Configuración de la administración de las sesiones de autenticación con el acceso condicional

En las implementaciones complejas, las organizaciones pueden tener la necesidad de restringir las sesiones de autenticación. Algunos escenarios podrían incluir:

• El acceso a los recursos desde un dispositivo no administrado o compartido
• El acceso a información confidencial desde una red externa
• Usuarios de gran impacto
• Aplicaciones empresariales críticas

Los controles de acceso condicional le permiten crear directivas dirigidas a casos de uso específicos dentro de la organización sin afectar a todos los usuarios.

Antes de entrar en detalles sobre cómo configurar la directiva, examinemos la configuración predeterminada.

Frecuencia de inicio de sesión de usuario

La frecuencia de inicio de sesión define el período de tiempo antes de que se pida a un usuario que vuelva a iniciar sesión cuando intenta acceder a un recurso.

La configuración predeterminada de Microsoft Entra ID para la frecuencia de inicio de sesión de usuario es un período sucesivo de 90 días. Pedir credenciales a los usuarios a menudo parece algo sensato, pero puede resultar contraproducente: los usuarios que están capacitados para escribir sus credenciales sin pensarlo pueden suministrarlas sin querer a una petición de credenciales malintencionada.

Puede parecer alarmante no pedir a un usuario que vuelva a iniciar sesión; en realidad, cualquier infracción de las directivas de TI revocará la sesión. Algunos ejemplos incluyen, entre otras acciones, un cambio de contraseña, un dispositivo que no cumple con las normas o la deshabilitación de la cuenta. También puede revocar sesiones de usuarios mediante PowerShell para Microsoft Graph de forma explícita. La configuración por defecto de Microsoft Entra ID se reduce a "no pedir a los usuarios que proporcionen sus credenciales si la postura de seguridad de sus sesiones no ha cambiado".

La configuración de la frecuencia de inicio de sesión funciona con aplicaciones que han implementado los protocolos OAuth2 u OIDC de acuerdo con los estándares. La mayoría de aplicaciones nativas de Microsoft para Windows, Mac y dispositivos móviles que incluyen las aplicaciones web siguientes cumplen con la configuración.

• Word, Excel y PowerPoint Online
• OneNote Online
• Office.com
• Portal de administración de Microsoft 365
• Exchange Online
• SharePoint y OneDrive
• Cliente web de Teams
• Dynamics CRM Online
• Azure portal

La configuración de la frecuencia de inicio de sesión funciona con aplicaciones SAML de terceros y aplicaciones que han implementado los protocolos OAuth2 u OIDC, siempre y cuando no dejen caer sus propias cookies y sean redirigidas de nuevo a Microsoft Entra ID para la autenticación de forma regular.

Frecuencia de inicio de sesión de usuario y autenticación multifactor

Anteriormente, la frecuencia de inicio de sesión solo se aplicaba a la autenticación de primer factor en dispositivos unidos a Microsoft Entra, unidos a Microsoft Entra híbrido y registrados en Microsoft Entra. A nuestros clientes no les resultaba fácil reforzar la autenticación multifactor en esos dispositivos. Teniendo en cuenta los comentarios de los clientes, ahora la frecuencia de inicio de sesión se aplica también a la autenticación multifactor.

Frecuencia de inicio de sesión de usuario e identidades de dispositivos

En los dispositivos unidos Microsoft Entra e híbridos unidos Microsoft Entra, el desbloqueo del dispositivo o el inicio de sesión interactivo solo actualizará el token de actualización principal (PRT) cada 4 horas. La última marca de tiempo de actualización registrada para PRT en comparación con la marca de tiempo actual debe estar dentro del tiempo asignado en la directiva SIF para que PRT satisfaga SIF y conceda acceso a un PRT que tenga una notificación MFA existente. En los dispositivos registrados en Microsoft Entra, el desbloqueo/inicio de sesión no satisfacería la directiva SIF porque el usuario no está accediendo a un dispositivo registrado en Microsoft Entra a través de una cuenta de Microsoft Entra. Sin embargo, el complemento Microsoft Entra WAM puede actualizar un PRT durante la autenticación de aplicaciones nativas mediante WAM.

Nota: La marca de tiempo capturada del inicio de sesión del usuario no es necesariamente la misma que la última marca de tiempo registrada de la actualización PRT debido al ciclo de actualización de 4 horas. El caso cuando es el mismo es cuando un PRT ha expirado y un usuario lo actualiza durante 4 horas. En los ejemplos siguientes, suponga que la directiva SIF se establece en 1 hora y PRT se actualiza a las 00:00.

Ejemplo 1: cuando continúa trabajando en el mismo documento en SPO durante una hora

• A las 00:00, un usuario inicia sesión en su dispositivo unido a Windows 10 Microsoft Entra y comienza a trabajar en un documento almacenado en SharePoint Online.
• El usuario continúa trabajando en el mismo documento en su dispositivo durante una hora.
• A la 01:00, se solicita al usuario que vuelva a iniciar sesión según el requisito de frecuencia de inicio de sesión en la directiva de acceso condicional configurada por su administrador.

Ejemplo 2: al pausar el trabajo con una tarea en segundo plano que se ejecuta en el explorador, vuelva a interactuar después de que haya transcurrido el tiempo de la directiva SIF

• A las 00:00, un usuario inicia sesión en su dispositivo unido a Windows 10 Microsoft Entra y comienza a cargar un documento en SharePoint Online.
• A las 00:10, el usuario se levanta y se toma un descanso, bloqueando su dispositivo. La carga en segundo plano continúa en SharePoint Online.
• A las 02:45, el usuario vuelve de su descanso y desbloquea el dispositivo. La carga en segundo plano muestra la finalización.
• A la 02:45, se solicita al usuario que vuelva a iniciar sesión cuando interactúa de nuevo según el requisito de frecuencia de inicio de sesión de la directiva de acceso condicional configurada por su administrador, ya que el último inicio de sesión se produjo a las 00:00.

Si la aplicación cliente (en detalles de actividad) es un explorador, se aplaza la aplicación de frecuencia de inicio de sesión de eventos o directivas en servicios en segundo plano hasta la siguiente interacción del usuario.   

Ejemplo 3: con un ciclo de actualización de 4 horas del token de actualización principal desde el desbloqueo

Escenario 1: el usuario regresa dentro del ciclo

• A las 00:00, un usuario inicia sesión en su dispositivo unido a Windows 10 Microsoft Entra y comienza a trabajar en un documento almacenado en SharePoint Online.
• A las 00:30, el usuario se pone al día y realiza un bloqueo de interrupción en el dispositivo.
• A las 00:45, el usuario vuelve de su interrupción y desbloquea el dispositivo.
• A la 01:00, se le solicita al usuario que vuelva a iniciar sesión según el requisito de frecuencia de inicio de sesión de la directiva de acceso condicional configurada por su administrador, una hora después del inicio de sesión inicial.

Escenario 2: el usuario regresa fuera del ciclo

• A las 00:00, un usuario inicia sesión en su dispositivo unido a Windows 10 Microsoft Entra y comienza a trabajar en un documento almacenado en SharePoint Online.
• A las 00:30, el usuario se pone al día y realiza un bloqueo de interrupción en el dispositivo.
• A las 04:45, el usuario vuelve de su descanso y desbloquea el dispositivo.
• A las 05:45, se le solicita al usuario que inicie sesión nuevamente según el requisito de frecuencia de inicio de sesión en la directiva de acceso condicional configurada por su administrador, una hora después de que se actualizó el PRT a las 04:45 (más de 4 horas después del inicio de sesión inicial a las 00:00).

Requerir reautenticación siempre

Hay escenarios en los que es posible que los clientes quieran requerir una autenticación siempre que un usuario realice acciones concretas. La frecuencia de inicio de sesión tiene una nueva opción, Siempre, además de horas o días.

Escenarios admitidos:

• Requerir la reautenticación de usuario al inscribir dispositivos en Intune, independientemente del estado actual de su autenticación multifactor.
• Requerir la reautenticación de usuario a usuarios de riesgo con el control de concesión de solicitud de cambio de contraseña.
• Requerir la reautenticación de usuario en inicios de sesión de riesgo con el control de concesión de solicitud de autenticación multifactor.

Cuando los administradores seleccionen Siempre, requerirá una reautenticación completa cuando se evalúe la sesión.

Persistencia de las sesiones de exploración

Una sesión persistente del explorador permite a los usuarios permanecer conectados después de cerrar y volver a abrir la ventana del explorador.

El valor predeterminado de Microsoft Entra ID para la persistencia de la sesión del navegador permite a los usuarios de dispositivos personales elegir si desean persistir la sesión mostrando un mensaje "¿Mantener la sesión iniciada?" tras una autenticación correcta. Si la persistencia del navegador está configurada en AD FS usando la guía en el artículo Configuración de inicio de sesión único de AD FS, cumpliremos con esa directiva y persistiremos la sesión de Microsoft Entra también. También, para configurar si los usuarios del inquilino van a ver el aviso "¿Quiere mantener la sesión iniciada?", Pedir confirmación mediante el cambio de la configuración adecuada en el panel de personalización de marca de la empresa.

En los exploradores persistentes, las cookies permanecen almacenadas en el dispositivo del usuario incluso después de que un usuario cierre el explorador. Estas cookies podrían tener acceso a artefactos de Microsoft Entra, y esos artefactos son utilizables hasta la expiración del token independientemente de las políticas de Acceso Condicional colocadas en el entorno de recursos. Por lo tanto, el almacenamiento en caché de tokens puede ser una infracción directa de las directivas de seguridad deseadas para la autenticación. Si bien puede parecer conveniente almacenar tokens más allá de la sesión actual, hacerlo puede crear una vulnerabilidad de seguridad al permitir el acceso no autorizado a los artefactos de Microsoft Entra.

Configuración de los controles de sesión de autenticación

El acceso condicional es una función de Microsoft Entra ID P1 o P2 y requiere una licencia Premium. Si desea obtener más información sobre el acceso condicional, consulte ¿Qué es el acceso condicional en Microsoft Entra ID?

Advertencia

Si utiliza la característica de vigencia del token configurable actualmente en versión preliminar pública, tenga en cuenta que no se admite la creación de dos directivas diferentes para el mismo usuario o combinación de aplicaciones: una con esta característica y otra con la característica de vigencia del token configurable. Microsoft ha retirado la característica de vigencia del token configurable para los tokens de sesión y actualización el 30 de enero de 2021 y la ha reemplazado por la característica de administración de sesiones de autenticación de acceso condicional.

Antes de habilitar la frecuencia de inicio de sesión, asegúrese de que cualquier otra configuración de reautenticación está deshabilitada en el inquilino. Si está habilitada la opción "Recordar MFA en dispositivos de confianza", asegúrese de deshabilitarla antes de usar la frecuencia de inicio de sesión, ya que el uso conjunto de estas dos configuraciones puede dar lugar a solicitudes inesperadas a los usuarios. Para obtener más información sobre los avisos de reautenticación y la duración de la sesión, consulte el artículo Optimizar los avisos de reautenticación y comprender la duración de la sesión para la autenticación multifactor de Microsoft Entra.

Implementación de directivas

Para asegurarse de que la directiva funciona según lo esperado, el procedimiento recomendado es probarla antes de implementarla en producción. Lo ideal es usar un inquilino de prueba para comprobar si la nueva directiva funciona según lo previsto. Para obtener más información, vea el artículo Planeamiento de la implementación del acceso condicional.

Directiva 1: Control de la frecuencia de inicio de sesión

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

2. Vaya a Protección> Acceso condicional.

3. Seleccione Crear nueva directiva.

4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. Elija todas las condiciones necesarias para el entorno del cliente, incluidas las aplicaciones en la nube de destino.

   Nota:

   Se recomienda establecer la misma frecuencia de autenticación para las aplicaciones clave de Microsoft Office, como Exchange Online y SharePoint Online, para una mejor experiencia del usuario.

6. En Controles de acceso>Sesión.

   1. Seleccione Frecuencia de inicio de sesión.
      1. Elija Reautenticación periódica e introduzca un valor de horas o días o bien seleccione Siempre.

7. Guarde la directiva.

   

Directiva 2: Sesión del explorador persistente

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

2. Vaya a Protección> Acceso condicional.

3. Seleccione Crear nueva directiva.

4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. Elija todas las condiciones necesarias.

   Nota:

   Tenga en cuenta que este control requiere elegir "Todas las aplicaciones en la nube" como una condición. La persistencia de la sesión del explorador se controla mediante el token de la sesión de autenticación. Todas las pestañas de una sesión del explorador comparten un único token de sesión y, por tanto, todas ellas deben compartir el estado de persistencia.

6. En Controles de acceso>Sesión.

   1. Seleccione Sesión del explorador persistente.

      Nota:

      La configuración de la sesión de navegador persistente en Microsoft Entra Conditional Access anula la opción "¿Mantener la sesión iniciada?" en el panel de marca de empresa para el mismo usuario si ha configurado ambas directivas.

   2. Seleccione un valor en la lista desplegable.

7. Guarde la directiva.

Directiva 3: Control de frecuencia de inicio de sesión siempre que hay un usuario de riesgo

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección> Acceso condicional.
3. Seleccione Crear nueva directiva.
4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios.
   2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
   3. Seleccione Listo.
6. En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Todas las aplicaciones en la nube.
7. En Condiciones>Riesgo de usuario, establezca Configurar en Sí. En Configurar los niveles de riesgo de usuario necesarios para que se aplique la directiva, seleccione Alto y después, Listo.
8. En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir cambio de contraseña y Seleccionar.
9. En Controles de sesión>Frecuencia de inicio de sesión, seleccione Siempre.
10. Confirme la configuración y establezca Habilitar directiva en Solo informe.
11. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración desde el modo de solo informe, puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Validación

Use la herramienta What If para simular un inicio de sesión del usuario en la aplicación de destino y otras condiciones en función de la configuración de la directiva. Los controles de administración de la sesión de autenticación se muestran en el resultado de la herramienta.

Tolerancia a avisos

Factorizamos cinco minutos de distorsión del reloj, con el fin de que no se envíen avisos a los usuarios más de una vez cada cinco minutos. Si el usuario ha realizado la autenticación multifactor en los 5 últimos minutos y accede a otra directiva de acceso condicional que requiere reautenticación, no se le pedirá. La solicitud excesiva de reautenticación a los usuarios puede afectar a su productividad y aumentar el riesgo de que los usuarios aprueben solicitudes de MFA que no hayan iniciado. Use "Frecuencia de inicio de sesión: siempre" solo para necesidades comerciales específicas.

Problemas conocidos

• Si configura la frecuencia de inicio de sesión para dispositivos móviles, la autenticación después de cada intervalo de frecuencia de inicio de sesión puede ser lenta (puede tardar 30 segundos de media). Además, podría ocurrir en varias aplicaciones al mismo tiempo.
• En dispositivos iOS, si una aplicación configura los certificados como el primer factor de autenticación y tiene aplicadas las directivas de administración de aplicaciones móviles de Intune y de frecuencia de inicio de sesión, los usuarios finales no podrán iniciar sesión en la aplicación cuando se desencadene la directiva.

Pasos siguientes

• Si está listo para configurar directivas de acceso condicional en su entorno, consulte el artículo Planeamiento de la implementación del acceso condicional.