Configurar políticas de tempo de vida de sessão adaptável

  • Artigo

Aviso

Se você estiver usando o recurso de tempo de vida do token configurável atualmente em visualização pública, observe que não suportamos a criação de duas políticas diferentes para o mesmo usuário ou combinação de aplicativo: uma com esse recurso e outra com o recurso de tempo de vida do token configurável. A Microsoft descontinuou a funcionalidade de duração de tokens configurável para atualização e durações de token de sessão a 30 de janeiro de 2021 e substituiu-a pela funcionalidade de gestão de sessões de autenticação de Acesso Condicional.

Antes de ativar a Frequência de início de sessão, certifique-se de que outras definições de reautenticação estão desativadas no seu inquilino. Se a opção "Lembrar MFA em dispositivos confiáveis" estiver ativada, certifique-se de desativá-la antes de usar a frequência de entrada, pois usar essas duas configurações juntas pode levar a avisar os usuários inesperadamente. Para saber mais sobre prompts de reautenticação e tempo de vida da sessão, consulte o artigo Otimizar prompts de reautenticação e entender o tempo de vida da sessão para autenticação multifator do Microsoft Entra.

Implementação de políticas

Para garantir que sua política funcione conforme o esperado, a prática recomendada é testá-la antes de implementá-la em produção. Idealmente, use um locatário de teste para verificar se sua nova política funciona como pretendido. Para obter mais informações, consulte o artigo Planejar uma implantação de acesso condicional.

Política 1: Controlo da frequência de início de sessão

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

  2. Navegue até Acesso condicional de proteção>.

  3. Selecione Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

    Nota

    É recomendável definir a mesma frequência de prompt de autenticação para os principais aplicativos do Microsoft Office, como o Exchange Online e o SharePoint Online, para melhor experiência do usuário.

  6. Em Sessão de controles>de acesso.

    1. Selecione Frequência de início de sessão.
      1. Escolha Reautenticação periódica e insira um valor de horas ou dias ou selecione Todas as vezes.

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. Salve sua política.

Política 2: Sessão persistente do navegador

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

  2. Navegue até Acesso condicional de proteção>.

  3. Selecione Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias.

    Nota

    Este controlo requer a escolha de "All Cloud Apps" como condição. A persistência da sessão do navegador é controlada pelo token de sessão de autenticação. Todas as guias em uma sessão do navegador compartilham um único token de sessão e, portanto, todas elas devem compartilhar o estado de persistência.

  6. Em Sessão de controles>de acesso.

    1. Selecione Sessão persistente do navegador.

      Nota

      A configuração da Sessão Persistente do Navegador no Acesso Condicional do Microsoft Entra substitui a opção "Permanecer conectado?" no painel Identidade visual da empresa para o mesmo usuário, se você tiver configurado ambas as políticas.

    2. Selecione um valor na lista suspensa.

  7. Salve sua política.

Política 3: Controle de frequência de entrada sempre que um usuário arriscado

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecione Concluído.
  6. Em Recursos de destino>Incluir aplicações na nuvem, selecione Todas as aplicações> na nuvem.
  7. Em Condições>Risco do usuário, defina Configurar como Sim. Em Configurar os níveis de risco do usuário necessários para que a política seja imposta, selecione Alto e, em seguida, selecione Concluído.
  8. Em Conceder controles>de acesso, selecione Conceder acesso, Exigir alteração de senha e selecione Selecionar.
  9. Em Controles de>sessão Frequência de entrada, selecione Todas as vezes.
  10. Confirme suas configurações e defina Habilitar política como Somente relatório.
  11. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem suas configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Validação

Use a ferramenta E se para simular uma entrada do usuário no aplicativo de destino e outras condições com base em como você configurou sua política. Os controles de gerenciamento de sessão de autenticação aparecem no resultado da ferramenta.

Tolerância imediata

Consideramos cinco minutos de distorção do relógio quando cada vez é selecionado na política, para que não avisemos os usuários com mais frequência do que uma vez a cada cinco minutos. Se o usuário concluiu a MFA nos últimos 5 minutos e atingiu outra política de Acesso Condicional que requer reautenticação, não avisaremos o usuário. Solicitar a reautenticação excessiva dos usuários pode afetar sua produtividade e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. Utilize a opção "Frequência de início de sessão – sempre" apenas para necessidades empresariais específicas.

Problemas conhecidos

  • Se configurar a frequência de início de sessão para dispositivos móveis: a autenticação após cada intervalo de frequência de início de sessão pode ser lenta, podendo demorar em média 30 segundos. Além disso, isso pode acontecer em vários aplicativos ao mesmo tempo.
  • Em dispositivos iOS: se um aplicativo configurar certificados como o primeiro fator de autenticação e o aplicativo tiver a frequência de entrada e as políticas de gerenciamento de aplicativos móveis do Intune aplicadas, os usuários finais serão impedidos de entrar no aplicativo quando a política for acionada.

Próximos passos

  • Se você estiver pronto para configurar políticas de Acesso Condicional para seu ambiente, consulte o artigo Planejar uma implantação de Acesso Condicional.