Partilhar via

Configurar políticas de tempo de vida de sessão adaptáveis

Aviso

Se estiver a utilizar a funcionalidade de tempo de vida do token configurável atualmente em pré-visualização pública, não suportamos a criação de duas políticas diferentes para o mesmo utilizador ou combinação de aplicações: uma com esta funcionalidade e outra com a funcionalidade de tempo de vida do token configurável. A Microsoft desativou o recurso de tempo de vida do token configurável para tempos de vida de token de sessão e atualização em 30 de janeiro de 2021 e o substituiu pelo recurso de gerenciamento de sessão de autenticação de Acesso Condicional.

Antes de ativar a Frequência de início de sessão, certifique-se de que outras definições de reautenticação estão desativadas no seu locatário. Se a opção "Lembrar MFA em dispositivos confiáveis" estiver ativada, desative-a antes de usar a Frequência de entrada, pois usar essas duas configurações juntas pode avisar os usuários inesperadamente. Para saber mais sobre prompts de reautenticação e tempo de vida da sessão, consulte o artigo Otimizar prompts de reautenticação e entender o tempo de vida da sessão para a autenticação multifator do Microsoft Entra.

Implementação de políticas

Para garantir que sua política funcione conforme o esperado, teste-a antes de implementá-la em produção. Use um locatário de teste para verificar se sua nova política funciona como pretendido. Para obter mais informações, consulte o artigo Planejar uma implantação de acesso condicional.

Política 1: Controlo da frequência de início de sessão

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Entra ID>Acesso Condicional>Políticas.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Crie um padrão significativo para políticas de nomenclatura.

  5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

    Nota

    É recomendável definir uma frequência de prompt de autenticação igual para os principais aplicativos do Microsoft 365, como o Exchange Online e o SharePoint Online, para obter a melhor experiência do usuário.

  6. Sob controlos de acesso>sessão.

    1. Selecione Frequência de início de sessão.
      1. Escolha Reautenticação periódica e insira um valor de horas ou dias ou selecione Todas as vezes.

    Captura de ecrã a mostrar uma política de Acesso Condicional configurada para frequência de início de sessão.

  7. Guarde a sua política.

Política 2: Sessão persistente do navegador

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Entra ID>Acesso Condicional>Políticas.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias.

    Nota

    Esse controle requer a seleção de "All Cloud Apps" como uma condição. A persistência da sessão do browser é controlada pelo token da sessão de autenticação. Todos os separadores numa sessão de navegador partilham um único token de sessão e, por isso, todos eles têm de partilhar o estado de persistência.

  6. Sob controlos de acesso>sessão.

    1. Selecione Sessão persistente do navegador.

      Nota

      A configuração persistente da sessão do navegador no Acesso Condicional do Microsoft Entra substitui a configuração "Permanecer conectado?" no painel de identidade visual da empresa para o mesmo usuário se ambas as políticas estiverem configuradas.

    2. Selecione um valor na lista suspensa.

  7. Guarde a sua política.

Nota

As definições de vida útil da sessão, incluindo frequência de início de sessão e sessões persistentes do navegador, determinam com que frequência os utilizadores devem reautenticar-se e se as sessões persistem através dos reinícios do navegador. Vidas mais curtas aumentam a segurança para aplicações de alto risco, enquanto as mais longas aumentam a conveniência para dispositivos de confiança ou geridos.

Política 3: Controlo da frequência de início de sessão sempre que detetado um utilizador de risco

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.
  6. Em Recursos de destino>Incluir, selecione Todos os recursos (anteriormente "Todos os aplicativos na nuvem").
  7. Em Condições>Risco do usuário, defina Configurar como Sim.
    1. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
    2. Selecionar Concluído.
  8. Em Controlo de acesso, conceda acesso selecionando Conceder acesso.
    1. Selecione Exigir força de autenticação, depois selecione a força de autenticação multifator integrada da lista.
    2. Selecione Exigir alteração de senha.
    3. Selecione Selecionar.
  9. Na sessão.
    1. Selecione Frequência de início de sessão.
    2. Certifique-se de que 'Every time' está selecionado.
    3. Selecione Selecionar.
  10. Confirme as suas configurações e defina Ativar política como Apenas relatar.
  11. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Validação

Use a ferramenta E se para simular uma entrada no aplicativo de destino e outras condições com base na configuração da política. Os controles de gerenciamento de sessão de autenticação aparecem no resultado da ferramenta.

Tolerância imediata

Contabilizamos cinco minutos de distorção do relógio quando cada vez é selecionado na política, por isso não avisamos os usuários com mais frequência do que uma vez a cada cinco minutos. Se o usuário concluir a MFA nos últimos 5 minutos e encontrar outra política de Acesso Condicional que exija reautenticação, não avisaremos o usuário. Solicitar aos usuários com muita frequência a reautenticação pode afetar sua produtividade e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. Utilize "Frequência de início de sessão – sempre" apenas quando existirem necessidades comerciais específicas.

Problemas conhecidos

  • Se configurar a frequência de início de sessão para dispositivos móveis: a autenticação após cada intervalo de frequência de início de sessão poderá ser lenta e demorar em média 30 segundos. Esse problema também pode ocorrer em vários aplicativos simultaneamente.
  • Em dispositivos iOS: se um aplicativo configurar certificados como o primeiro fator de autenticação e tiver a frequência de entrada e as políticas de gerenciamento de aplicativos móveis do Intune aplicadas, os usuários serão impedidos de entrar no aplicativo quando a política for acionada.
  • O Microsoft Entra Private Access não suporta a definição da frequência de início de sessão para sempre.

Próximos passos

  • Last updated on