Otimizar as solicitações de nova autenticação e entender o tempo de vida da sessão da autenticação multifator do Microsoft Entra

  • Artigo

O Microsoft Entra ID traz várias configurações que determinam a frequência com a qual os usuários precisam se autenticar novamente. Essa reautenticação pode ser com um primeiro fator, como senha, FIDO ou Microsoft Authenticator sem senha, ou para executar a autenticação multifator. Você pode definir essas configurações de reautenticação conforme necessário para seu próprio ambiente e a experiência do usuário que desejar.

A configuração padrão do Microsoft Entra ID para a frequência de entrada do usuário é uma janela contínua de 90 dias. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a se fazer, mas pode ser um tiro que sai pela culatra. Se os usuários são treinados para inserir suas credenciais sem pensar, eles podem inadvertidamente fornecê-las a um prompt de credenciais mal-intencionado.

Pode parecer alarmante não solicitar que um usuário entre novamente; no entanto, qualquer violação das políticas de TI revoga a sessão. Entre alguns exemplos, temos: uma alteração de senha, um dispositivo incompatível ou uma operação de desativamento de conta. Você também pode revogar explicitamente as sessões dos usuários usando o PowerShell do Microsoft Graph.

Este artigo detalha as configurações recomendadas e como as configurações diferentes funcionam e interagem entre si.

Para dar aos usuários o equilíbrio certo de segurança e facilidade de uso solicitando que eles entrem na frequência certa, recomendamos as seguintes configurações:

  • Se você tiver o Microsoft Entra ID P1 ou P2:
    • Habilite o SSO (logon único) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
    • Se a reautenticação for necessária, use uma política de frequência de entradade acesso condicional.
    • Para usuários que entram a partir de dispositivos não gerenciados ou de cenários de dispositivo móvel, as sessões de navegador persistentes podem não ser preferíveis, ou você pode usar o acesso condicional para habilitar as sessões de navegador persistentes as com políticas de frequência de entrada. Limite a duração a um tempo apropriado com base no risco de entrada, em que um usuário com menos risco tem uma duração de sessão maior.
  • Se você tiver licenças de aplicativos Microsoft 365 ou a camada gratuita do Microsoft Entra:
    • Habilite o SSO (logon único) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
    • Mantenha a opção Permanecer conectado habilitada e peça para que seus usuários a aceite.
  • Para dispositivos móveis, verifique se os usuários usam o aplicativo Microsoft Authenticator. Esse aplicativo é usado como um agente para outros aplicativos federados do Microsoft Entra ID e reduz os prompts de autenticação no dispositivo.

Nossa pesquisa mostra que essas configurações são corretas para a maioria dos locatários. Algumas combinações dessas configurações, como Lembrar a MFA e Permanecer conectado, podem resultar em solicitações para que os usuários se autentiquem com muita frequência. Os prompts de reautenticação regulares são inválidos para a produtividade do usuário e podem torná-los mais vulneráveis a ataques.

Definições de configuração de tempo de vida da sessão do Microsoft Entra

Para otimizar a frequência de prompts de autenticação para seus usuários, você pode configurar opções de tempo de vida de sessão do Microsoft Entra. Entenda as necessidades de seus negócios e usuários e defina as configurações que fornecem o melhor equilíbrio para o seu ambiente.

Avalie as políticas de tempo de vida da seção

Sem nenhuma configuração de tempo de vida da sessão, não há cookies persistentes na sessão do navegador. Toda vez que um usuário fecha e abre o navegador, ele recebe um prompt solicitando a reautenticação. Em clientes do Office, o período padrão é uma janela sem interrupção de 90 dias. Com essa configuração padrão do Office, se o usuário redefinir a senha ou se houver inatividade de mais de 90 dias, o usuário precisará autenticar novamente com todos os fatores necessários (primeiro e segundo fator).

Um usuário pode ver vários prompts de MFA em um dispositivo que não tem uma identidade no Microsoft Entra ID. Vários prompts resultam quando cada aplicativo tem seu próprio token de atualização OAuth que não é compartilhado com outros aplicativos cliente. Nesse cenário, a MFA solicita várias vezes, uma vez que cada aplicativo solicita que um token de atualização OAuth seja validado com MFA.

No Microsoft Entra ID, a política mais restritiva para o tempo de vida da sessão determina quando o usuário precisa autenticar novamente. Considere o cenário a seguir.

  • Você habilita a opção Permanecer conectado, que usa um cookie de navegador persistente e
  • Você também habilita a opção Lembrar a MFA por 14 dias

Neste cenário de exemplo, o usuário precisa se autenticar a cada 14 dias. Esse comportamento segue a política mais restritiva, mesmo que a opção Mantenha-me conectado por si só não exija que o usuário refaça a autenticação no navegador.

Dispositivos gerenciados

Dispositivos que ingressam no Microsoft Entra ID usando o ingresso no Microsoft Entra ou ingresso no Microsoft Entra Híbrido recebem um PRT (Token de atualização principal) para usar o SSO (logon único) entre aplicativos. Esse PRT permite que um usuário entre uma vez no dispositivo e permita que a equipe de TI garanta que os padrões de segurança e conformidade sejam atendidos. Se for necessário que um usuário se conecte com mais frequência em um dispositivo associado para alguns aplicativos ou cenários, isso pode ser feito usando a frequência de entrada de acesso condicional.

Mostrar opção para permanecer conectado

Quando um usuário seleciona Sim na opção de prompt Permanecer conectado? durante a entrada, um cookie persistente é definido no navegador. Esse cookie persistente lembra o primeiro e o segundo fator e aplica-se apenas às solicitações de autenticação no navegador.

Captura de tela do prompt de exemplo para permanecer conectado

Se você tiver uma licença do Microsoft Entra ID P1 ou P2, é recomendável usar a política de acesso condicional para sessão persistente do navegador. Essa política substitui a configuração Permanecer conectado? e fornece uma experiência de usuário aprimorada. Se você não tiver uma licença do Microsoft Entra ID P1 ou P2, é recomendável habilitar a configuração permanecer conectado para seus usuários.

Para obter mais informações sobre como configurar a opção para permitir que os usuários permaneçam conectados, consulte Como gerenciar o prompt 'Permanecer conectado?'.

Lembrar a autenticação multifator

Essa configuração permite configurar valores entre 1-365 dias e define um cookie persistente no navegador quando um usuário seleciona a opção Não perguntar novamente por X dias ao entrar.

Captura de tela do prompt de exemplo para aprovar uma solicitação de entrada

Embora essa configuração reduza o número de autenticações em aplicativos Web, ela aumenta o número de autenticações para clientes de autenticação modernos, como clientes do Office. Esses clientes normalmente solicitam somente após a redefinição de senha ou inatividade de 90 dias. No entanto, definir esse valor como menos de 90 dias reduz os prompts de MFA padrão para clientes do Office e aumenta a frequência de reautenticação. Quando usado combinado com a opção Permanecer conectado ou políticas de acesso condicional, ele pode aumentar o número de solicitações de autenticação.

Se você usar a opção Lembrar MFA e tiver licenças do Microsoft Entra ID P1 ou P2, considere migrar essas configurações para a frequência de entrada de acesso condicional. Caso contrário, considere usar a opção Manter-me conectado? .

Para obter mais informações, consulte Lembrar a autenticação multifator.

Gerenciamento da sessão de autenticação com Acesso Condicional

A frequência de entrada permite que o administrador escolha a frequência de entrada que se aplica para o primeiro e o segundo fator no cliente e no navegador. É recomendável usar essas configurações, juntamente com dispositivos gerenciados, em cenários quando você tem a necessidade de restringir a sessão de autenticação, como para aplicativos de negócios críticos.

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador. Semelhante à configuração Permanecer conectado, ele define um cookie persistente no navegador. No entanto, como ele é configurado pelo administrador, ele não exige que o usuário selecione Sim na opção Permanecer conectado? portanto, fornece uma melhor experiência do usuário. Se você usar a opção permanecer conectado? , recomendamos que você habilite a política de sessão de navegador persistente em vez disso.

Para obter mais informações. consulte Configurar o gerenciamento da sessão de autenticação com Acesso Condicional.

Tempos de vida de tokens configuráveis

Essa configuração permite a configuração do tempo de vida para o token emitido por Microsoft Entra ID. Essa política é substituída pelo Gerenciamento de sessão de autenticação com acesso condicional. Se você estiver usando tempos de vida de token configuráveis hoje, é recomendável iniciar a migração para as políticas de acesso condicional.

Revise suas configuração de locatários

Agora que você entende como as diferentes configurações funcionam e a configuração recomendada, é hora de verificar seus locatários. Você pode começar examinando os logs de entrada para entender quais políticas de tempo de vida da sessão foram aplicadas durante a entrada.

Em cada log de entrada, vá para a guia detalhes de autenticação e explore as políticas de tempo de vida da sessão aplicadas. Para obter mais informações, consulte o artigo Saiba mais sobre os detalhes da atividade de log de entrada.

Captura de tela dos detalhes de autenticação.

Para configurar ou examinar a opção permanecer conectado, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como Administrador global.
  2. Selecione Identidade>Identidade visual da empresa, em seguida, para cada localidade, escolha Mostrar opção para permanecer conectado.
  3. Escolha Sime, em seguida, selecione salvar.

Para lembrar as configurações de autenticação multifator em dispositivos confiáveis, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
  2. Navegue até Proteção>autenticação multifator.
  3. Em Configurar, selecione configurações adicionais de MFA baseadas em nuvem.
  4. Na página configurações do serviço de autenticação multifator, role para lembrar configurações de autenticação multifator. Desabilite a configuração desmarcando a caixa de seleção.

Para configurar políticas de acesso condicional para a frequência de entrada e a sessão persistente do navegador, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Configure uma política usando as opções de gerenciamento de sessão recomendadas detalhadas neste artigo.

Para examinar os tempos de vida do token, use o PowerShell do Azure AD para consultar as políticas do Microsoft Entra. Desabilite as políticas que você tiver em vigor.

Se mais de uma configuração estiver habilitada em seu locatário, é recomendável atualizar suas configurações com base no licenciamento disponível para você. Por exemplo, se você tiver licenças do Microsoft Entra ID P1 ou P2, você deve usar apenas a política de acesso condicional de frequência de entrada e sessão de navegador persistente. Se você tiver aplicativos Microsoft 365 ou licenças gratuitas do Microsoft Entra ID, deverá usar a configuração permanecer conectado?.

Se você tiver habilitado tempos de vida de token configuráveis, esse recurso será removido em breve. Planejar uma migração para uma política de acesso condicional.

A tabela a seguir resume as recomendações com base em licenças:

Aplicativos do Microsoft Entra ID Gratuito e do Microsoft 365 Microsoft Entra ID P1 ou P2
SSO Ingresso no Microsoft Entra ou Ingresso no Microsoft Entra Híbrido ou SSO contínuo para dispositivos não gerenciados. Ingresso do Microsoft Entra
Ingresso no Microsoft Entra híbrido
Configurações de reautenticação Permanecer conectado Usar políticas de acesso condicional para frequência de entrada e sessão de navegador persistente

Próximas etapas

Para começar, conclua o tutorial para proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra ou use as detecções de risco para entradas de usuário para disparar a autenticação multifator do Microsoft Entra.