectado | Uso de directivas de acceso condicional para la frecuencia de inicio de sesión y la sesión del explorador persistente |
Pasos siguientes
Para empezar, realice el tutorial Protección de eventos de inicio de sesión de usuario con autenticación multifactor de Microsoft Entra o Uso de las detecciones de riesgos en los inicios de sesión de usuario para desencadenar la autenticación multifactor de Microsoft Entra.