Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra ID traz várias configurações que determinam a frequência com a qual os usuários precisam se autenticar novamente. Essa reautenticação pode envolver apenas um primeiro fator, como senha, FIDO (Fast IDentity Online) ou Microsoft Authenticator sem senha. Ou pode exigir MFA (autenticação multifator). Você pode definir essas configurações de reautenticação conforme necessário para o seu próprio ambiente e a experiência de usuário desejada.
A configuração padrão do Microsoft Entra ID para a frequência de entrada do usuário é uma janela contínua de 90 dias. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a se fazer, mas pode ser um tiro que sai pela culatra. Se os usuários são treinados para inserir suas credenciais sem pensar, eles podem inadvertidamente fornecê-las a um prompt de credenciais mal-intencionado.
Pode parecer alarmante não solicitar que um usuário faça login novamente. No entanto, qualquer violação das políticas de TI revoga a sessão. Alguns exemplos incluem uma alteração de senha, um dispositivo fora de conformidade ou uma operação para desabilitar uma conta. Você também pode revogar explicitamente as sessões dos usuários usando o Microsoft Graph PowerShell.
Este artigo detalha as configurações recomendadas e como as várias configurações funcionam e interagem entre si.
Configurações recomendadas
Para dar aos usuários o equilíbrio certo de segurança e facilidade de uso solicitando que eles entrem na frequência certa, recomendamos as seguintes configurações:
- Se você tiver o Microsoft Entra ID P1 ou P2:
- Habilite o SSO (logon único) entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
- Se a nova autenticação for necessária, use uma política de Frequência de entrada de Acesso Condicional do Microsoft Entra.
- Para usuários que fazem login em dispositivos não gerenciados ou em cenários de dispositivos móveis, talvez não seja preferível usar sessões persistentes do navegador. Ou você pode usar o Acesso Condicional para habilitar sessões persistentes do navegador com a política de Frequência de entrada. Limite a duração a um tempo apropriado com base no risco de entrada, em que um usuário com menos risco tem uma duração de sessão maior.
- Se você tiver uma licença do Aplicativos do Microsoft 365 ou uma licença gratuita do Microsoft Entra ID:
- Habilite o SSO entre aplicativos usando dispositivos gerenciados ou SSO contínuo.
- Mantenha a opção Permanecer conectado habilitada e oriente os usuários a aceitar Permanecer conectado? ao fazer login.
- Para cenários de dispositivos móveis, verifique se os usuários usam o aplicativo Microsoft Authenticator. Esse aplicativo é um intermediário para outros aplicativos federados do Microsoft Entra ID e reduz as solicitações de autenticação no dispositivo.
Nossa pesquisa mostra que essas configurações são corretas para a maioria dos locatários. Algumas combinações dessas configurações, como opção de lembrar autenticação multifator e mostrar opção para continuar conectado, podem resultar em solicitações frequentes de autenticação dos usuários. As solicitações regulares de reautenticação são ruins para a produtividade do usuário e podem torná-lo mais vulnerável a ataques.
Definir as configurações para o tempo de vida da sessão do Microsoft Entra
Para otimizar a frequência dos avisos de autenticação para os usuários, é possível definir configurações para o tempo de vida da sessão do Microsoft Entra. Entenda as necessidades de seus negócios e usuários e defina as configurações que fornecem o melhor equilíbrio para o seu ambiente.
Política do tempo de vida da sessão
Sem nenhuma configuração de tempo de vida da sessão, a sessão do navegador não tem cookies persistentes. Sempre que os usuários fecham e abrem o navegador, eles recebem uma solicitação de reautenticação. Em clientes do Office, o período padrão é uma janela sem interrupção de 90 dias. Com essa configuração padrão do Office, se o usuário redefinir a senha ou se a sessão ficar inativa por mais de 90 dias, o usuário deverá se autenticar novamente com o primeiro e o segundo fatores necessários.
Um usuário pode ver vários prompts de MFA em um dispositivo que não tem uma identidade no Microsoft Entra ID. Vários prompts ocorrem quando cada aplicativo tem seu próprio token de atualização do OAuth que não é compartilhado com outros aplicativos cliente. Nesse cenário, a MFA solicita várias vezes, uma vez que cada aplicativo solicita que um token de atualização OAuth seja validado com a MFA.
No Microsoft Entra ID, a política mais restritiva para o tempo de vida da sessão determina quando o usuário precisa autenticar novamente. Considere um cenário em que você habilita essas duas configurações:
- Mostrar a opção de permanecer conectado, que usa um cookie de navegador persistente
- Lembrar da autenticação multifator com um valor de 14 dias
Neste exemplo, o usuário precisa se reautenticar a cada 14 dias. Esse comportamento segue a política mais restritiva, embora a opção Mostrar para permanecer conectado por si só não exigiria que o usuário se autenticasse novamente no navegador.
Dispositivos gerenciados
Dispositivos que ingressam no Microsoft Entra ID pelo ingresso no Microsoft Entra ou ingresso no Microsoft Entra híbrido recebem um Token de atualização principal (PRT) para usar o SSO entre aplicativos.
Esse PRT permite que o usuário faça login uma vez no dispositivo e permite que a equipe de TI verifique se o dispositivo atende aos padrões de segurança e conformidade. Se você precisar solicitar que um usuário realize login com mais frequência em um dispositivo associado para alguns aplicativos ou cenários, pode usar a política de frequência de login de acesso condicional.
Opção de permanecer conectado
Quando um usuário seleciona Sim na opção Permanecer conectado? durante o login, a seleção define um cookie persistente no navegador. Esse cookie persistente lembra o primeiro e o segundo fatores e se aplica somente a solicitações de autenticação no navegador.
Se você tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos usar uma política de Acesso Condicional para sessão de navegador persistente. Essa política substitui a configuração Mostrar opção para permanecer conectado e fornece uma experiência de usuário aprimorada. Se você não tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos habilitar a opção Mostrar para permanecer conectado para seus usuários.
Para obter mais informações sobre como configurar a opção para permitir que os usuários permaneçam conectados, consulte Gerenciar o prompt "Permanecer conectado?".
Opção para lembrar a autenticação multifator
A configuração Lembrar da autenticação multifator permite que você configure um valor de 1 a 365 dias. Ele define um cookie persistente no navegador quando um usuário seleciona a opção Não perguntar novamente por X dias no login.
Embora essa configuração reduza o número de autenticações em aplicativos Web, ela aumenta o número de autenticações para clientes de autenticação modernos, como os clientes do Office. Normalmente, esses clientes solicitam somente após a redefinição da senha ou inatividade de 90 dias. No entanto, a configuração desse valor para menos de 90 dias reduz os prompts padrão de MFA para clientes do Office e aumenta a frequência de reautenticação. Quando você usa essa configuração em combinação com a opção Mostrar para permanecer conectado ou políticas de Acesso Condicional, isso pode aumentar o número de solicitações de autenticação.
Se você usar a opção Lembrar autenticação multifator e tiver uma licença do Microsoft Entra ID P1 ou P2, considere migrar essas configurações para a Frequência de entrada do Acesso Condicional. Caso contrário, considere usar a opção Mostrar para permanecer conectado .
Para mais informações, consulte Lembrar autenticação multifatorial.
Gerenciamento da sessão de autenticação com Acesso Condicional
O administrador pode usar a política de frequência de entrada para escolher uma frequência de entrada que se aplique tanto ao primeiro quanto ao segundo fator, no cliente e no navegador. Recomendamos o uso dessas configurações, juntamente com o uso de dispositivos gerenciados, nos cenários em que você precisa restringir as sessões de autenticação. Por exemplo, talvez seja necessário restringir uma sessão de autenticação para aplicativos comerciais essenciais.
A sessão persistente do navegador permite que os usuários permaneçam conectados após o fechamento e a reabertura da janela do navegador. Assim como a opção Mostrar para permanecer conectado na configuração, ela define um cookie persistente no navegador. Mas, como o administrador o configura, ele não exige que o usuário selecione Sim na opção Permanecer conectado? Dessa forma, ele proporciona uma melhor experiência ao usuário. Se você usar a opção Mostrar para permanecer conectado , recomendamos habilitar a política de sessão do navegador persistente .
Para obter mais informações, consulte Configurar políticas de tempo de vida de sessão adaptável.
Tempos de vida de tokens configuráveis
A configuração de tempo de vida configurável do token permite definir um tempo de vida para um token emitido pelo Microsoft Entra ID. O gerenciamento de sessão de autenticação com Acesso Condicional substitui essa política. Se você estiver usando tempos de vida de token configuráveis agora, recomendamos iniciar a migração para as políticas de Acesso Condicional.
Revise suas configuração de locatários
Agora que você entende como funcionam as várias configurações e a configuração recomendada, é hora de verificar seus locatários. Você pode começar examinando os logs de entrada para entender quais políticas de tempo de vida da sessão foram aplicadas durante a entrada.
Em cada log de entrada, acesse a guia Detalhes de autenticação e explore as Políticas de tempo de vida da sessão aplicadas. Para obter mais informações, consulte Saiba mais sobre os detalhes da atividade de registro de entrada.
Para configurar ou examinar a opção Mostrar para permanecer conectado :
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Essa prática ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.
- Entre no Centro de administração do Microsoft Entra como administrador global.
- Navegue até Entra ID>Identidade visual personalizada. Em seguida, para cada localidade, selecione Mostrar opção para permanecer conectado.
- Selecione Sim e, em seguida, selecione Salvar.
Para lembrar as configurações de autenticação multifator em dispositivos confiáveis:
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Entra ID>Autenticação multifator.
- Em Configurar, selecioneConfigurações adicionais de MFA baseadas em nuvem.
- No painel de configurações do serviço de autenticação multifator , role até Lembrar as configurações de autenticação multifator e selecione a caixa de seleção.
Para configurar políticas de Acesso condicional para frequência de login e sessões persistentes do navegador:
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Entra ID>Acesso Condicional.
- Configure uma política usando as opções de gerenciamento de sessão recomendadas por este artigo.
Para examinar os tempos de vida do token, use o Microsoft Graph PowerShell para consultar quaisquer políticas do Microsoft Entra. Desabilite as políticas que você tiver em vigor.
Se mais de uma configuração estiver habilitada em seu locatário, recomendamos que você atualize suas configurações com base no licenciamento disponível para você. Por exemplo, se você tiver uma licença do Microsoft Entra ID P1 ou P2, deverá usar apenas as políticas de Acesso Condicional da frequência de logon e sessão de navegador persistente. Se você tiver uma licença do Microsoft 365 Apps ou uma licença gratuita do Microsoft Entra ID, deverá usar a opção Mostrar para permanecer conectado.
Se você habilitou tempos de vida de token configuráveis, lembre-se de que esse recurso será removido em breve. Planejar uma migração para uma política de acesso condicional.
A tabela a seguir resume as recomendações com base em licenças:
| Categoria | Aplicativos do Microsoft 365 ou Microsoft Entra ID Gratuito | Microsoft Entra ID P1 ou P2 |
|---|---|---|
| SSO | Ingresso no Microsoft Entra ou ingresso híbrido do Microsoft Entra ou SSO contínuo para dispositivos não gerenciados | Ingresso no Microsoft Entra ou ingresso no Microsoft Entra híbrido |
| Configurações de reautenticação | Mostrar a opção para permanecer conectado | Políticas de Acesso Condicional para frequência de login e sessões persistentes do navegador |