Compartir a través de

Configuración de directivas de duración de sesión adaptables

Advertencia

Si estás usando la característica de tiempo de vida del token configurable que está actualmente en versión de vista previa pública, no es compatible crear dos directivas diferentes para la misma combinación de usuario o aplicación: una con la característica de duración estándar y otra con la característica de duración configurable del token. Microsoft retiró la característica de duración configurable para los tokens de actualización y de sesión el 30 de enero de 2021 y la reemplazó con la función de gestión de sesiones de autenticación con acceso condicional.

Antes de habilitar la frecuencia de inicio de sesión, asegúrese de que cualquier otra configuración de reautenticación está deshabilitada en el inquilino. Si está habilitada la opción "Recordar MFA en dispositivos de confianza", desactívela antes de usar la frecuencia de inicio de sesión, ya que el uso conjunto de estas dos configuraciones podría solicitar a los usuarios de manera inesperada. Para obtener más información sobre las solicitudes de reautenticación y la duración de la sesión, consulte el artículo Optimize reauthentication prompts (Mensajes de reautenticación) y comprenda la duración de la sesión para la autenticación multifactor de Microsoft Entra.

Implementación de directivas

Para asegurarse de que la directiva funciona según lo previsto, pruóbela antes de implementarla en producción. Use un inquilino de prueba para comprobar que la nueva directiva funciona según lo previsto. Para obtener más información, consulte el artículo Planear una implementación de acceso condicional.

Directiva 1: Control de la frecuencia de inicio de sesión

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo con el perfil de Administrador de acceso condicional.

  2. Vaya a Entra IDAcceso condicionalDirectivas.

  3. Seleccione Nueva directiva.

  4. Asigne un nombre a la directiva. Cree un estándar significativo para las normas de nombramiento.

  5. Elija todas las condiciones necesarias para el entorno del cliente, incluidas las aplicaciones en la nube de destino.

    Nota

    Se recomienda establecer la misma frecuencia de solicitud de autenticación para las aplicaciones clave Microsoft 365 como Exchange Online y SharePoint Online para obtener la mejor experiencia del usuario.

  6. En Controles de accesoSesión.

    1. Seleccione Frecuencia de inicio de sesión.
      1. Elija Reautenticación periódica y escriba un valor de horas o días o seleccione Cada vez.

    Captura de pantalla que muestra una directiva de acceso condicional configurada para la frecuencia de inicio de sesión.

  7. Guarde la directiva.

Directiva 2: Sesión del explorador persistente

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo con el perfil de Administrador de acceso condicional.

  2. Vaya a Entra IDAcceso condicionalDirectivas.

  3. Seleccione Nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. Elija todas las condiciones necesarias.

    Nota

    Este control requiere seleccionar "Todas las aplicaciones en la nube" como condición. La persistencia de la sesión del explorador se controla mediante el token de la sesión de autenticación. Todas las pestañas de una sesión del explorador comparten un único token de sesión y, por tanto, todas ellas deben compartir el estado de persistencia.

  6. En Controles de accesoSesión.

    1. Seleccione Sesión del explorador persistente.

      Nota

      La configuración de sesión del explorador persistente en Microsoft Entra Conditional Access invalida la opción "¿Mantener la sesión iniciada?" en el panel de branding de la empresa para el mismo usuario, si ambas directivas están configuradas.

    2. Seleccione un valor en la lista desplegable.

  7. Guarde la directiva.

Nota

La configuración de duración de la sesión, incluida la frecuencia de inicio de sesión y las sesiones de explorador persistentes, determina con qué frecuencia los usuarios deben volver a autenticarse y si las sesiones se conservan en los reinicios del explorador. Las duraciones más cortas mejoran la seguridad de las aplicaciones de alto riesgo, mientras que las más largas mejoran la comodidad de los dispositivos administrados o de confianza.

Directiva 3: Control de frecuencia de inicio de sesión siempre que hay un usuario de riesgo

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo con el perfil de Administrador de acceso condicional.
  2. Vaya a Entra IDAcceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, después, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Recursos de destinoIncluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube") .
  7. En CondicionesRiesgo de usuario, establezca Configurar en Sí.
    1. En Configurar los niveles de riesgo de usuario necesarios para que se aplique la directiva, seleccione Alto. Esta guía se basa en las recomendaciones de Microsoft y puede ser diferente para cada organización.
    2. Seleccione Listo.
  8. En Controles de accesoConceder, seleccione Conceder acceso.
    1. Seleccione Requerir seguridad de autenticación y, a continuación, seleccione la seguridad de autenticación multifactor integrada de la lista.
    2. Seleccione Requerir cambio de contraseña.
    3. Seleccione Seleccionar.
  9. En Sesión.
    1. Seleccione Frecuencia de inicio de sesión.
    2. Asegúrese de que Siempre esté seleccionado.
    3. Seleccione Seleccionar.
  10. Confirme su configuración y establezca Habilitar directiva en Solo informe.
  11. Seleccione Crear para habilitar su directiva.

Después de confirmar la configuración mediante el modo de 'Solo informe', mueva el botón de alternancia de la directiva de 'Solo informe' a 'Activado'.

Validación

Use la herramienta What If para simular un inicio de sesión en la aplicación de destino y otras condiciones en función de la configuración de la directiva. Los controles de administración de la sesión de autenticación se muestran en el resultado de la herramienta.

Tolerancia a avisos

Consideramos cinco minutos de desajuste de reloj cuando se selecciona un horario en la directiva, por lo que no se les pregunta a los usuarios más de una vez cada cinco minutos. Si el usuario completa MFA en los últimos 5 minutos y encuentra otra directiva de acceso condicional que requiere reautenticación, no se le pedirá al usuario. Pedir a los usuarios demasiada frecuencia la reautenticación puede afectar a su productividad y aumentar el riesgo de que los usuarios aprueben solicitudes de MFA que no se iniciaron. Use "Frecuencia de inicio de sesión – cada vez" solo cuando haya necesidades empresariales específicas.

Problemas conocidos

  • Si configura la frecuencia de inicio de sesión para dispositivos móviles: la autenticación después de cada intervalo de frecuencia de inicio de sesión puede ser lenta y puede tardar 30 segundos en promedio. Este problema también puede producirse en varias aplicaciones simultáneamente.
  • En dispositivos iOS: si una aplicación configura certificados como el primer factor de autenticación y tiene aplicada la frecuencia de inicio de sesión y las directivas de administración de aplicaciones móviles de Intune , los usuarios no podrán iniciar sesión en la aplicación cuando se desencadene la directiva.
  • Acceso privado de Microsoft Entra no admite configurar la frecuencia de inicio de sesión cada vez.

Pasos siguientes

  • ¿Está listo para configurar directivas de acceso condicional para su entorno? Consulte Planear una implementación de acceso condicional.
  • Last updated on