Partilhar via

Prompts de reautenticação e tempo de vida da sessão para autenticação multifator do Microsoft Entra

  • Artigo

O Microsoft Entra ID tem várias configurações que determinam a frequência com que os usuários precisam se autenticar novamente. Essa reautenticação pode envolver apenas um primeiro fator, como senha, Fast IDentity Online (FIDO) ou Microsoft Authenticator sem senha. Ou pode exigir autenticação multifator (MFA). Você pode definir essas configurações de reautenticação conforme necessário para seu próprio ambiente e a experiência do usuário desejada.

A configuração predefinida do Microsoft Entra ID para a frequência de início de sessão do utilizador é um período variável de 90 dias. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a fazer, mas o tiro pode sair pela culatra. Se os usuários forem treinados para inserir suas credenciais sem pensar, eles poderão fornecê-las involuntariamente a um prompt de credenciais mal-intencionado.

Pode soar alarmante não pedir para um usuário entrar novamente. No entanto, qualquer violação das políticas de TI revoga a sessão. Alguns exemplos incluem uma alteração de senha, um dispositivo incompatível ou uma operação para desativar uma conta. Você também pode revogar explicitamente as sessões dos usuários usando o Microsoft Graph PowerShell.

Este artigo detalha as configurações recomendadas e como várias configurações funcionam e interagem entre si.

Para oferecer aos seus usuários o equilíbrio certo entre segurança e facilidade de uso, solicitando que eles entrem na frequência certa, recomendamos as seguintes configurações:

  • Se você tiver o Microsoft Entra ID P1 ou P2:
    • Habilite o logon único (SSO) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
    • Se a reautenticação for necessária, use uma política de frequência de entrada de acesso condicional do Microsoft Entra.
    • Para utilizadores que iniciam sessão a partir de dispositivos não geridos ou para cenários de dispositivos móveis, as sessões persistentes do browser podem não ser preferíveis. Ou você pode usar o Acesso Condicional para habilitar sessões persistentes do navegador com a política de frequência de entrada. Limite a duração a um tempo apropriado com base no risco de início de sessão, em que um utilizador com menos risco tem uma duração de sessão mais longa.
  • Se você tiver uma licença do Microsoft 365 Apps ou uma licença do Microsoft Entra ID Free:
    • Habilite o SSO entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
    • Mantenha a opção Mostrar opção para permanecer conectado ativada e oriente seus usuários a aceitarem Permanecer conectado? no login.
  • Para cenários de dispositivos móveis, certifique-se de que os utilizadores utilizam a aplicação Microsoft Authenticator. Este aplicativo é um broker para outros aplicativos federados do Microsoft Entra ID e reduz os prompts de autenticação no dispositivo.

Nossa pesquisa mostra que essas configurações são certas para a maioria dos inquilinos. Algumas combinações dessas configurações, como Lembrar autenticação multifator e Mostrar opção para permanecer conectado, podem resultar em solicitações para que os usuários se autentiquem com muita frequência. Prompts de reautenticação regulares são ruins para a produtividade do usuário e podem torná-los mais vulneráveis a ataques.

Definir configurações para o tempo de vida da sessão do Microsoft Entra

Para otimizar a frequência dos prompts de autenticação para seus usuários, você pode definir configurações para o tempo de vida da sessão do Microsoft Entra. Compreenda as necessidades da sua empresa e dos seus utilizadores e defina definições que proporcionem o melhor equilíbrio para o seu ambiente.

Políticas de tempo de vida da sessão

Sem qualquer configuração de tempo de vida da sessão, a sessão do navegador não tem cookies persistentes. Sempre que os utilizadores fecham e abrem o navegador, recebem um pedido de reautenticação. Em clientes do Office, o período de tempo padrão é uma janela contínua de 90 dias. Com essa configuração padrão do Office, se o usuário redefinir a senha ou a sessão ficar inativa por mais de 90 dias, o usuário deverá se autenticar novamente com os primeiros e segundos fatores necessários.

Um usuário pode ver vários prompts MFA em um dispositivo que não tem uma identidade no Microsoft Entra ID. Vários prompts resultam quando cada aplicativo tem seu próprio token de atualização OAuth que não é compartilhado com outros aplicativos cliente. Nesse cenário, MFA solicita várias vezes como cada aplicativo solicita um token de atualização OAuth para ser validado com MFA.

No Microsoft Entra ID, a política mais restritiva para o tempo de vida da sessão determina quando o usuário precisa se autenticar novamente. Considere um cenário no qual você habilite ambas as configurações:

  • Mostrar opção para permanecer conectado, que usa um cookie persistente do navegador
  • Lembre-se da autenticação multifator com um valor de 14 dias

Neste exemplo, o usuário precisa se autenticar novamente a cada 14 dias. Esse comportamento segue a política mais restritiva, mesmo que Mostrar opção para permanecer conectado por si só não exigiria que o usuário se autenticasse novamente no navegador.

Dispositivos geridos

Os dispositivos associados ao ID do Microsoft Entra por meio do Microsoft Entra ou do Microsoft Entra híbrido recebem um PRT (Primary Refresh Token) para usar o SSO entre aplicativos.

Esse PRT permite que um usuário entre uma vez no dispositivo e permite que a equipe de TI se certifique de que o dispositivo atenda aos padrões de segurança e conformidade. Se precisar de pedir a um utilizador para iniciar sessão com mais frequência num dispositivo associado para algumas aplicações ou cenários, pode utilizar a política de frequência de início de sessão de Acesso Condicional.

Opção de permanecer conectado

Quando um usuário seleciona Sim na opção Permanecer conectado? durante o login, a seleção define um cookie persistente no navegador. Este cookie persistente lembra o primeiro e o segundo fatores e aplica-se apenas a pedidos de autenticação no navegador.

Captura de ecrã de um exemplo de pedido para permanecer com sessão iniciada

Se você tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos o uso de uma política de Acesso Condicional para sessão persistente do navegador. Esta política substitui a configuração Mostrar opção para permanecer conectado e fornece uma experiência de usuário aprimorada. Se você não tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos habilitar a opção Mostrar para permanecer conectado para seus usuários.

Para obter mais informações sobre como configurar a opção para permitir que os usuários permaneçam conectados, consulte Gerenciar o prompt "Permanecer conectado?".

Opção para lembrar a autenticação multifator

A configuração Lembrar autenticação multifator permite configurar um valor de 1 a 365 dias. Ele define um cookie persistente no navegador quando um usuário seleciona a opção Não pedir novamente X dias no login.

Captura de ecrã de um pedido de exemplo para aprovar um pedido de início de sessão

Embora essa configuração reduza o número de autenticações em aplicativos Web, ela aumenta o número de autenticações para clientes de autenticação modernos, como clientes do Office. Esses clientes normalmente solicitam somente após a redefinição de senha ou inatividade de 90 dias. No entanto, definir esse valor para menos de 90 dias reduz os prompts de MFA padrão para clientes do Office e aumenta a frequência de reautenticação. Quando você usa essa configuração em combinação com a opção Mostrar para permanecer conectado ou políticas de Acesso Condicional, isso pode aumentar o número de solicitações de autenticação.

Se você usa a autenticação multifator Lembrar e tem uma licença do Microsoft Entra ID P1 ou P2, considere migrar essas configurações para a frequência de entrada de acesso condicional. Caso contrário, considere usar a opção Mostrar para permanecer conectado .

Para obter mais informações, consulte Lembrar autenticação multifator.

Gerenciamento de sessão de autenticação com acesso condicional

O administrador pode usar a política de frequência de entrada para escolher uma frequência de entrada que se aplique ao primeiro e ao segundo fator no cliente e no navegador. Recomendamos o uso dessas configurações, juntamente com o uso de dispositivos gerenciados, em cenários em que você precisa restringir as sessões de autenticação. Por exemplo, talvez seja necessário restringir uma sessão de autenticação para aplicativos de negócios críticos.

A sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador. Como a configuração Mostrar opção para permanecer conectado , ela define um cookie persistente no navegador. Mas como o administrador o configura, ele não exige que o usuário selecione Sim na opção Permanecer conectado? Dessa forma, proporciona uma melhor experiência ao usuário. Se você usar a opção Mostrar para permanecer conectado, recomendamos que habilite a política de sessão persistente do navegador.

Para obter mais informações, consulte Configurar políticas de tempo de vida de sessão adaptável.

Tempos de vida de token configuráveis

A configuração Tempos de vida do token configurável permite a configuração de um tempo de vida para um token que o Microsoft Entra ID emite. O gerenciamento de sessão de autenticação com Acesso Condicional substitui essa política. Se você estiver usando tempos de vida de token configuráveis agora, recomendamos iniciar a migração para as políticas de Acesso Condicional.

Rever a configuração do seu inquilino

Agora que você entende como funcionam várias configurações e a configuração recomendada, é hora de verificar seus locatários. Você pode começar examinando os logs de entrada para entender quais políticas de tempo de vida da sessão foram aplicadas durante o login.

Em cada registo de início de sessão, aceda ao separador Detalhes de Autenticação e explore Políticas de Tempo de Vida da Sessão Aplicadas. Para obter mais informações, consulte Saiba mais sobre os detalhes da atividade de log de entrada.

Captura de ecrã dos detalhes de autenticação.

Para configurar ou rever a opção Mostrar para permanecer com sessão iniciada :

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.
  2. Navegue até Identidade>de marca da empresa. Em seguida, para cada localidade, selecione Mostrar opção para permanecer conectado.
  3. Selecione Sim e, em seguida, selecione Guardar.

Para lembrar as configurações de autenticação multifator em dispositivos confiáveis:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Autenticação multifator de proteção>.
  3. Em Configurar, selecione Configurações adicionais de MFA baseadas em nuvem.
  4. No painel Configurações do serviço de autenticação multifator, role até Lembrar configurações de autenticação multifator e marque a caixa de seleção.

Para configurar políticas de Acesso Condicional para frequência de início de sessão e sessões persistentes do browser:

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Configure uma política usando as opções de gerenciamento de sessão recomendadas neste artigo.

Para revisar os tempos de vida do token, use o Microsoft Graph PowerShell para consultar quaisquer políticas do Microsoft Entra. Desative todas as políticas que você tem em vigor.

Se mais de uma configuração estiver habilitada em seu locatário, recomendamos que você atualize suas configurações com base no licenciamento disponível para você. Por exemplo, se você tiver uma licença do Microsoft Entra ID P1 ou P2, deverá usar apenas as políticas de Acesso Condicional de Frequência de entrada e Sessão persistente do navegador. Se você tiver uma licença do Microsoft 365 Apps ou uma licença do Microsoft Entra ID Free, deverá usar a opção Mostrar para permanecer conectado na configuração.

Se você ativou os tempos de vida do token configurável, lembre-se de que esse recurso será removido em breve. Planeje uma migração para uma política de Acesso Condicional.

A tabela a seguir resume as recomendações com base nas licenças:

Categoria Aplicativos Microsoft 365 ou Microsoft Entra ID Grátis Microsoft Entra ID P1 ou P2
SSO Ingresso do Microsoft Entra ou ingresso híbrido do Microsoft Entra, ou SSO contínuo para dispositivos não gerenciados Microsoft Entra join ou Microsoft Entra hybrid join
Configurações de reautenticação Mostrar opção para permanecer conectado Políticas de Acesso Condicional para frequência de início de sessão e sessões persistentes do browser

Conteúdos relacionados