Configuración de la administración de las sesiones de autenticación con el acceso condicional

En las implementaciones complejas, las organizaciones pueden tener la necesidad de restringir las sesiones de autenticación. Algunos escenarios podrían incluir:

• El acceso a los recursos desde un dispositivo no administrado o compartido
• El acceso a información confidencial desde una red externa
• Usuarios de gran impacto
• Aplicaciones empresariales críticas

Los controles de acceso condicional le permiten crear directivas dirigidas a casos de uso específicos dentro de la organización sin afectar a todos los usuarios.

Antes de entrar en detalles sobre cómo configurar la directiva, examinemos la configuración predeterminada.

Frecuencia de inicio de sesión de usuario

La frecuencia de inicio de sesión define el período de tiempo antes de que se pida a un usuario que vuelva a iniciar sesión cuando intenta acceder a un recurso.

La configuración predeterminada de Azure Active Directory (Azure AD) para la frecuencia de inicio de sesión de usuario es período sucesivo de 90 días. Pedir credenciales a los usuarios a menudo parece algo sensato, pero puede resultar contraproducente: los usuarios que están capacitados para escribir sus credenciales sin pensarlo pueden suministrarlas sin querer a una petición de credenciales malintencionada.

Puede parecer alarmante no pedir a un usuario que vuelva a iniciar sesión; en realidad, cualquier infracción de las directivas de TI revocará la sesión. Algunos ejemplos incluyen, entre otras acciones, un cambio de contraseña, un dispositivo que no cumple con las normas o la deshabilitación de la cuenta. También puede explícitamente revocar sesiones de usuarios mediante PowerShell. La configuración predeterminada de Azure AD se reduce a "no pedir a los usuarios que proporcionen sus credenciales si la posición de seguridad de sus sesiones no ha cambiado".

La configuración de la frecuencia de inicio de sesión funciona con aplicaciones que han implementado los protocolos OAuth2 u OIDC de acuerdo con los estándares. La mayoría de aplicaciones nativas de Microsoft para Windows, Mac y dispositivos móviles que incluyen las aplicaciones web siguientes cumplen con la configuración.

• Word, Excel y PowerPoint Online
• OneNote Online
• Office.com
• Portal de administración de Microsoft 365
• Exchange Online
• SharePoint y OneDrive
• Cliente web de Teams
• Dynamics CRM Online
• Azure portal

La configuración de la frecuencia de inicio de sesión funciona con aplicaciones SAML de terceros y aplicaciones que han implementado los protocolos OAuth2 u OIDC, siempre y cuando no se eliminen sus propias cookies y se redirijan de nuevo a Azure AD con regularidad para la autenticación.

Frecuencia de inicio de sesión de usuario y autenticación multifactor

Antes, la frecuencia de inicio de sesión se aplicaba solo a la autenticación del primer factor en los dispositivos unidos a Azure AD, unidos a Azure AD híbrido y registrados en Azure AD. No había ninguna manera fácil de que nuestros clientes reforzaran la autenticación multifactor (MFA) en esos dispositivos. Teniendo en cuenta los comentarios de los clientes, ahora la frecuencia de inicio de sesión se aplica también a la autenticación multifactor.

Frecuencia de inicio de sesión de usuario e identidades de dispositivos

Si tiene dispositivos unidos a Azure AD, unidos a Azure AD híbrido o registrados en Azure AD, cuando un usuario desbloquea su dispositivo o inicia sesión de forma interactiva, este evento también cumplirá la directiva de frecuencia de inicio de sesión. En los dos ejemplos siguientes, la frecuencia de inicio de sesión de usuario está establecida en 1 hora:

Ejemplo 1:

• A las 00:00, un usuario inicia sesión en su dispositivo unido a Azure AD de Windows 10 y comienza a trabajar en un documento almacenado en SharePoint Online.
• El usuario continúa trabajando en el mismo documento en su dispositivo durante una hora.
• A la 01:00, se solicita al usuario que vuelva a iniciar sesión según el requisito de frecuencia de inicio de sesión en la directiva de acceso condicional configurada por su administrador.

Ejemplo 2:

• A las 00:00, un usuario inicia sesión en su dispositivo unido a Azure AD de Windows 10 y comienza a trabajar en un documento almacenado en SharePoint Online.
• A las 00:30, el usuario se pone al día y realiza un bloqueo de interrupción en el dispositivo.
• A las 00:45, el usuario vuelve de su interrupción y desbloquea el dispositivo.
• A la 01:45, se solicita al usuario que vuelva a iniciar sesión según el requisito de frecuencia de inicio de sesión de la directiva de acceso condicional configurada por su administrador, ya que el último inicio de sesión se produjo a las 00:45.

Requerir reautenticación siempre (versión preliminar)

Hay escenarios en los que es posible que los clientes quieran requerir una autenticación siempre que un usuario realice acciones concretas. La frecuencia de inicio de sesión tiene una nueva opción, Siempre, además de horas o días.

La versión preliminar privada admite los siguientes escenarios:

• Requerir la reautenticación de usuario al inscribir dispositivos en Intune, independientemente del estado actual de su autenticación multifactor.
• Requerir la reautenticación de usuario a usuarios de riesgo con el control de concesión de solicitud de cambio de contraseña.
• Requerir la reautenticación de usuario en inicios de sesión de riesgo con el control de concesión de solicitud de autenticación multifactor.

Cuando los administradores seleccionen Siempre, requerirá una reautenticación completa cuando se evalúe la sesión.

Nota

Una de las primeras versiones preliminares incluía la opción de solicitar métodos de autenticación secundarios solo en la reautenticación. Esta opción ya no se admite y no debe usarse.

Advertencia

El uso de requerir reautenticación cada vez que el control de concesión de riesgo de inicio de sesión esté establecido en Sin riesgo no está admitido y provocará una experiencia de usuario deficiente.

Persistencia de las sesiones de exploración

Una sesión persistente del explorador permite a los usuarios permanecer conectados después de cerrar y volver a abrir la ventana del explorador.

El valor predeterminado de Azure AD para la persistencia de la sesión del explorador permite a los usuarios de dispositivos personales elegir si desean mantener la sesión mostrando un aviso de "¿Quiere mantener la sesión iniciada?" tras una autenticación correcta. Si se configura la persistencia del explorador en AD FS mediante las instrucciones del artículo sobre la configuración de inicio de sesión único de AD FS, cumpliremos esa directiva y persistiremos también en la sesión de Azure AD. También, para configurar si los usuarios del inquilino van a ver el aviso "¿Quiere mantener la sesión iniciada?", cambie la configuración apropiada en el panel de la marca de la empresa en Azure Portal mediante la guía del artículo Personalización de la página de inicio de sesión de Azure AD.

Configuración de los controles de sesión de autenticación

El acceso condicional es una funcionalidad de Azure AD Premium y requiere una licencia prémium. Para más información sobre el acceso condicional, consulte Acceso condicional de Azure Active Directory.

Advertencia

Si utiliza la característica de vigencia del token configurable actualmente en versión preliminar pública, tenga en cuenta que no se admite la creación de dos directivas diferentes para el mismo usuario o combinación de aplicaciones: una con esta característica y otra con la característica de vigencia del token configurable. Microsoft ha retirado la característica de vigencia del token configurable para los tokens de sesión y actualización el 30 de enero de 2021 y la ha reemplazado por la característica de administración de sesiones de autenticación de acceso condicional.

Antes de habilitar la frecuencia de inicio de sesión, asegúrese de que cualquier otra configuración de reautenticación está deshabilitada en el inquilino. Si está habilitada la opción "Recordar MFA en dispositivos de confianza", asegúrese de deshabilitarla antes de usar la frecuencia de inicio de sesión, ya que el uso conjunto de estas dos configuraciones puede dar lugar a solicitudes inesperadas a los usuarios. Para más información sobre los mensajes de reautenticación y la duración de la sesión, consulte el artículo Optimice los mensajes de reautenticación y comprenda la duración de la sesión para Azure AD Multifactor Authentication.

Implementación de directivas

Para asegurarse de que la directiva funciona según lo esperado, el procedimiento recomendado es probarla antes de implementarla en producción. Lo ideal es usar un inquilino de prueba para comprobar si la nueva directiva funciona según lo previsto. Para obtener más información, vea el artículo Planeamiento de la implementación del acceso condicional.

Directiva 1: Control de la frecuencia de inicio de sesión

1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.

2. Vaya a Azure Active Directory>Seguridad>Acceso condicional.

3. Seleccione Nueva directiva.

4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. Elija todas las condiciones necesarias para el entorno del cliente, incluidas las aplicaciones en la nube de destino.

   Nota:

   Se recomienda establecer la misma frecuencia de autenticación para las aplicaciones clave de Microsoft Office, como Exchange Online y SharePoint Online, para una mejor experiencia del usuario.

6. En Controles de acceso>Sesión.

   1. Seleccione Frecuencia de inicio de sesión.
   2. Escriba el valor requerido de los días y horas en el primer cuadro de texto.
   3. Seleccione un valor para Horas o Días en la lista desplegable.

7. Guarde la directiva.

En los dispositivos con Windows registrados en Azure AD, el inicio de sesión en el dispositivo se considera un aviso. Por ejemplo, si ha configurado la frecuencia de inicio de sesión a 24 horas para las aplicaciones de Office, los usuarios de los dispositivos con Windows registrados en Azure AD cumplirán la directiva de frecuencia de inicio de sesión por medio del inicio de sesión en el dispositivo y no se les volverá a solicitar al abrir las aplicaciones de Office.

Directiva 2: Sesión del explorador persistente

1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.

2. Vaya a Azure Active Directory>Seguridad>Acceso condicional.

3. Seleccione Nueva directiva.

4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. Elija todas las condiciones necesarias.

   Nota:

   Tenga en cuenta que este control requiere elegir "Todas las aplicaciones en la nube" como una condición. La persistencia de la sesión del explorador se controla mediante el token de la sesión de autenticación. Todas las pestañas de una sesión del explorador comparten un único token de sesión y, por tanto, todas ellas deben compartir el estado de persistencia.

6. En Controles de acceso>Sesión.

   1. Seleccione Sesión del explorador persistente.
   2. Seleccione un valor en la lista desplegable.

7. Guarde la directiva.

Nota

La configuración de la sesión del explorador persistente en el acceso condicional de Azure AD sobrescribirá la configuración "¿Quiere mantener la sesión iniciada?" en el panel de personalización de marca de la empresa en Azure Portal para el mismo usuario si ha configurado las dos directivas.

Directiva 3: Control de frecuencia de inicio de sesión siempre que hay un usuario de riesgo

1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
2. Vaya a Azure Active Directory>Seguridad>Acceso condicional.
3. Seleccione Nueva directiva.
4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
5. En Asignaciones, seleccione Usuarios y grupos.
   1. En Incluir, seleccione Todos los usuarios.
   2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
   3. Seleccione Listo.
6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
7. En Condiciones>Riesgo de usuario, establezca Configurar en Sí. En Configurar los niveles de riesgo de usuario necesarios para que se aplique la directiva, seleccione Alto y después, Listo.
8. En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir cambio de contraseña y Seleccionar.
9. En Controles de sesión>Frecuencia de inicio de sesión, seleccione Siempre (versión preliminar).
10. Confirme la configuración y establezca Habilitar directiva en Solo informe.
11. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración desde el modo de solo informe, puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Validación

Utilice la herramienta What-If para simular un inicio de sesión del usuario en la aplicación de destino y otras condiciones según la configuración de la directiva. Los controles de administración de la sesión de autenticación se muestran en el resultado de la herramienta.

Tolerancia a avisos

Factorizamos cinco minutos de distorsión del reloj, con el fin de que no se envíen avisos a los usuarios más de una vez cada cinco minutos. Si el usuario ha realizado la autenticación multifactor en los 5 últimos minutos y accede a otra directiva de acceso condicional que requiere reautenticación, no se le pedirá. La promoción excesiva de la reautenticación a los usuarios puede afectar a su productividad y aumentar el riesgo de que los usuarios aprueben las solicitudes de autenticación multifactor que no iniciaron. Se recomienda encarecidamente usar "Frecuencia de inicio de sesión: siempre" solo para necesidades empresariales específicas.

Problemas conocidos

• Si configura la frecuencia de inicio de sesión para dispositivos móviles, la autenticación después de cada intervalo de frecuencia de inicio de sesión puede ser lenta (puede tardar 30 segundos de media). Además, podría ocurrir en varias aplicaciones al mismo tiempo.
• En dispositivos iOS, si una aplicación configura los certificados como el primer factor de autenticación y la aplicación tiene aplicadas las directivas de administración de aplicaciones móviles de Intune y de frecuencia de inicio de sesión, los usuarios finales no podrán iniciar sesión en la aplicación cuando se desencadene la directiva.

Pasos siguientes

• Si está listo para configurar directivas de acceso condicional en su entorno, consulte el artículo Planeamiento de la implementación del acceso condicional.