Configuración de la administración de las sesiones de autenticación con el acceso condicional

En las implementaciones complejas, las organizaciones pueden tener la necesidad de restringir las sesiones de autenticación. Algunos escenarios podrían incluir:

  • El acceso a los recursos desde un dispositivo no administrado o compartido
  • El acceso a información confidencial desde una red externa
  • Usuarios de gran impacto
  • Aplicaciones empresariales críticas

Los controles de acceso condicional le permiten crear directivas dirigidas a casos de uso específicos dentro de la organización sin afectar a todos los usuarios.

Antes de entrar en detalles sobre cómo configurar la directiva, examinemos la configuración predeterminada.

Frecuencia de inicio de sesión de usuario

La frecuencia de inicio de sesión define el período de tiempo antes de que se pida a un usuario que vuelva a iniciar sesión cuando intenta acceder a un recurso.

La configuración predeterminada de Azure Active Directory (Azure AD) para la frecuencia de inicio de sesión de usuario es período sucesivo de 90 días. Pedir credenciales a los usuarios a menudo parece algo sensato, pero puede resultar contraproducente: los usuarios que están capacitados para escribir sus credenciales sin pensarlo pueden suministrarlas sin querer a una petición de credenciales malintencionada.

Puede parecer alarmante no pedir a un usuario que vuelva a iniciar sesión; en realidad, cualquier infracción de las directivas de TI revocará la sesión. Algunos ejemplos incluyen, entre otras acciones, un cambio de contraseña, un dispositivo que no cumple con las normas o la deshabilitación de la cuenta. También puede explícitamente revocar sesiones de usuarios mediante PowerShell. La configuración predeterminada de Azure AD se reduce a "no pedir a los usuarios que proporcionen sus credenciales si la posición de seguridad de sus sesiones no ha cambiado".

La configuración de la frecuencia de inicio de sesión funciona con aplicaciones que han implementado los protocolos OAuth2 u OIDC de acuerdo con los estándares. La mayoría de aplicaciones nativas de Microsoft para Windows, Mac y dispositivos móviles que incluyen las aplicaciones web siguientes cumplen con la configuración.

  • Word, Excel y PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administración de Microsoft 365
  • Exchange Online
  • SharePoint y OneDrive
  • Cliente web de Teams
  • Dynamics CRM Online
  • Azure portal

La configuración de la frecuencia de inicio de sesión funciona con aplicaciones SAML de terceros y aplicaciones que han implementado los protocolos OAuth2 u OIDC, siempre y cuando no se eliminen sus propias cookies y se redirijan de nuevo a Azure AD con regularidad para la autenticación.

Frecuencia de inicio de sesión de usuario y autenticación multifactor

Antes, la frecuencia de inicio de sesión se aplicaba solo a la autenticación del primer factor en los dispositivos unidos a Azure AD, unidos a Azure AD híbrido y registrados en Azure AD. No había ninguna manera fácil de que nuestros clientes reforzaran la autenticación multifactor (MFA) en esos dispositivos. Teniendo en cuenta los comentarios de los clientes, ahora la frecuencia de inicio de sesión se aplica también a la autenticación multifactor.

Frecuencia de inicio de sesión y MFA

Frecuencia de inicio de sesión de usuario e identidades de dispositivos

En dispositivos unidos a Azure AD, unidos a Azure AD híbrido o registrados en Azure AD, el desbloqueo del dispositivo o el inicio de sesión de manera interactiva cumplirán con la directiva de frecuencia de inicio de sesión. En los dos ejemplos siguientes, la frecuencia de inicio de sesión de usuario está establecida en 1 hora:

Ejemplo 1:

  • A las 00:00, un usuario inicia sesión en su dispositivo unido a Azure AD de Windows 10 y comienza a trabajar en un documento almacenado en SharePoint Online.
  • El usuario continúa trabajando en el mismo documento en su dispositivo durante una hora.
  • A la 01:00, se solicita al usuario que vuelva a iniciar sesión según el requisito de frecuencia de inicio de sesión en la directiva de acceso condicional configurada por su administrador.

Ejemplo 2:

  • A las 00:00, un usuario inicia sesión en su dispositivo unido a Azure AD de Windows 10 y comienza a trabajar en un documento almacenado en SharePoint Online.
  • A las 00:30, el usuario se pone al día y realiza un bloqueo de interrupción en el dispositivo.
  • A las 00:45, el usuario vuelve de su interrupción y desbloquea el dispositivo.
  • A la 01:45, se solicita al usuario que vuelva a iniciar sesión según el requisito de frecuencia de inicio de sesión de la directiva de acceso condicional configurada por su administrador, ya que el último inicio de sesión se produjo a las 00:45.

Requerir reautenticación siempre

Hay escenarios en los que es posible que los clientes quieran requerir una autenticación siempre que un usuario realice acciones concretas. La frecuencia de inicio de sesión tiene una nueva opción, Siempre, además de horas o días.

Escenarios admitidos:

Cuando los administradores seleccionen Siempre, requerirá una reautenticación completa cuando se evalúe la sesión.

Persistencia de las sesiones de exploración

Una sesión persistente del explorador permite a los usuarios permanecer conectados después de cerrar y volver a abrir la ventana del explorador.

El valor predeterminado de Azure AD para la persistencia de la sesión del explorador permite a los usuarios de dispositivos personales elegir si desean mantener la sesión mostrando un aviso de "¿Quiere mantener la sesión iniciada?" tras una autenticación correcta. Si se configura la persistencia del explorador en AD FS mediante las instrucciones del artículo sobre la configuración de inicio de sesión único de AD FS, se cumplirá esa directiva y también persistirá la sesión de Azure AD. También, para configurar si los usuarios del inquilino van a ver el aviso "¿Quiere mantener la sesión iniciada?", Pedir confirmación mediante el cambio de la configuración adecuada en el panel de personalización de marca de la empresa.

Configuración de los controles de sesión de autenticación

El acceso condicional es una funcionalidad de Azure AD Premium y requiere una licencia prémium. Para más información sobre el acceso condicional, consulte Acceso condicional de Azure Active Directory.

Advertencia

Si utiliza la característica de vigencia del token configurable actualmente en versión preliminar pública, tenga en cuenta que no se admite la creación de dos directivas diferentes para el mismo usuario o combinación de aplicaciones: una con esta característica y otra con la característica de vigencia del token configurable. Microsoft ha retirado la característica de vigencia del token configurable para los tokens de sesión y actualización el 30 de enero de 2021 y la ha reemplazado por la característica de administración de sesiones de autenticación de acceso condicional.

Antes de habilitar la frecuencia de inicio de sesión, asegúrese de que cualquier otra configuración de reautenticación está deshabilitada en el inquilino. Si está habilitada la opción "Recordar MFA en dispositivos de confianza", asegúrese de deshabilitarla antes de usar la frecuencia de inicio de sesión, ya que el uso conjunto de estas dos configuraciones puede dar lugar a solicitudes inesperadas a los usuarios. Para más información sobre los mensajes de reautenticación y la duración de la sesión, consulte el artículo Optimice los mensajes de reautenticación y comprenda la duración de la sesión para Azure AD Multifactor Authentication.

Implementación de directivas

Para asegurarse de que la directiva funciona según lo esperado, el procedimiento recomendado es probarla antes de implementarla en producción. Lo ideal es usar un inquilino de prueba para comprobar si la nueva directiva funciona según lo previsto. Para obtener más información, vea el artículo Planeamiento de la implementación del acceso condicional.

Directiva 1: Control de la frecuencia de inicio de sesión

  1. Inicie sesión en Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.

  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.

  3. Seleccione Nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. Elija todas las condiciones necesarias para el entorno del cliente, incluidas las aplicaciones en la nube de destino.

    Nota:

    Se recomienda establecer la misma frecuencia de autenticación para las aplicaciones clave de Microsoft Office, como Exchange Online y SharePoint Online, para una mejor experiencia del usuario.

  6. En Controles de acceso>Sesión.

    1. Seleccione Frecuencia de inicio de sesión.
      1. Elija Reautenticación periódica e introduzca un valor de horas o días o bien seleccione Siempre.
  7. Guarde la directiva.

    Directiva de acceso condicional configurada para la frecuencia de inicio de sesión

Directiva 2: Sesión del explorador persistente

  1. Inicie sesión en Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.

  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.

  3. Seleccione Nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. Elija todas las condiciones necesarias.

    Nota:

    Tenga en cuenta que este control requiere elegir "Todas las aplicaciones en la nube" como una condición. La persistencia de la sesión del explorador se controla mediante el token de la sesión de autenticación. Todas las pestañas de una sesión del explorador comparten un único token de sesión y, por tanto, todas ellas deben compartir el estado de persistencia.

  6. En Controles de acceso>Sesión.

    1. Seleccione Sesión del explorador persistente.

      Nota

      La configuración de la sesión del explorador persistente en el acceso condicional de Azure AD invalidará la configuración "¿Quiere mantener la sesión iniciada?" en el panel de personalización de marca de la empresa en Azure Portal para el mismo usuario si ha configurado las dos directivas.

    2. Seleccione un valor en la lista desplegable.

  7. Guarde la directiva.

Directiva 3: Control de frecuencia de inicio de sesión siempre que hay un usuario de riesgo

  1. Inicie sesión en Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.
  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Riesgo de usuario, establezca Configurar en . En Configurar los niveles de riesgo de usuario necesarios para que se aplique la directiva, seleccione Alto y después, Listo.
  8. En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir cambio de contraseña y Seleccionar.
  9. En Controles de sesión>Frecuencia de inicio de sesión, seleccione Siempre.
  10. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  11. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración desde el modo de solo informe, puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Validación

Use la herramienta What If para simular un inicio de sesión del usuario en la aplicación de destino y otras condiciones en función de la configuración de la directiva. Los controles de administración de la sesión de autenticación se muestran en el resultado de la herramienta.

Tolerancia a avisos

Factorizamos cinco minutos de distorsión del reloj, con el fin de que no se envíen avisos a los usuarios más de una vez cada cinco minutos. Si el usuario ha realizado la autenticación multifactor en los 5 últimos minutos y accede a otra directiva de acceso condicional que requiere reautenticación, no se le pedirá. La promoción excesiva de la reautenticación a los usuarios puede afectar a su productividad y aumentar el riesgo de que los usuarios aprueben las solicitudes de autenticación multifactor que no iniciaron. Use "Frecuencia de inicio de sesión: siempre" solo para necesidades comerciales específicas.

Problemas conocidos

  • Si configura la frecuencia de inicio de sesión para dispositivos móviles, la autenticación después de cada intervalo de frecuencia de inicio de sesión puede ser lenta (puede tardar 30 segundos de media). Además, podría ocurrir en varias aplicaciones al mismo tiempo.
  • En dispositivos iOS, si una aplicación configura los certificados como el primer factor de autenticación y tiene aplicadas las directivas de administración de aplicaciones móviles de Intune y de frecuencia de inicio de sesión, los usuarios finales no podrán iniciar sesión en la aplicación cuando se desencadene la directiva.

Pasos siguientes