Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Entra ID tem várias configurações que determinam a frequência com que os usuários precisam se autenticar novamente. Essa reautenticação pode envolver apenas um primeiro fator, como senha, Fast IDentity Online (FIDO) ou Microsoft Authenticator sem senha. Ou pode exigir autenticação multifator (MFA). Você pode definir essas configurações de reautenticação conforme necessário para seu próprio ambiente e a experiência do usuário desejada.
A configuração predefinida do Microsoft Entra ID para a frequência de início de sessão do utilizador é um período variável de 90 dias. Pedir credenciais aos utilizadores muitas vezes parece uma coisa sensata a fazer, mas pode ter consequências inesperadas. Se os usuários forem treinados para inserir suas credenciais sem pensar, eles poderão fornecê-las involuntariamente a um prompt de credenciais mal-intencionado.
Pode soar alarmante não pedir para um usuário entrar novamente. No entanto, qualquer violação das políticas de TI revoga a sessão. Alguns exemplos incluem uma alteração de senha, um dispositivo incompatível ou uma operação para desativar uma conta. Você também pode revogar explicitamente as sessões dos usuários usando o Microsoft Graph PowerShell.
Este artigo detalha as configurações recomendadas e como várias configurações funcionam e interagem entre si.
Definições recomendadas
Para oferecer aos seus usuários o equilíbrio certo entre segurança e facilidade de uso, solicitando que eles entrem na frequência certa, recomendamos as seguintes configurações:
- Se você tiver o Microsoft Entra ID P1 ou P2:
- Habilite o logon único (SSO) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
- Se a reautenticação for necessária, utilize uma política de frequência de início de sessão da política de Acesso Condicional do Microsoft Entra.
- Para utilizadores que iniciam sessão a partir de dispositivos não geridos ou para cenários de dispositivos móveis, as sessões persistentes do browser podem não ser preferíveis. Ou pode usar o Acesso Condicional para habilitar sessões persistentes do navegador com a política de frequência de início de sessão. Limite a duração a um tempo apropriado com base no risco associado ao início de sessão, em que um utilizador com menos risco tem uma duração de sessão mais longa.
- Se você tiver uma licença do Microsoft 365 Apps ou uma licença do Microsoft Entra ID Free:
- Habilite o SSO entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
- Mantenha a opção Mostrar opção para permanecer conectado ativada e oriente seus usuários a aceitarem Permanecer conectado? no login.
- Para cenários de dispositivos móveis, certifique-se de que os utilizadores utilizam a aplicação Microsoft Authenticator. Esta aplicação é um intermediário para outras aplicações federadas do Microsoft Entra ID e reduz as mensagens de autenticação no dispositivo.
Nossa pesquisa mostra que essas configurações são certas para a maioria dos inquilinos. Algumas combinações dessas configurações, como Lembrar autenticação multifator e Mostrar opção para permanecer conectado, podem resultar em solicitações para que os usuários se autentiquem com muita frequência. Prompts de reautenticação regulares são ruins para a produtividade do usuário e podem torná-los mais vulneráveis a ataques.
Definir configurações para o tempo de vida da sessão do Microsoft Entra
Para otimizar a frequência dos prompts de autenticação para seus usuários, você pode definir configurações para o tempo de vida da sessão do Microsoft Entra. Compreenda as necessidades da sua empresa e dos seus utilizadores e defina definições que proporcionem o melhor equilíbrio para o seu ambiente.
Políticas de duração da sessão
Sem qualquer configuração de tempo de vida da sessão, a sessão do navegador não tem cookies persistentes. Sempre que os utilizadores fecham e abrem o navegador, recebem um pedido de reautenticação. Em clientes do Office, o período de tempo padrão é uma janela contínua de 90 dias. Com essa configuração padrão do Office, se o usuário redefinir a senha ou a sessão ficar inativa por mais de 90 dias, o usuário deverá se autenticar novamente com os primeiros e segundos fatores necessários.
Um usuário pode ver vários prompts MFA em um dispositivo que não tem uma identidade no Microsoft Entra ID. Vários prompts resultam de quando cada aplicação tem o seu próprio token de renovação OAuth que não é partilhado com outras aplicações cliente. Nesse cenário, a MFA solicita autenticação múltiplas vezes à medida que cada aplicação solicita um token de atualização de OAuth para ser validado com MFA.
No Microsoft Entra ID, a política mais restritiva para o tempo de vida da sessão determina quando o usuário precisa se autenticar novamente. Considere um cenário no qual você habilite ambas as configurações:
- Mostrar opção para permanecer conectado, que usa um cookie persistente do navegador
- Lembre-se da autenticação multifator com um valor de 14 dias
Neste exemplo, o usuário precisa se autenticar novamente a cada 14 dias. Esse comportamento segue a política mais restritiva, mesmo que Mostrar opção para permanecer conectado por si só não exigiria que o usuário se autenticasse novamente no navegador.
Dispositivos geridos
Os dispositivos associados ao ID do Microsoft Entra por meio do Microsoft Entra ou do Microsoft Entra híbrido recebem um PRT (Primary Refresh Token) para usar o SSO entre aplicativos.
Esse PRT permite que um usuário entre uma vez no dispositivo e permite que a equipe de TI se certifique de que o dispositivo atenda aos padrões de segurança e conformidade. Se precisar que um utilizador inicie sessão com mais frequência num dispositivo associado para algumas aplicações ou cenários, pode utilizar a política de Acesso Condicional de frequência de início de sessão.
Opção de permanecer conectado
Quando um usuário seleciona Sim na opção Permanecer conectado? durante o login, a seleção define um cookie persistente no navegador. Este cookie persistente lembra o primeiro e o segundo fatores e aplica-se apenas a pedidos de autenticação no navegador.
Se você tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos o uso de uma política de Acesso Condicional para sessão persistente do navegador. Esta política substitui a configuração Mostrar opção para permanecer conectado e fornece uma experiência de usuário aprimorada. Se não tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos ativar a definição Mostrar opção para permanecer ligado para os seus utilizadores.
Para obter mais informações sobre como configurar a opção para permitir que os usuários permaneçam conectados, consulte Gerenciar o prompt "Permanecer conectado?".
Opção para lembrar a autenticação multifator
A configuração Lembrar autenticação multifator permite configurar um valor de 1 a 365 dias. Ele define um cookie persistente no navegador quando um usuário seleciona a opção Não pedir novamente X dias no login.
Embora essa configuração reduza o número de autenticações em aplicativos Web, ela aumenta o número de autenticações para clientes de autenticação modernos, como clientes do Office. Esses clientes normalmente apresentam uma solicitação apenas após a redefinição de senha ou 90 dias de inatividade. No entanto, definir esse valor para menos de 90 dias reduz os prompts de MFA padrão para clientes do Office e aumenta a frequência de reautenticação. Quando você usa essa configuração em combinação com a opção Mostrar para permanecer conectado ou políticas de Acesso Condicional, isso pode aumentar o número de solicitações de autenticação.
Se utilizar Lembrar autenticação multifator e tiver uma licença da Microsoft Entra ID P1 ou P2, considere migrar essas definições para frequência de início de sessão no Acesso Condicional. Caso contrário, considere usar a opção Mostrar para permanecer conectado .
Para obter mais informações, consulte Lembrar autenticação multifator.
Gerenciamento de sessão de autenticação com acesso condicional
O administrador pode usar a política de frequência de entrada para escolher uma frequência de entrada que se aplique ao primeiro e ao segundo fator no cliente e no navegador. Recomendamos o uso dessas configurações, juntamente com o uso de dispositivos gerenciados, em cenários em que você precisa restringir as sessões de autenticação. Por exemplo, talvez seja necessário restringir uma sessão de autenticação para aplicativos de negócios críticos.
A sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador. Como a opção Mostrar para se manter assinado, armazena um cookie persistente no navegador. Mas como o administrador o configura, ele não exige que o usuário selecione Sim na opção Permanecer conectado? Dessa forma, proporciona uma melhor experiência ao usuário. Se você usar a opção Mostrar para permanecer conectado , recomendamos que habilite a política de sessão persistente do navegador .
Para obter mais informações, consulte Configurar políticas de tempo de vida de sessão adaptável.
Tempos de vida de token configuráveis
O ajuste Tempos de vida configuráveis dos tokens permite a definição de um tempo de vida para um token emitido pelo Microsoft Entra ID. O gerenciamento de sessão de autenticação com Acesso Condicional substitui essa política. Se você estiver usando tempos de vida de token configuráveis agora, recomendamos iniciar a migração para as políticas de Acesso Condicional.
Rever a configuração do seu tenant
Agora que você entende como funcionam várias configurações e a configuração recomendada, é hora de verificar seus locatários. Você pode começar examinando os logs de entrada para entender quais políticas de tempo de vida da sessão foram aplicadas durante o login.
Em cada registo de início de sessão, aceda ao separador Detalhes de Autenticação e verifique as Políticas Aplicadas de Duração da Sessão. Para obter mais informações, consulte Mais informações sobre os detalhes da atividade de registo de entrada.
Para configurar ou rever a opção Mostrar para permanecer com sessão iniciada :
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Esta prática ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.
- Entre no centro de administração do Microsoft Entra como Administrador Global.
- Navegue até Entra ID>Custom Branding. Em seguida, para cada localidade, selecione Mostrar opção para permanecer conectado.
- Selecione Sim e, em seguida, selecione Guardar.
Para lembrar as configurações de autenticação multifator em dispositivos confiáveis:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Entra ID>Multifactor authentication.
- Em Configurar, selecione Configurações adicionais de MFA baseadas em nuvem.
- No painel Configurações do serviço de autenticação multifator , role até Lembrar configurações de autenticação multifator e marque a caixa de seleção.
Para configurar políticas de Acesso Condicional para frequência de início de sessão e sessões persistentes do browser:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Entra ID>Acesso Condicional.
- Configure uma política usando as opções de gerenciamento de sessão recomendadas neste artigo.
Para revisar os tempos de vida do token, use o Microsoft Graph PowerShell para consultar quaisquer políticas do Microsoft Entra. Desative todas as políticas que você tem em vigor.
Se mais de uma configuração estiver habilitada em seu locatário, recomendamos que você atualize suas configurações com base no licenciamento disponível para você. Por exemplo, se tiveres uma licença do Microsoft Entra ID P1 ou P2, deves usar apenas as políticas de acesso condicional de frequência de início de sessão e sessão persistente do navegador. Se você tiver uma licença do Microsoft 365 Apps ou uma licença do Microsoft Entra ID Free, deverá usar a opção Mostrar para permanecer conectado na configuração.
Se você ativou os tempos de vida do token configurável, lembre-se de que esse recurso será removido em breve. Planeje uma migração para uma política de Acesso Condicional.
A tabela a seguir resume as recomendações com base nas licenças:
| Categoria | Aplicativos Microsoft 365 ou Microsoft Entra ID Grátis | Microsoft Entra ID P1 ou P2 |
|---|---|---|
| Autenticação Única (SSO) | Ingresso do Microsoft Entra ou ingresso híbrido do Microsoft Entra, ou SSO contínuo para dispositivos não administrados | Microsoft Entra integração ou integração híbrida do Microsoft Entra |
| Configurações de reautenticação | Mostrar opção para permanecer conectado | Políticas de Acesso Condicional para frequência de início de sessão e sessões persistentes do browser |