Compartilhar via

Os usuários federados na ID do Microsoft Entra são forçados a entrar com frequência

Este artigo discute um problema no qual os usuários federados na ID do Microsoft Entra são forçados a entrar com frequência.

Versão original do produto: Microsoft Entra ID
Número original do KB: 4025960

Sintomas

Depois que os usuários federados entram na ID do Microsoft Entra, eles são forçados a entrar continuamente novamente em vez de serem mantidos conectados.

Motivo

Os usuários federados que não têm o atributo LastPasswordChangeTimestamp sincronizado, recebem cookies de sessão e tokens de atualização com um valor de Idade Máxima de 12 horas. Isso significa que o programa pode recuperar silenciosamente novos tokens para manter a sessão do usuário ativa apenas por até 12 horas. Após esse período, os usuários retornam ao IdP original para se autenticarem novamente.

Isso ocorre porque a ID do Microsoft Entra não pode determinar quando revogar tokens relacionados a uma credencial antiga (como uma senha que foi alterada). Portanto, a ID do Microsoft Entra deve verificar com mais frequência para garantir que o usuário e os tokens associados ainda estejam em situação regular. Para obter mais informações sobre tempos de vida de token e como eles são gerenciados, consulte o seguinte artigo do Microsoft Azure:

Tempos de vida de token configuráveis na ID do Microsoft Entra (versão prévia pública)

Resolução

Para resolver esse problema, os administradores de locatários devem sincronizar o atributo LastPasswordChangeTimestamp . A sincronização desse atributo melhora a experiência do usuário e o status de segurança.

Essa configuração pode ser feita no objeto de usuário usando o PowerShell ou por meio do Microsoft Entra Connect.

PowerShell

Você pode usar o módulo Azure AD PowerShell V1 (MSOnline) para definir o atributo StsRefreshTokensValidFrom para um usuário. Isso informará o fluxo de autenticação do Microsoft Entra para fornecer ao usuário um Token de Atualização mais duradouro ou baseado em suas políticas do Microsoft Entra. Para fazer isso, siga estas etapas:

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

  1. Baixe a versão mais recente do Azure AD PowerShell V1.

  2. Execute o comando Conectar para entrar em sua conta de administrador do Microsoft Entra sempre que iniciar uma nova sessão:

    Connect-msolservice

  3. Defina o atributo StsRefreshTokensValidFrom usando os seguintes comandos:

    $RefreshTokensValidFrom = Get-Date
Set-MsolUser -UserPrincipalName<UPN of user>-StsRefreshTokensValidFrom $RefreshTokensValidFrom

    Por exemplo:

    $RefreshTokensValidFrom = Get-Date
Set-MsolUser -UserPrincipalName john@contoso.com -StsRefreshTokensValidFrom $RefreshTokensValidFrom

    Observação

    StsRefreshTokenValidFromparecerá aceitar qualquer data, mas sempre será definido como a data e a hora atuais.

  4. Para obter mais ajuda, entre em contato com o Suporte do Azure.

Microsoft Entra Connect

O Microsoft Entra Connect sincroniza esse atributo por padrão. No entanto, o Microsoft Entra Connect pode ser configurado para sincronizar ou não esse atributo usando o recurso de filtragem de atributo ou desabilitando as regras de sincronização prontas para uso.

Usando o aplicativo Microsoft Entra e o recurso de filtragem de atributos

Se você tiver desabilitado anteriormente a sincronização do atributo PwdLastSet usando o aplicativo Microsoft Entra e o recurso de filtragem de atributo, siga estas etapas para reabilitar o processo:

Desativando as regras de sincronização prontas para uso

  1. Faça logon no servidor do Microsoft Entra Connect e inicie o assistente do Microsoft Entra Connect.

  2. Clique na tarefa Personalizar opções de sincronização.

  3. Navegue até a tela Recursos Opcionais e verifique se o aplicativo Microsoft Entra e o recurso de filtragem de atributos estão habilitados. Se não estiver, isso significa que o recurso não foi usado para desabilitar a sincronização do atributo PwdLastSet .

  4. Navegue até a tela Atributos do Microsoft Entra e habilite o atributo PwdLastSet . Se ele já estiver habilitado, isso significa que o recurso não foi usado para desabilitar a sincronização do atributo PwdLastSet .

  5. Conclua o assistente e salve a configuração.

  6. Execute um ciclo de Sincronização Completa executando o seguinte cmdlet no PowerShell:

    Start-ADSyncSyncCycle -policyType initial

    Observação

    Se o recurso de filtragem de aplicativo e atributo do Microsoft Entra estiver desabilitado (consulte a etapa 3) ou o atributo PwdLastSet já estiver habilitado (consulte a etapa 4), isso significa que o recurso não foi usado para desabilitar o atributo PwdLastSet . Nessa situação, você pode pular as etapas 5 e 6.

O Microsoft Entra Connect implementa a sincronização do atributo PwdLastSet usando as seguintes regras de sincronização prontas para uso.

Regra de sincronização pronta para uso Detalhes
Entrada do AD Usuário Comum Importa o atributo PwdLastSet do AD local para o atributo PwdLastSet do Metaverso.
Fora da ID do Microsoft Entra Exportações de ingresso de usuário Metaverso PwdLastSet
atributo ao atributo LastPasswordChangeTimestamp da ID do Microsoft Entra.

Na captura de tela a seguir, você pode ver como o fluxo de atributo é implementado em ambas as regras de sincronização usando o Editor de Regras de Sincronização do Microsoft Entra Connect.

Captura de tela do Editor de Regras de Sincronização do Microsoft Entra Connect.

Os clientes podem desabilitar a sincronização do atributo PwdLastSet desabilitando essas regras de sincronização prontas para uso e substituindo-as por regras de sincronização personalizadas. Para habilitar a sincronização do atributo PwdLastSet , considere reabilitar essas regras de sincronização prontas para uso ou implementar o mesmo fluxo de atributo em regras de sincronização personalizadas existentes.

Para obter mais informações sobre como implementar e verificar alterações de regra de sincronização, consulte o artigo Sincronização do Microsoft Entra Connect: como fazer uma alteração na configuração padrão.

Sincronização de hash de senha

Se o recurso Sincronização de Hash de Senha estiver habilitado no Microsoft Entra Connect, o Gerenciador de Sincronização de Senha sincronizará o atributo PwdLastSet do Active Directory local com o atributo LastPasswordChangeTimestamp da ID do Microsoft Entra. Isso é verdadeiro mesmo que o atributo PwdLastSet tenha sido filtrado usando os dois métodos nesta seção.

  • Last updated on