Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID tiene varios valores que determinan la frecuencia con la que los usuarios deben reautenticarse.Microsoft Entra. Esta reautenticación puede implicar solo un primer factor, como la contraseña, Fast IDentity Online (FIDO) o Microsoft Authenticator sin contraseña. O puede requerir autenticación multifactor (MFA). Puede configurar estas opciones de reautenticación según sea necesario para su propio entorno y la experiencia de usuario que desee.
La configuración predeterminada de Microsoft Entra ID para la frecuencia de inicio de sesión de usuario es un período sucesivo de 90 días. La petición de credenciales a los usuarios a menudo parece algo sensato, pero puede tener sus desventajas. Si los usuarios están entrenados para escribir sus credenciales sin necesidad de pensar, pueden proporcionarlas involuntariamente ante una petición de credenciales malintencionada.
Puede parecer alarmante no pedir a un usuario que vuelva a iniciar sesión. Sin embargo, cualquier infracción de las directivas de TI revoca la sesión. Algunos ejemplos incluyen un cambio de contraseña, un dispositivo que no cumpla con las normas o la operación de deshabilitación de la cuenta. También puede revocar explícitamente las sesiones de los usuarios mediante Microsoft Graph PowerShell.
En este artículo se detallan las configuraciones recomendadas y cómo diversas configuraciones funcionan e interactúan entre sí.
Configuración recomendada
Para ofrecer a los usuarios el equilibrio adecuado entre seguridad y facilidad de uso pidiéndoles que inicien sesión con la frecuencia correcta, se recomiendan las siguientes configuraciones:
- Si tiene Microsoft Entra ID P1 o P2:
- Habilite el inicio de sesión único (SSO) entre aplicaciones mediante dispositivos administrados o SSO sin problemas.
- Si se requiere la reautenticación, use una directiva de Acceso Condicional de Microsoft Entra sobre frecuencia de inicio de sesión.
- En el caso de los usuarios que inician sesión desde dispositivos no administrados o en escenarios de dispositivos móviles, es posible que las sesiones persistentes de explorador no sean opciones preferibles. Puede usar el acceso condicional para habilitar sesiones de explorador persistentes con la directiva de Frecuencia de inicio de sesión. Limite la duración a un tiempo adecuado en función del riesgo de inicio de sesión, donde un usuario con menos riesgo tiene duración de la sesión más larga.
- Si tiene una licencia de Microsoft 365 Apps o una licencia gratuita de Microsoft Entra ID:
- Habilite el inicio de sesión único en todas las aplicaciones mediante dispositivos administrados o SSO sin problemas.
- Mantenga habilitada la opción Mostrar para permanecer conectado y guíe a los usuarios a aceptar ¿Permanecer conectado? al iniciar sesión.
- Para escenarios con dispositivos móviles, asegúrese de que los usuarios utilizan la aplicación Microsoft Authenticator. Esta aplicación se usa como agente para otras aplicaciones federadas de Microsoft Entra ID y reduce los avisos de autenticación en el dispositivo.
Nuestra investigación muestra que estos valores son adecuados para la mayoría de los inquilinos. Algunas combinaciones de opciones, como Recordar la autenticación multifactor y Mostrar la opción para mantener la sesión iniciada, pueden dar lugar a la aparición frecuente de mensajes de autenticación para los usuarios. Los mensajes de reautenticación periódicos son perjudiciales para la productividad del usuario y pueden hacerlos más vulnerables a los ataques.
Configuración de la duración de la sesión de Microsoft Entra
Para optimizar la frecuencia de las solicitudes de autenticación para los usuarios, puede configurar las opciones de duración de la sesión de Microsoft Entra. Sea consciente de las necesidades de su empresa y sus usuarios y configure los valores que proporcionen el mejor equilibrio para su entorno.
Directivas de duración de la sesión
Sin ninguna configuración de duración de la sesión, la sesión del explorador no crea cookies persistentes. Cada vez que un usuario cierra y abre el explorador, recibe una solicitud de reautenticación. En los clientes de Office, el período de tiempo predeterminado es un período sucesivo de 90 días. Con esta configuración predeterminada de Office, si el usuario restablece la contraseña o la sesión está inactiva durante más de 90 días, el usuario debe volver a autenticarse con los factores primero y segundo necesarios.
Un usuario podría ver varias solicitudes de MFA en un dispositivo que no tiene una identidad en Microsoft Entra ID. Se generan varios mensajes cuando cada aplicación tiene su propio token de actualización de OAuth que no se comparte con otras aplicaciones cliente. En este escenario, MFA solicita la autenticación varias veces, ya que cada aplicación solicita un token de actualización de OAuth que se va a validar con MFA.
En Microsoft Entra ID, la directiva más restrictiva para la duración de la sesión determina cuándo es necesario volver a autenticar el usuario. Considere un escenario en el que se habilitan ambas opciones:
- Mostrar opción para permanecer conectado, que usa una cookie de navegador persistente
- Recordar la autenticación multifactor con un valor de 14 días
En este escenario de ejemplo, el usuario debe volver a autenticarse cada 14 días. Este comportamiento sigue la política más restrictiva, aunque la opción Mostrar para permanecer en la sesión por sí misma no requeriría que el usuario vuelva a autenticarse en el navegador.
Dispositivos administrados
Los dispositivos unidos a Microsoft Entra ID a través de la integración con Microsoft Entra ID o la integración híbrida con Microsoft Entra ID reciben un token de actualización principal (PRT) para usar SSO entre aplicaciones.
Estos tokens de actualización principales permiten a un usuario iniciar sesión una vez en el dispositivo y ayudan al personal de TI a garantizar que el dispositivo cumple los estándares de seguridad y cumplimiento. Si necesita pedir a un usuario que inicie sesión con más frecuencia en un dispositivo unido para algunas aplicaciones o escenarios, puede usar la política de acceso condicional Frecuencia de inicio de sesión.
Opción para mantener la sesión iniciada
Cuando un usuario selecciona Sí en la opción de aviso Mantener sesión iniciada durante el inicio de sesión, la selección establece una cookie persistente en el explorador. Esta cookie persistente recuerda el primer y el segundo factor, y se aplica solo a las solicitudes de autenticación en el explorador.
Si tiene una licencia P1 o P2 de Microsoft Entra ID, se recomienda usar una directiva de acceso condicional para la sesión del explorador persistente. Esta directiva sobrescribe al valor de Mostrar la opción de mantener la sesión iniciada y proporciona una experiencia de usuario mejorada. Si no tienes una licencia P1 o P2 de Microsoft Entra ID, recomendamos habilitar la opción Mostrar la opción para permanecer conectado/a para tus usuarios.
Para obtener más información sobre cómo configurar la opción para permitir que los usuarios permanezcan conectados, consulte Administrar el mensaje '¿Mantener sesión iniciada?'
Opción para recordar la autenticación multifactor
La opción Recordar autenticación multifactor le permite configurar un valor de 1 a 365 días. Establece una cookie persistente en el explorador cuando un usuario selecciona la opción No pedir de nuevo X días al iniciar sesión.
Aunque esta configuración reduce el número de autenticaciones en las aplicaciones web, aumenta el número de autenticaciones para los clientes de autenticación moderna, como los clientes de Office. Normalmente, estos clientes solo hacen la solicitud después de un restablecimiento de la contraseña o una inactividad de 90 días. Sin embargo, si se establece este valor en menos de 90 días, se acortan los mensajes de MFA predeterminados para los clientes de Office y aumenta la frecuencia de una nueva autenticación. Al usar esta configuración en combinación con la opción Mostrar para permanecer conectado o las directivas de acceso condicional, puede aumentar el número de solicitudes de autenticación.
Si usa Recordar la configuración de autenticación multifactor y tiene una licencia P1 o P2 de Microsoft Entra ID, considere migrar esta configuración a la frecuencia de inicio de sesión de Acceso Condicional. De lo contrario, considere usar la opción Mostrar opción para permanecer conectado.
Más información, consulte Recordar la autenticación multifactor.
Administración de la sesión de autenticación con acceso condicional
El administrador puede usar la directiva de frecuencia de inicio de sesión para elegir una frecuencia de inicio de sesión que se aplique tanto para el primer como el segundo factor tanto en el cliente como en el explorador. Se recomienda usar esta configuración, junto con el uso de dispositivos administrados, en escenarios en los que es necesario restringir las sesiones de autenticación. Por ejemplo, puede que tenga que restringir una sesión de autenticación para aplicaciones empresariales críticas.
La sesión persistente del explorador permite a los usuarios permanecer conectados después de cerrar y volver a abrir su ventana del explorador. Al igual que la opción de mostrar para permanecer conectado, establece una cookie persistente en el navegador. Pero, dado que el administrador lo configura, no requiere que el usuario seleccione Sí en la opción Mantener sesión iniciada. De este modo, proporciona una mejor experiencia de usuario. Si usa la opción Mostrar la opción para mantener la sesión iniciada , se recomienda habilitar en su lugar la directiva Sesión del explorador persistente.
Para obtener más información, consulte Configuración de directivas de duración de sesión adaptables.
Vigencia de tokens configurable
La configuración de duraciones configurables de tokens permite configurar la duración de un token que Microsoft Entra ID emite. La administración de sesiones de autenticación con el acceso condicional reemplaza esta directiva. Si actualmente utiliza Vigencia de tokens configurable, se recomienda iniciar la migración a las directivas de acceso condicional.
Revisión de la configuración del inquilino
Ahora que comprende cómo funcionan las diferentes opciones y la configuración recomendada, es el momento de comprobar la configuración de los inquilinos. Para empezar, puede ver los registros de inicio de sesión para comprender qué directivas de duración de sesión se aplicaron durante el inicio de sesión.
Debajo de cada registro de inicio de sesión, vaya a la pestaña Detalles de autenticación y explore Directivas de duración de la sesión aplicadas. Para obtener más información, consulte el artículo Más información sobre los detalles de la actividad de registro del inicio de sesión.
Para configurar o revisar la opción Mostrar la opción para mantener la sesión iniciada:
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esta práctica ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia o cuando no se puede usar un rol existente.
- Inicie sesión en el Centro de administración de Microsoft Entra como administrador global.
- Vaya a Entra ID>Personalización de marca. A continuación, para cada configuración local, seleccione la opción Mostrar para permanecer conectado.
- Seleccione Sí y, a continuación, seleccione Guardar.
Para recordar los ajustes de la autenticación multifactor en dispositivos de confianza:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.
- Vaya a Entra ID>Autenticación multifactor.
- En Configurar, seleccione Configuración de MFA basada en la nube adicional.
- En el panel Configuración del servicio multifactor de autenticación , desplácese hasta Recordar la configuración de autenticación multifactor y active la casilla.
Para configurar las directivas de acceso condicional para la frecuencia de inicio de sesión y las sesiones del explorador persistentes:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
- Vaya a Entra ID>Acceso condicional.
- Configure una directiva mediante las opciones de administración de sesión recomendadas en este artículo.
Para revisar la duración de tokens, utilice Microsoft Graph PowerShell para consultar cualquier directiva de Microsoft Entra. Deshabilite las directivas que haya implementado.
Si hay más de una opción de configuración habilitada en el inquilino, se recomienda actualizar la configuración en función de las licencias disponibles. Por ejemplo, si tiene una licencia Microsoft Entra ID P1 o P2, solo debe usar las directivas de acceso condicional de frecuencia de inicio de sesión y sesiones de explorador persistente. Si tiene una licencia de Aplicaciones de Microsoft 365 o una licencia gratuita de Microsoft Entra ID, debe usar la opción Mostrar para continuar conectado.
Si ha habilitado la vigencia de tokens configurable, tenga en cuenta que esta funcionalidad se quitará próximamente. Planee una migración a una directiva de acceso condicional.
En la tabla siguiente se resumen las recomendaciones basadas en licencias:
| Categoría | Microsoft 365 Apps o Microsoft Entra ID Free | Microsoft Entra ID P1 o P2 |
|---|---|---|
| SSO | Unión a Microsoft Entra o Unión híbrida de Microsoft Entra o Inicio de sesión único sin complicaciones para dispositivos no administrados | Unión a Microsoft Entra o unión híbrida a Microsoft Entra |
| Configuración de la reautenticación | Mostrar opción para permanecer con la sesión iniciada | Uso de directivas de acceso condicional para la frecuencia de inicio de sesión y las sesiones del explorador persistentes |