Configurar políticas de tempo de vida de sessão adaptável

Implantação de política

Para garantir que sua política funcione conforme o esperado, teste-a antes de distribuí-la para produção. Use um locatário de teste para verificar se sua nova política funciona conforme o esperado. Para obter mais informações, consulte o artigo Planejar uma implantação de Acesso Condicional.

Política 1: Controle de frequência de entrada

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

2. Navegue até Entra ID>Acesso Condicional>Políticas.

3. Selecione Nova política.

4. Dê um nome à sua política. Crie um padrão significativo para políticas de nomenclatura.

5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

   Observação

   É recomendável definir a frequência de prompt de autenticação igual para os principais aplicativos do Microsoft 365, como o Exchange Online e o SharePoint Online, para melhor experiência do usuário.

6. Em Controles de acesso>Sessão.

   1. Selecione Frequência de entrada.
      1. Escolha a Reautenticação periódica e insira um valor de horas ou dias ou selecione Sempre.

   

7. Salve sua política.

Política 2: Sessão persistente do navegador

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

2. Navegue até Entra ID>Acesso Condicional>Políticas.

3. Selecione Nova política.

4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

5. Escolha todas as condições necessárias.

   Observação

   Esse controle requer a seleção de "Todos os Aplicativos de Nuvem" como condição. A persistência da sessão do navegador é controlada pelo token de sessão de autenticação. Todas as guias em uma sessão de navegador compartilham um único token de sessão e, portanto, todas precisam compartilhar o estado de persistência.

6. Em Controles de acesso>Sessão.

   1. Selecione Sessão de navegador persistente.

      Observação

      A configuração de sessão persistente do navegador no Microsoft Entra Conditional Access substituirá a configuração "Permanecer conectado?" no painel de identidade visual da empresa para o mesmo usuário se ambas as políticas estiverem configuradas.

   2. Selecione um valor no menu suspenso.

7. Salve sua política.

Política 3: Usar o controle de frequência de entrada sempre com um usuário suspeito

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
2. Navegue para Entra ID>Acesso Condicional.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
   3. Selecione Concluído.
6. Em Recursos de destino>Incluir, selecione Todos os recursos (anteriormente 'Todos os aplicativos de nuvem').
7. Em Condições>Risco do usuário, defina Configurar como Sim.
   1. Em Configurar os níveis de risco do usuário necessários para que a política seja imposta, selecione Alta. Essa orientação é baseada nas recomendações da Microsoft e pode ser diferente para cada organização
   2. Selecione Concluído.
8. Em Controles de acesso>Conceder, selecione Conceder acesso.
   1. Selecione Exigir força da autenticação e selecione a força de autenticação deAutenticação multifator na lista.
   2. Selecione Exigir alteração de senha.
   3. Escolha Selecionar.
9. Em Sessão.
   1. Selecione Frequência de entrada.
   2. Verifique se Sempre está selecionado.
   3. Escolha Selecionar.
10. Confirme suas configurações e defina Habilitar política com Somente relatório.
11. Selecione Criar para criar e habilitar sua política.

Depois de confirmar suas configurações usando o modo somente relatório, mova a alternância de política Habilitar de Somente Relatório para Ativar.

Validação

Use a ferramenta What If para simular uma entrada no aplicativo de destino e outras condições com base na configuração da política. Os controles de gerenciamento de sessão de autenticação aparecem nos resultados da ferramenta.

Tolerância de prompt

Contabilizados cinco minutos de distorção de relógio quando cada vez é selecionado na política, portanto, não solicitamos aos usuários com mais frequência do que uma vez a cada cinco minutos. Se o usuário concluir a MFA nos últimos 5 minutos e encontrar outra política de Acesso Condicional que exija reautenticação, não solicitaremos ao usuário. Solicitar aos usuários muitas vezes a reautenticação pode afetar sua produtividade e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. Use "Frequência de entrada – todas as vezes" somente quando houver necessidades comerciais específicas.

Problemas conhecidos

• Se você configurar a frequência de entrada para dispositivos móveis: a autenticação após cada intervalo de frequência de entrada pode ser lenta e pode levar em média 30 segundos. Esse problema também pode ocorrer em vários aplicativos simultaneamente.
• Em dispositivos iOS: se um aplicativo configurar certificados como o primeiro fator de autenticação e tiver a frequência de entrada e as políticas de gerenciamento de aplicativos móveis do Intune aplicadas, os usuários serão impedidos de entrar no aplicativo quando a política for disparada.
• O Microsoft Entra Private Access não dá suporte à configuração de frequência de entrada para todas as vezes.

Próximas etapas

• Pronto para configurar políticas de Acesso Condicional para seu ambiente? Consulte Planejar uma implantação de Acesso Condicional.