Autenticación
En una implementación de XenMobile®, entran en juego varias consideraciones al decidir cómo configurar la autenticación. Esta sección te ayuda a comprender los diversos factores que afectan a la autenticación al analizar lo siguiente:
- Las principales directivas MDX, las propiedades de cliente de XenMobile y la configuración de Citrix Gateway relacionadas con la autenticación.
- Las formas en que estas directivas, propiedades de cliente y configuraciones interactúan.
- Las ventajas y desventajas de cada elección.
Este artículo también incluye tres ejemplos de configuraciones recomendadas para grados crecientes de seguridad.
En términos generales, una seguridad más sólida da como resultado una experiencia de usuario menos óptima, ya que los usuarios tienen que autenticarse con más frecuencia. La forma en que equilibres estas preocupaciones depende de las necesidades y prioridades de tu organización. Al revisar las tres configuraciones recomendadas, obtendrás una mayor comprensión de la interacción de las medidas de autenticación disponibles y de cómo implementar mejor tu propio entorno XenMobile.
Modos de autenticación
Autenticación en línea: Permite a los usuarios acceder a la red de XenMobile. Requiere una conexión a Internet.
Autenticación sin conexión: Se realiza en el dispositivo. Los usuarios desbloquean el almacén seguro y tienen acceso sin conexión a elementos como correo descargado, sitios web en caché y notas.
Métodos de autenticación
Factor único
LDAP: Puedes configurar una conexión en XenMobile a uno o más directorios, como Active Directory, que cumpla con el Protocolo ligero de acceso a directorios (LDAP). Este es un método de uso común para proporcionar inicio de sesión único (SSO) en entornos empresariales. Puedes optar por el PIN de Citrix con el almacenamiento en caché de contraseñas de Active Directory para mejorar la experiencia del usuario con LDAP, al tiempo que proporcionas la seguridad de contraseñas complejas en la inscripción, la caducidad de la contraseña y el bloqueo de la cuenta.
Para obtener más detalles, consulta Dominio o dominio más STA.
Certificado de cliente: XenMobile puede integrarse con autoridades de certificación estándar del sector para usar certificados como único método de autenticación en línea. XenMobile proporciona este certificado después de la inscripción del usuario, lo que requiere una contraseña de un solo uso, una URL de invitación o credenciales LDAP. Cuando se utiliza un certificado de cliente como método principal de autenticación, se requiere un PIN de Citrix en entornos solo con certificado de cliente para proteger el certificado en el dispositivo.
XenMobile admite la lista de revocación de certificados (CRL) solo para una autoridad de certificación de terceros. Si tienes una CA de Microsoft configurada, XenMobile usa Citrix ADC para administrar la revocación. Al configurar la autenticación basada en certificados de cliente, considera si necesitas configurar la opción de lista de revocación de certificados (CRL) de Citrix ADC, Habilitar actualización automática de CRL. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse usando un certificado existente en el dispositivo. XenMobile vuelve a emitir un nuevo certificado, ya que no restringe a un usuario la generación de un certificado de usuario si se revoca uno. Esta configuración aumenta la seguridad de las entidades PKI cuando la CRL comprueba las entidades PKI caducadas.
Para ver un diagrama que muestra la implementación necesaria si planeas usar la autenticación basada en certificados para los usuarios o si necesitas usar tu autoridad de certificación (CA) empresarial para emitir certificados de dispositivo, consulta Arquitectura de referencia para implementaciones locales.
Doble factor
LDAP + Certificado de cliente: En el entorno de XenMobile, esta configuración es la mejor combinación de seguridad y experiencia de usuario, con las mejores posibilidades de SSO junto con la seguridad proporcionada por la autenticación de doble factor en Citrix ADC. El uso de LDAP y certificados de cliente proporciona seguridad tanto con algo que los usuarios conocen (sus contraseñas de Active Directory) como con algo que tienen (certificados de cliente en sus dispositivos). Secure Mail (y algunas otras aplicaciones de productividad móvil) pueden configurar y proporcionar automáticamente una experiencia de usuario fluida por primera vez con la autenticación de certificados de cliente, con un entorno de servidor de acceso de cliente de Exchange configurado correctamente. Para una usabilidad óptima, puedes combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
LDAP + Token: Esta configuración permite la configuración clásica de credenciales LDAP, además de una contraseña de un solo uso, utilizando el protocolo RADIUS. Para una usabilidad óptima, puedes combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.
Directivas, configuraciones y propiedades de cliente importantes implicadas en la autenticación
Las siguientes directivas, configuraciones y propiedades de cliente entran en juego con las tres configuraciones recomendadas siguientes:
Directivas MDX
Contraseña de la aplicación: Si está Activada, se requiere un PIN o una contraseña de Citrix para desbloquear la aplicación cuando se inicia o se reanuda después de un período de inactividad. El valor predeterminado es Activada.
Para configurar el temporizador de inactividad para todas las aplicaciones, establece el valor de INACTIVITY_TIMER en minutos en la consola de XenMobile en Propiedades de cliente en la ficha Configuración. El valor predeterminado es 15 minutos. Para deshabilitar el temporizador de inactividad, de modo que un PIN o una contraseña solo aparezcan cuando se inicie la aplicación, establece el valor en cero.
Nota:
Si seleccionas Sin conexión segura para la directiva Claves de cifrado, esta directiva se habilita automáticamente.
Sesión en línea requerida: Si está Activada, el usuario debe tener una conexión a la red empresarial y una sesión activa para acceder a la aplicación en el dispositivo. Si está Desactivada, no se requiere una sesión activa para acceder a la aplicación en el dispositivo. El valor predeterminado es Desactivada.
Período máximo sin conexión (horas): Define el período máximo durante el cual una aplicación puede ejecutarse sin volver a confirmar el derecho de la aplicación y actualizar las directivas de XenMobile. Cuando estableces el Período máximo sin conexión, si Secure Hub para iOS tiene un token de Citrix Gateway válido, la aplicación recupera nuevas directivas para las aplicaciones MDX de XenMobile sin interrupción para los usuarios. Si Secure Hub no tiene un token de Citrix ADC válido, los usuarios deben autenticarse a través de Secure Hub para que las directivas de la aplicación se actualicen. El token de Citrix ADC puede dejar de ser válido debido a la inactividad de la sesión de Citrix Gateway o a una directiva de tiempo de espera de sesión forzada. Cuando los usuarios vuelven a iniciar sesión en Secure Hub, pueden seguir ejecutando la aplicación.
Se recuerda a los usuarios que inicien sesión 30, 15 y 5 minutos antes de que expire el período. Después de la caducidad, la aplicación se bloquea hasta que los usuarios inicien sesión. El valor predeterminado es 72 horas (3 días). El período mínimo es de 1 hora.
Nota:
Ten en cuenta que, en un escenario en el que los usuarios viajan con frecuencia y pueden usar la itinerancia internacional, el valor predeterminado de 72 horas (3 días) podría ser demasiado corto.
Caducidad del ticket de servicios en segundo plano: El período de tiempo durante el cual un ticket de servicio de red en segundo plano permanece válido. Cuando Secure Mail se conecta a través de Citrix Gateway a un servidor Exchange que ejecuta ActiveSync, XenMobile emite un token que Secure Mail utiliza para conectarse al servidor Exchange interno. Esta configuración de propiedad determina la duración durante la cual Secure Mail puede usar el token sin requerir un nuevo token para la autenticación y la conexión al servidor Exchange. Cuando el límite de tiempo expira, los usuarios deben iniciar sesión de nuevo para generar un nuevo token. El valor predeterminado es 168 horas (7 días). Cuando este tiempo de espera expira, las notificaciones de correo se interrumpen.
Período de gracia de sesión en línea requerida: Determina cuántos minutos puede un usuario usar la aplicación sin conexión antes de que la directiva de sesión en línea requerida les impida seguir usándola (hasta que se valide la sesión en línea). El valor predeterminado es 0 (sin período de gracia).
Para obtener información sobre las directivas de autenticación, consulta:
- Si usas el SDK de MAM: Información general del SDK de MAM
- Si usas el MDX Toolkit: Directivas MDX para iOS y Directivas MDX para Android
Propiedades de cliente de XenMobile
Nota:
Las propiedades de cliente son una configuración global que se aplica a todos los dispositivos que se conectan a XenMobile.
PIN de Citrix: Para una experiencia de inicio de sesión sencilla, puedes habilitar el PIN de Citrix. Con el PIN, los usuarios no tienen que introducir otras credenciales repetidamente, como sus nombres de usuario y contraseñas de Active Directory. Puedes configurar el PIN de Citrix solo como una autenticación sin conexión independiente, o combinar el PIN con el almacenamiento en caché de contraseñas de Active Directory para optimizar la autenticación y lograr una usabilidad óptima. Puedes configurar el PIN de Citrix en Configuración > Cliente > Propiedades de cliente en la consola de XenMobile.
A continuación, se muestra un resumen de algunas propiedades importantes. Para obtener más información, consulta Propiedades de cliente.
ENABLE_PASSCODE_AUTH
Nombre para mostrar: Habilitar autenticación con PIN de Citrix
Esta clave te permite activar la funcionalidad del PIN de Citrix. Con el PIN o código de acceso de Citrix, se pide a los usuarios que definan un PIN para usarlo en lugar de su contraseña de Active Directory. Debes habilitar esta configuración si ENABLE_PASSWORD_CACHING está habilitada o si XenMobile usa la autenticación de certificados.
Valores posibles: true o false
Valor predeterminado: false
ENABLE_PASSWORD_CACHING
Nombre para mostrar: Habilitar almacenamiento en caché de contraseñas de usuario
Esta clave te permite que la contraseña de Active Directory de los usuarios se almacene en caché localmente en el dispositivo móvil. Cuando estableces esta clave en true, se pide a los usuarios que configuren un PIN o código de acceso de Citrix. La clave ENABLE_PASSCODE_AUTH debe establecerse en true cuando estableces esta clave en true.
Valores posibles: true o false
Valor predeterminado: false
PASSCODE_STRENGTH
Nombre para mostrar: Requisito de fortaleza del PIN
Esta clave define la fortaleza del PIN o código de acceso de Citrix. Cuando cambias esta configuración, se pide a los usuarios que configuren un nuevo PIN o código de acceso de Citrix la próxima vez que se les pida que se autentiquen.
Valores posibles: Baja, Media o Fuerte
Valor predeterminado: Media
INACTIVITY_TIMER
Nombre para mostrar: Temporizador de inactividad
Esta clave define el tiempo en minutos que los usuarios pueden dejar sus dispositivos inactivos y luego acceder a una aplicación sin que se les pida un PIN o código de acceso de Citrix. Para habilitar esta configuración para una aplicación MDX, debes establecer la configuración Código de acceso de la aplicación en Activado. Si la configuración Código de acceso de la aplicación está establecida en Desactivado, los usuarios se redirigen a Secure Hub para realizar una autenticación completa. Cuando cambias esta configuración, el valor surte efecto la próxima vez que se pide a los usuarios que se autentiquen. El valor predeterminado es de 15 minutos.
ENABLE_TOUCH_ID_AUTH
Nombre para mostrar: Habilitar autenticación con Touch ID
Permite el uso del lector de huellas dactilares (solo en iOS) para la autenticación sin conexión. La autenticación en línea sigue requiriendo el método de autenticación principal.
ENCRYPT_SECRETS_USING_PASSCODE
Nombre para mostrar: Cifrar secretos con código de acceso
Esta clave permite que los datos confidenciales se almacenen en el dispositivo móvil en una bóveda secreta en lugar de en un almacén nativo basado en la plataforma, como el llavero de iOS. Esta clave de configuración permite un cifrado fuerte de los artefactos clave, pero también añade entropía de usuario (un código PIN aleatorio generado por el usuario que solo el usuario conoce).
Valores posibles: true o false
Valor predeterminado: false
Configuración de Citrix ADC
Tiempo de espera de sesión: Si habilitas esta configuración, Citrix Gateway desconecta la sesión si Citrix ADC no detecta actividad de red durante el intervalo especificado. Esta configuración se aplica a los usuarios que se conectan con el plug-in de Citrix Gateway, Citrix Receiver™, Secure Hub o a través de un navegador web. El valor predeterminado es 1440 minutos. Si estableces este valor en cero, la configuración se deshabilita.
Tiempo de espera forzado: Si habilitas esta configuración, Citrix Gateway desconecta la sesión una vez transcurrido el intervalo de tiempo de espera, sin importar lo que el usuario esté haciendo. Cuando el intervalo de tiempo de espera transcurre, el usuario no puede realizar ninguna acción para evitar la desconexión. Esta configuración se aplica a los usuarios que se conectan con el plug-in de Citrix Gateway, Citrix Receiver, Secure Hub o a través de un navegador web. Si Secure Mail utiliza STA, un modo especial de Citrix ADC, la configuración de Tiempo de espera forzado no se aplica a las sesiones de Secure Mail. El valor predeterminado es 1440 minutos. Si dejas este valor en blanco, la configuración se deshabilita.
Para obtener más información sobre la configuración de tiempo de espera en Citrix Gateway, consulta la documentación de Citrix ADC.
Para obtener más información sobre los escenarios que solicitan a los usuarios que se autentiquen con XenMobile introduciendo credenciales en sus dispositivos, consulta Escenarios de solicitud de autenticación.
Configuración predeterminada
Estas configuraciones son las predeterminadas proporcionadas por:
- El asistente de NetScaler® para XenMobile
- El SDK de MAM o el MDX Toolkit
- La consola de XenMobile
| Configuración | Dónde encontrar la configuración | Configuración predeterminada |
|---|---|---|
| Tiempo de espera de sesión | Citrix Gateway | 1440 minutos |
| Tiempo de espera forzado | Citrix Gateway | 1440 minutos |
| Período máximo sin conexión | Políticas MDX | 72 horas |
| Caducidad del ticket de servicios en segundo plano | Políticas MDX | 168 horas (7 días) |
| Sesión en línea requerida | Políticas MDX | Desactivado |
| Período de gracia de sesión en línea requerida | Políticas MDX | 0 |
| Código de acceso de la aplicación | Políticas MDX | Activado |
| Cifrar secretos con código de acceso | Propiedades del cliente de XenMobile | false |
| Habilitar autenticación PIN de Citrix | Propiedades del cliente de XenMobile | false |
| Requisito de fortaleza del PIN | Propiedades del cliente de XenMobile | Media |
| Tipo de PIN | Propiedades del cliente de XenMobile | Numérico |
| Habilitar almacenamiento en caché de contraseña de usuario | Propiedades del cliente de XenMobile | false |
| Temporizador de inactividad | Propiedades del cliente de XenMobile | 15 |
| Habilitar autenticación Touch ID | Propiedades del cliente de XenMobile | false |
Configuraciones recomendadas
Esta sección ofrece ejemplos de tres configuraciones de XenMobile que van desde la seguridad más baja y la experiencia de usuario óptima hasta la seguridad más alta y una experiencia de usuario más intrusiva. Estos ejemplos deben proporcionarte puntos de referencia útiles para determinar dónde quieres situar tu propia configuración en la escala. La modificación de estas configuraciones podría requerir que también alteres otras configuraciones. Por ejemplo, el período máximo sin conexión siempre debe ser inferior al tiempo de espera de la sesión.
Máxima seguridad
Esta configuración ofrece el nivel más alto de seguridad, pero conlleva importantes compensaciones en cuanto a la usabilidad.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
| Tiempo de espera de sesión | Citrix Gateway | 1440 | Los usuarios introducen sus credenciales de Secure Hub solo cuando se requiere autenticación en línea, cada 24 horas. |
| Tiempo de espera forzado | Citrix Gateway | 1440 | La autenticación en línea se requiere estrictamente cada 24 horas. La actividad no extiende la vida de la sesión. |
| Período máximo sin conexión | Políticas MDX | 23 | Requiere la actualización de la política cada día. |
| Caducidad del ticket de servicios en segundo plano | Políticas MDX | 72 horas | Tiempo de espera para STA, que permite sesiones de larga duración sin un token de sesión de Citrix Gateway. En el caso de Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que las notificaciones de correo se detengan sin solicitar al usuario si no abre la aplicación antes de que la sesión expire. |
| Sesión en línea requerida | Políticas MDX | Desactivado | Asegura una conexión de red válida y una sesión de Citrix Gateway para usar las aplicaciones. |
| Período de gracia de sesión en línea requerida | Políticas MDX | 0 | Sin período de gracia (si habilitaste Sesión en línea requerida). |
| Código de acceso de la aplicación | Políticas MDX | Activado | Requiere un código de acceso para la aplicación. |
| Cifrar secretos con código de acceso | Propiedades del cliente de XenMobile | true | Una clave derivada de la entropía del usuario protege la bóveda. |
| Habilitar autenticación PIN de Citrix | Propiedades del cliente de XenMobile | true | Habilita el PIN de Citrix para una experiencia de autenticación simplificada. |
| Requisito de fortaleza del PIN | Propiedades del cliente de XenMobile | Fuerte | Requisitos de alta complejidad de contraseña. |
| Tipo de PIN | Propiedades del cliente de XenMobile | Alfanumérico | El PIN es una secuencia alfanumérica. |
| Habilitar almacenamiento en caché de contraseña | Propiedades del cliente de XenMobile | false | La contraseña de Active Directory no se almacena en caché y el PIN de Citrix se usa para autenticaciones sin conexión. |
| Temporizador de inactividad | Propiedades del cliente de XenMobile | 15 | Si el usuario no usa las aplicaciones MDX o Secure Hub durante este período, se le solicitará la autenticación sin conexión. |
| Habilitar autenticación Touch ID | Propiedades del cliente de XenMobile | false | Deshabilita Touch ID para los casos de uso de autenticación sin conexión en iOS. |
Mayor seguridad
Un enfoque más intermedio, esta configuración requiere que los usuarios se autentiquen con más frecuencia, como máximo cada 3 días en lugar de 7, y una seguridad más sólida. El mayor número de autenticaciones bloquea el contenedor con más frecuencia, lo que garantiza la seguridad de los datos cuando los dispositivos no están en uso.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
| Tiempo de espera de sesión | Citrix Gateway | 4320 | Los usuarios introducen sus credenciales de Secure Hub solo cuando se requiere autenticación en línea, cada 3 días. |
| Tiempo de espera forzado | Citrix Gateway | Sin valor | Las sesiones se extienden si hay alguna actividad. |
| Período máximo sin conexión | Políticas MDX | 71 | Requiere la actualización de la política cada 3 días. La diferencia de una hora es para permitir la actualización antes de que expire la sesión. |
| Caducidad del ticket de servicios en segundo plano | Políticas MDX | 168 horas | Tiempo de espera para STA, que permite sesiones de larga duración sin un token de sesión de Citrix Gateway. En el caso de Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que las notificaciones de correo se detengan sin solicitar al usuario si no abre la aplicación antes de que la sesión expire. |
| Sesión en línea requerida | Políticas MDX | Desactivado | Asegura una conexión de red válida y una sesión de Citrix Gateway para usar las aplicaciones. |
| Período de gracia de sesión en línea requerida | Políticas MDX | 0 | Sin período de gracia (si habilitaste Sesión en línea requerida). |
| Código de acceso de la aplicación | Políticas MDX | Activado | Requiere un código de acceso para la aplicación. |
| Cifrar secretos con código de acceso | Propiedades del cliente de XenMobile | false | No requiere la entropía del usuario para cifrar la bóveda. |
| Habilitar autenticación PIN de Citrix | Propiedades del cliente de XenMobile | true | Habilita el PIN de Citrix para una experiencia de autenticación simplificada. |
| Requisito de fortaleza del PIN | Propiedades del cliente de XenMobile | Media | Aplica reglas de complejidad de contraseña medias. |
| Tipo de PIN | Propiedades del cliente de XenMobile | Numérico | Un PIN es una secuencia numérica. |
| Habilitar almacenamiento en caché de contraseña | Propiedades del cliente de XenMobile | true | El PIN del usuario almacena en caché y protege la contraseña de Active Directory. |
| Temporizador de inactividad | Propiedades del cliente de XenMobile | 30 | Si el usuario no usa las aplicaciones MDX o Secure Hub durante este período, se le solicitará la autenticación sin conexión. |
| Habilitar autenticación Touch ID | Propiedades del cliente de XenMobile | true | Habilita Touch ID para los casos de uso de autenticación sin conexión en iOS. |
Alta seguridad
Esta configuración, la más conveniente para los usuarios, proporciona un nivel de seguridad básico.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
| Tiempo de espera de sesión | Citrix Gateway | 10080 | Los usuarios introducen sus credenciales de Secure Hub solo cuando se requiere autenticación en línea, cada 7 días. |
| Tiempo de espera forzado | Citrix Gateway | Sin valor | Las sesiones se extienden si hay alguna actividad. |
| Período máximo sin conexión | Políticas MDX | 167 | Requiere la actualización de la política cada semana (cada 7 días). La diferencia de una hora es para permitir la actualización antes de que expire la sesión. |
| Caducidad del ticket de servicios en segundo plano | Políticas MDX | 240 | Tiempo de espera para STA, que permite sesiones de larga duración sin un token de sesión de Citrix Gateway. En el caso de Secure Mail, hacer que el tiempo de espera de STA sea más largo que el tiempo de espera de la sesión evita que las notificaciones de correo se detengan sin solicitar al usuario si no abre la aplicación antes de que la sesión expire. |
| Sesión en línea requerida | Políticas MDX | Desactivado | Asegura una conexión de red válida y una sesión de Citrix Gateway para usar las aplicaciones. |
| Período de gracia de sesión en línea requerida | Políticas MDX | 0 | Sin período de gracia (si habilitaste Sesión en línea requerida). |
| Código de acceso de la aplicación | Políticas MDX | Activado | Requiere un código de acceso para la aplicación. |
| Cifrar secretos con código de acceso | Propiedades del cliente de XenMobile | false | No requiere la entropía del usuario para cifrar la bóveda. |
| Habilitar autenticación PIN de Citrix | Propiedades del cliente de XenMobile | true | Habilita el PIN de Citrix para una experiencia de autenticación simplificada. |
| Requisito de fortaleza del PIN | Propiedades del cliente de XenMobile | Baja | Sin requisitos de complejidad de contraseña. |
| Tipo de PIN | Propiedades del cliente de XenMobile | Numérico | Un PIN es una secuencia numérica. |
| Habilitar almacenamiento en caché de contraseña | Propiedades del cliente de XenMobile | true | El PIN del usuario almacena en caché y protege la contraseña de Active Directory. |
| Temporizador de inactividad | Propiedades del cliente de XenMobile | 90 | Si el usuario no usa las aplicaciones MDX o Secure Hub durante este período, se le solicitará la autenticación sin conexión. |
| Habilitar autenticación Touch ID | Propiedades del cliente de XenMobile | true | Habilita Touch ID para los casos de uso de autenticación sin conexión en iOS. |
Uso de la autenticación por pasos
Algunas aplicaciones podrían requerir autenticación mejorada (por ejemplo, un factor de autenticación secundario, como un token o tiempos de espera de sesión agresivos). Tú controlas este método de autenticación a través de una política MDX. El método también requiere un servidor virtual separado para controlar los métodos de autenticación (en el mismo dispositivo Citrix ADC o en dispositivos separados).
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
|---|---|---|---|
| Citrix Gateway alternativo | Políticas MDX | Requiere el FQDN y el puerto del dispositivo Citrix ADC secundario. | Permite la autenticación mejorada controlada por las políticas de autenticación y sesión del dispositivo Citrix ADC secundario. |
Si un usuario abre una aplicación que inicia sesión en la instancia de Citrix Gateway alternativa, todas las demás aplicaciones usan esa instancia de Citrix Gateway para comunicarse con la red interna. La sesión solo vuelve a la instancia de Citrix Gateway de menor seguridad cuando la sesión expira en la instancia de Citrix Gateway con seguridad mejorada.
Uso de la sesión en línea requerida
Para ciertas aplicaciones, como Secure Web, es posible que quieras asegurarte de que los usuarios ejecuten una aplicación solo cuando tengan una sesión autenticada y mientras el dispositivo esté conectado a una red. Esta política aplica esa opción y permite un período de gracia para que los usuarios puedan terminar su trabajo.
| Configuración | Dónde encontrar la configuración | Configuración recomendada | Impacto en el comportamiento |
|---|---|---|---|
| Sesión en línea requerida | Políticas MDX | Activado | Asegura que el dispositivo esté en línea y tenga un token de autenticación válido. |
| Período de gracia de sesión en línea requerida | Políticas MDX | 15 | Permite un período de gracia de 15 minutos antes de que el usuario ya no pueda usar las aplicaciones. |