Otimize os prompts de reautenticação e entenda o tempo de vida da sessão para a autenticação multifator do Microsoft Entra

O Microsoft Entra ID tem várias configurações que determinam a frequência com que os usuários precisam se autenticar novamente. Essa reautenticação pode ser com um primeiro fator, como senha, FIDO ou Microsoft Authenticator sem senha, ou para executar a autenticação multifator. Você pode definir essas configurações de reautenticação conforme necessário para seu próprio ambiente e a experiência do usuário desejada.

A configuração padrão do Microsoft Entra ID para a frequência de entrada do usuário é uma janela contínua de 90 dias. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a fazer, mas o tiro pode sair pela culatra. Se os usuários forem treinados para inserir suas credenciais sem pensar, eles poderão fornecê-las involuntariamente a um prompt de credenciais mal-intencionado.

Pode soar alarmante não pedir para um usuário entrar novamente, embora qualquer violação das políticas de TI revogue a sessão. Alguns exemplos incluem uma alteração de senha, um dispositivo incompatível ou uma operação de desativação de conta. Você também pode revogar explicitamente as sessões dos usuários usando o Microsoft Graph PowerShell.

Este artigo detalha as configurações recomendadas e como diferentes configurações funcionam e interagem entre si.

Para oferecer aos seus usuários o equilíbrio certo entre segurança e facilidade de uso, solicitando que eles entrem na frequência certa, recomendamos as seguintes configurações:

  • Se você tiver o Microsoft Entra ID P1 ou P2:
    • Habilite o logon único (SSO) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
    • Se a reautenticação for necessária, use uma política de frequência de entrada de Acesso Condicional.
    • Para usuários que entram em dispositivos não gerenciados ou cenários de dispositivos móveis, as sessões persistentes do navegador podem não ser preferíveis ou você pode usar o Acesso Condicional para habilitar sessões persistentes do navegador com políticas de frequência de entrada. Limite a duração a um tempo apropriado com base no risco de início de sessão, em que um utilizador com menos risco tem uma duração de sessão mais longa.
  • Se você tiver licenças de aplicativos do Microsoft 365 ou a camada gratuita do Microsoft Entra:
    • Habilite o logon único (SSO) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
    • Mantenha a opção Permanecer conectado ativada e oriente seus usuários a aceitá-la .
  • Para cenários de dispositivos móveis, certifique-se de que os utilizadores utilizam a aplicação Microsoft Authenticator. Este aplicativo é usado como um agente para outros aplicativos federados do Microsoft Entra ID e reduz os prompts de autenticação no dispositivo.

Nossa pesquisa mostra que essas configurações são certas para a maioria dos inquilinos. Algumas combinações dessas configurações, como Lembrar MFA e Permanecer conectado, podem resultar em solicitações para que os usuários se autentiquem com muita frequência. Prompts de reautenticação regulares são ruins para a produtividade do usuário e podem torná-lo mais vulnerável a ataques.

Definições de configuração do tempo de vida da sessão do Microsoft Entra

Para otimizar a frequência dos prompts de autenticação para seus usuários, você pode configurar as opções de tempo de vida da sessão do Microsoft Entra. Compreenda as necessidades da sua empresa e dos seus utilizadores e defina definições que proporcionem o melhor equilíbrio para o seu ambiente.

Avaliar as políticas de tempo de vida da sessão

Sem qualquer configuração de tempo de vida da sessão, não há cookies persistentes na sessão do navegador. Toda vez que um usuário fecha e abre o navegador, ele recebe uma solicitação de reautenticação. Em clientes do Office, o período de tempo padrão é uma janela contínua de 90 dias. Com essa configuração padrão do Office, se o usuário tiver redefinido sua senha ou tiver havido inatividade de mais de 90 dias, o usuário deverá se autenticar novamente com todos os fatores necessários (primeiro e segundo fator).

Um usuário pode ver vários prompts MFA em um dispositivo que não tem uma identidade no Microsoft Entra ID. Vários prompts resultam quando cada aplicativo tem seu próprio token de atualização OAuth que não é compartilhado com outros aplicativos cliente. Nesse cenário, MFA solicita várias vezes como cada aplicativo solicita um token de atualização OAuth para ser validado com MFA.

No Microsoft Entra ID, a política mais restritiva para o tempo de vida da sessão determina quando o usuário precisa se autenticar novamente. Considere o seguinte cenário:

  • Você ativa Permanecer conectado, que usa um cookie persistente do navegador, e
  • Você também ativa Lembrar MFA por 14 dias

Neste cenário de exemplo, o usuário precisa se autenticar novamente a cada 14 dias. Esse comportamento segue a política mais restritiva, mesmo que o recurso Manter-me conectado por si só não exija que o usuário seja reautenticado no navegador.

Dispositivos geridos

Os dispositivos que ingressaram na ID do Microsoft Entra usando a associação do Microsoft Entra ou a associação híbrida do Microsoft Entra recebem um PRT (Primary Refresh Tokens) para usar o logon único (SSO) entre aplicativos. Esse PRT permite que um usuário entre uma vez no dispositivo e permite que a equipe de TI se certifique de que os padrões de segurança e conformidade sejam atendidos. Se um usuário precisar ser solicitado a entrar com mais frequência em um dispositivo associado para alguns aplicativos ou cenários, isso pode ser feito usando a Frequência de Entrada de Acesso Condicional.

Mostrar opção para permanecer conectado

Quando um usuário seleciona Simna opção Permanecer conectado? durante o login, um cookie persistente é definido no navegador. Este cookie persistente lembra o primeiro e o segundo fator, e aplica-se apenas a pedidos de autenticação no navegador.

Screenshot of example prompt to remain signed in

Se você tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos o uso da política de Acesso Condicional para sessão persistente do navegador. Esta política substitui a configuração Permanecer conectado? e fornece uma experiência de usuário aprimorada. Se você não tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos habilitar a configuração de permanência conectada para seus usuários.

Para obter mais informações sobre como configurar a opção para permitir que os usuários permaneçam conectados, consulte Como gerenciar o prompt 'Permanecer conectado?'.

Lembre-se da autenticação multifator

Esta definição permite-lhe configurar valores entre 1 e 365 dias e define um cookie persistente no navegador quando um utilizador seleciona a opção Não pedir novamente X dias no início de sessão.

Screenshot of example prompt to approve a sign-in request

Embora essa configuração reduza o número de autenticações em aplicativos Web, ela aumenta o número de autenticações para clientes de autenticação modernos, como clientes do Office. Esses clientes normalmente solicitam somente após a redefinição de senha ou inatividade de 90 dias. No entanto, definir esse valor para menos de 90 dias reduz os prompts MFA padrão para clientes do Office e aumenta a frequência de reautenticação. Quando usado em combinação com as políticas Permanecer conectado ou Acesso Condicional, ele pode aumentar o número de solicitações de autenticação.

Se você usa Lembrar MFA e tem licenças do Microsoft Entra ID P1 ou P2, considere migrar essas configurações para Frequência de entrada de acesso condicional. Caso contrário, considere usar o recurso Manter-me conectado?

Para obter mais informações, consulte Lembrar autenticação multifator.

Gerenciamento de sessão de autenticação com acesso condicional

A frequência de entrada permite que o administrador escolha a frequência de entrada que se aplica ao primeiro e ao segundo fator no cliente e no navegador. Recomendamos o uso dessas configurações, juntamente com o uso de dispositivos gerenciados, em cenários em que você precisa restringir a sessão de autenticação, como para aplicativos de negócios críticos.

A sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador. Semelhante à configuração Permanecer conectado , ele define um cookie persistente no navegador. No entanto, como ele é configurado pelo administrador, ele não exige que o usuário selecione Sim na opção Permanecer conectado? , portanto, fornece uma melhor experiência ao usuário. Se você usar a opção Permanecer conectado?, recomendamos que habilite a política de sessão persistente do navegador.

Para obter mais informações. consulte Configurar o gerenciamento de sessão de autenticação com acesso condicional.

Tempos de vida de token configuráveis

Essa configuração permite a configuração do tempo de vida do token emitido pelo Microsoft Entra ID. Esta política é substituída por Gerenciamento de sessão de autenticação com acesso condicional. Se você estiver usando tempos de vida de token configuráveis hoje, recomendamos iniciar a migração para as políticas de Acesso Condicional.

Rever a configuração do seu inquilino

Agora que você já entendeu como funcionam as diferentes configurações e a configuração recomendada, é hora de verificar seus locatários. Você pode começar examinando os logs de entrada para entender quais políticas de tempo de vida da sessão foram aplicadas durante o login.

Em cada registo de início de sessão, aceda ao separador Detalhes de Autenticação e explore Políticas de Tempo de Vida da Sessão Aplicadas. Para obter mais informações, consulte o artigo Saiba mais sobre os detalhes da atividade de log de entrada.

Screenshot of authentication details.

Para configurar ou revisar a opção Permanecer conectado , conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.
  2. Navegue até Identidade>da marca da empresa e, para cada localidade, escolha a opção Mostrar para permanecer conectado.
  3. Escolha Sim e, em seguida, selecione Salvar.

Para lembrar as configurações de autenticação multifator em dispositivos confiáveis, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Autenticação multifator de proteção>.
  3. Em Configurar, selecione Configurações adicionais de MFA baseadas em nuvem.
  4. Na página Configurações do serviço de autenticação multifator, role até lembrar as configurações de autenticação multifator. Desative a configuração desmarcando a caixa de seleção.

Para configurar políticas de Acesso Condicional para frequência de entrada e sessão persistente do navegador, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Configure uma política usando as opções recomendadas de gerenciamento de sessão detalhadas neste artigo.

Para revisar os tempos de vida do token, use o Azure AD PowerShell para consultar quaisquer políticas do Microsoft Entra. Desative todas as políticas que você tem em vigor.

Se mais de uma configuração estiver habilitada em seu locatário, recomendamos atualizar suas configurações com base no licenciamento disponível para você. Por exemplo, se você tiver licenças do Microsoft Entra ID P1 ou P2, você só deve usar a política de Acesso Condicional de Frequência de Entrada e Sessão Persistente do navegador. Se você tiver aplicativos do Microsoft 365 ou licenças do Microsoft Entra ID Free, deverá usar a configuração Permanecer conectado?

Se você tiver ativado tempos de vida de token configuráveis, esse recurso será removido em breve. Planeje uma migração para uma política de Acesso Condicional.

A tabela a seguir resume as recomendações com base nas licenças:

Aplicativos Microsoft Entra ID Free e Microsoft 365 Microsoft Entra ID P1 ou P2
SSO Microsoft Entra join ou Microsoft Entra hybrid join, ou Seamless SSO para dispositivos não gerenciados. Associação ao Microsoft Entra
Ingresso híbrido do Microsoft Entra
Configurações de reautenticação Permanecer conectado Usar políticas de Acesso Condicional para frequência de entrada e sessão persistente do navegador

Próximos passos

Para começar, conclua o tutorial para Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra ou Usar deteções de risco para entradas de usuário para disparar a autenticação multifator do Microsoft Entra.