Compartir a través de

Configuración de directivas de duración de sesión adaptables

Advertencia

Si actualmente está utilizando la característica de duración de tokens configurable en versión preliminar pública, tenga en cuenta que no admitimos la creación de dos políticas diferentes para la misma combinación de usuario o aplicación: una con esta característica y otra con la característica de duración de tokens configurable. Microsoft ha retirado la característica de vigencia del token configurable para los tokens de sesión y actualización el 30 de enero de 2021 y la ha reemplazado por la característica de administración de sesiones de autenticación de acceso condicional.

Antes de habilitar la frecuencia de inicio de sesión, asegúrese de que cualquier otra configuración de reautenticación está deshabilitada en el inquilino. Si está habilitada la opción "Recordar MFA en dispositivos de confianza", asegúrese de deshabilitarla antes de usar la frecuencia de inicio de sesión, ya que el uso conjunto de estas dos configuraciones puede dar lugar a solicitudes inesperadas a los usuarios. Para obtener más información sobre las solicitudes de reautenticación y la duración de la sesión, consulte el artículo Optimización de las solicitudes de reautenticación y descripción de la duración de la sesión para la autenticación multifactor de Microsoft Entra.

Implementación de directivas

Para asegurarse de que la directiva funciona según lo esperado, el procedimiento recomendado es probarla antes de implementarla en producción. Lo ideal es usar un inquilino de prueba para comprobar si la nueva directiva funciona según lo previsto. Para obtener más información, consulte el artículo Planear una implementación de acceso condicional.

Directiva 1: Control de la frecuencia de inicio de sesión

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.

  2. Vaya a Entra ID>Acceso Condicional>Directivas.

  3. Seleccione Nueva directiva.

  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. Elija todas las condiciones necesarias para el entorno del cliente, incluidas las aplicaciones en la nube de destino.

    Nota:

    Se recomienda establecer la misma frecuencia de autenticación para las aplicaciones clave de Microsoft Office, como Exchange Online y SharePoint Online, para una mejor experiencia del usuario.

  6. Bajo Controles de acceso>Sesión.

    1. Seleccione Frecuencia de inicio de sesión.
      1. Elija Reautenticación periódica y escriba un valor de horas o días o seleccione Cada vez.

    Captura de pantalla que muestra una directiva de acceso condicional configurada para la frecuencia de inicio de sesión.

  7. Guarde la directiva.

Directiva 2: Sesión del explorador persistente

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.

  2. Vaya a Entra ID>Acceso Condicional>Directivas.

  3. Seleccione Nueva directiva.

  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. Elija todas las condiciones necesarias.

    Nota:

    Este control requiere elegir «Todas las aplicaciones en la nube» como condición. La persistencia de la sesión del explorador se controla mediante el token de la sesión de autenticación. Todas las pestañas de una sesión del explorador comparten un único token de sesión y, por tanto, todas ellas deben compartir el estado de persistencia.

  6. Bajo Controles de acceso>Sesión.

    1. Seleccione Sesión del explorador persistente.

      Nota:

      La configuración de sesión del explorador persistente en el acceso condicional de Microsoft Entra invalida la opción "¿Mantener sesión iniciada?" en el panel de personalización de marca de la empresa para el mismo usuario si has configurado ambas directivas.

    2. Seleccione un valor en la lista desplegable.

  7. Guarde la directiva.

Directiva 3: Control de frecuencia de inicio de sesión siempre que hay un usuario de riesgo

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
  2. Vaya a Entra ID>Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o las cuentas de reserva de su organización.
    3. Seleccione Listo.
  6. En Recursos de> destinoIncluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube") .
  7. En Condiciones>Riesgo de usuario, establezca Configurar en .
    1. En Configurar los niveles de riesgo de usuario necesarios para que se aplique la directiva, seleccione Alto. Esta guía se basa en las recomendaciones de Microsoft y puede ser diferente para cada organización.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Conceder acceso.
    1. Seleccione Requerir seguridad de autenticación y, a continuación, seleccione la seguridad de autenticación multifactor integrada de la lista.
    2. Seleccione Requerir cambio de contraseña.
    3. Seleccione Seleccionar.
  9. Bajo Sesión.
    1. Seleccione Frecuencia de inicio de sesión.
    2. Asegúrese de que cada vez está seleccionado.
    3. Seleccione Seleccionar.
  10. Confirme su configuración y establezca Habilitar directiva en Solo informe.
  11. Seleccione Crear para habilitar su directiva.

Después de que los administradores confirmen la configuración mediante modo de informe único, pueden mover el interruptor de Habilitar directiva de Informe único a Activado.

Validación

Utiliza la herramienta What If para simular un inicio de sesión del usuario en la aplicación objetivo y otras condiciones en función de cómo configuraste la directiva. Los controles de administración de la sesión de autenticación se muestran en el resultado de la herramienta.

Tolerancia a avisos

Consideramos cinco minutos de desajuste del reloj cuando cada vez que se selecciona la política, de modo que no se les solicita a los usuarios más de una vez cada cinco minutos. Si el usuario ha completado la MFA en los últimos 5 minutos y se encuentra con otra directiva de acceso condicional que requiere la reautenticación, no hacemos ninguna solicitud al usuario. La solicitud excesiva de reautenticación a los usuarios puede afectar a su productividad y aumentar el riesgo de que los usuarios aprueben solicitudes de MFA que no hayan iniciado. Usa “Frecuencia de inicio de sesión: siempre” solo para necesidades comerciales específicas.

Problemas conocidos

  • Si configura la frecuencia de inicio de sesión para dispositivos móviles, la autenticación después de cada intervalo de frecuencia de inicio de sesión puede ser lenta (puede tardar 30 segundos de media). Además, podría ocurrir en varias aplicaciones al mismo tiempo.
  • En dispositivos iOS: si una aplicación configura certificados como el primer factor de autenticación y la aplicación tiene aplicadas directivas de administración de aplicaciones móviles de Intune y frecuencia de inicio de sesión, los usuarios finales no podrán iniciar sesión en la aplicación cuando se desencadene la directiva.
  • Microsoft Entra Private Access todavía no admite la configuración de la frecuencia de inicio de sesión en cada vez.

Pasos siguientes