Product Documentation

Autenticar

En una implementación de XenMobile, entran varias consideraciones en juego a la hora de decidir cómo configurar la autenticación. Esta sección ofrece una guía para comprender los diversos factores que afectan a la autenticación porque se analiza lo siguiente:

  • Las principales directivas MDX, las propiedades del cliente XenMobile y las configuraciones de NetScaler Gateway relacionadas con la autenticación.
  • Las formas en que interactúan estas directivas, parámetros y propiedades de cliente.
  • Los pros y contras de cada elección.

Este artículo también contiene tres ejemplos de configuraciones recomendadas para aumentar los grados de seguridad.

En términos generales, una seguridad más alta empobrece la experiencia del usuario, ya que los usuarios deben autenticarse más a menudo. La forma de equilibrar estos aspectos, seguridad y fluidez de la experiencia del usuario, depende de las necesidades y las prioridades de su organización. El objetivo de ofrecer esas tres configuraciones recomendadas es conferirle una mayor comprensión de la interacción de las medidas de autenticación disponibles y orientarle a comprender cómo implementar mejor su propio entorno de XenMobile.

Modos de autenticación

Autenticación con conexión: Permite a los usuarios conectarse a la red de XenMobile. Requiere una conexión a Internet.

Autenticación sin conexión: Ocurre en el dispositivo. Los usuarios desbloquean la caja fuerte segura y tienen acceso sin conexión a elementos (como el correo descargado, los sitios Web almacenados en caché y las notas).

Métodos de autenticación

Factor único

LDAP: En XenMobile, puede configurar una conexión a uno o varios directorios (como Active Directory) compatibles con el Protocolo ligero de acceso a directorios (LDAP). Este es un método frecuente para ofrecer el inicio Single Sign-On (SSO) en entornos de empresa. Puede optar por el PIN de Citrix con el almacenamiento en caché de la contraseña de Active Directory para mejorar la experiencia del usuario con LDAP al mismo tiempo que proporciona la seguridad de contraseñas complejas en la inscripción, la caducidad de contraseñas y el bloqueo de la cuenta.

Para obtener más información, consulte Dominio o dominio + STA en la documentación de XenMobile.

Certificado de cliente: XenMobile puede integrarse con entidades de certificación estándar del sector para usar certificados como método único de la autenticación en línea. XenMobile ofrece este certificado una vez los usuarios se han inscrito, por lo que requiere una contraseña de un solo uso, una URL de invitación o credenciales LDAP. Cuando se usa un certificado de cliente como el método principal de autenticación, se necesita un PIN de Citrix en entornos de solo certificado de cliente para proteger el certificado en el dispositivo.

XenMobile solo respalda la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza NetScaler para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL), Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse usando un certificado existente en el dispositivo; XenMobile vuelve a emitir un certificado nuevo, porque no impide a un usuario generar un certificado de usuario si se revoca otro. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Para ver un diagrama que muestre la implementación necesaria si va a usar la autenticación basada en certificados para los usuarios o si necesita usar la entidad de certificación (CA) de su empresa para emitir los certificados de dispositivo, consulte Arquitectura de referencia para implementaciones locales.

Dos factores

LDAP + Certificado de cliente: En el entorno de XenMobile, esta configuración es la mejor combinación de seguridad y experiencia de usuario, con las posibilidades óptimas del inicio de sesión SSO, ligadas a la seguridad que ofrece la autenticación de dos factores en NetScaler. Al usar certificados de cliente y LDAP conjuntamente, la seguridad se basa en algo que los usuarios conocen (sus contraseñas de Active Directory) y en algo que poseen (certificados de cliente en sus dispositivos). Secure Mail (y otras aplicaciones móviles de productividad) puede configurar y proporcionar automáticamente una experiencia de primer uso perfecta junto con la autenticación de certificados de cliente, con un entorno de acceso al servidor Exchange configurado correctamente. Para una experiencia de uso óptima, puede combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.

LDAP + Token: Esta configuración permite la configuración clásica de credenciales LDAP y una contraseña de un solo uso, utilizando el protocolo RADIUS. Para una experiencia de uso óptima, puede combinar esta opción con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory.

Directivas, configuraciones y propiedades de cliente importantes necesarias para la autenticación

Las siguientes propiedades de cliente, configuraciones y directivas intervienen en las tres configuraciones recomendadas indicadas más adelante:

Directivas MDX

Código de acceso de aplicación: Cuando se establece en , se requiere un PIN o un código de acceso de Citrix para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un periodo de inactividad. El valor predeterminado es .

Para configurar el temporizador de inactividad para todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos, en la consola de XenMobile, desde la ficha Parámetros, en Propiedades de cliente. El valor predeterminado es de 15 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.

Nota:

Si selecciona Secure offline para la directiva Encryption keys, esta directiva se habilita automáticamente.

Sesión con conexión requerida: Cuando se establece en , el usuario debe contar con una sesión activa y una conexión a la red de la empresa para poder acceder a la aplicación presente en el dispositivo. Cuando se establece en No, no se requiere una sesión activa para poder acceder a la aplicación presente en el dispositivo. El valor predeterminado es No.

Periodo máximo sin conexión (horas): Define el período de tiempo máximo que una aplicación puede ejecutarse sin tener que volver a confirmar los derechos a utilizarla ni actualizar las directivas desde XenMobile. Cuando establece la directiva MDX “Periodo máximo sin conexión”, si Secure Hub para iOS tiene un token válido de NetScaler Gateway, la aplicación obtiene de XenMobile directivas nuevas para aplicaciones MDX sin interrupciones para los usuarios. En cambio, si Secure Hub no tiene un token válido de NetScaler, los usuarios deben autenticarse en Secure Hub para que se actualicen las directivas de las aplicaciones. El token de NetScaler puede dejar de ser válido debido a la inactividad en la sesión de NetScaler Gateway o a alguna directiva de tiempo de espera forzado para la sesión. Cuando los usuarios vuelvan a iniciar sesión en Secure Hub, podrán continuar ejecutando la aplicación.

Los usuarios reciben un recordatorio para que inicien sesión 30, 15 y 5 minutos antes de que acabe el período. Una vez se acabe el período, la aplicación se bloquea hasta que los usuarios inicien sesión. El valor predeterminado es 72 horas (3 días). El período de tiempo mínimo es 1 hora.

Nota:

Tenga en cuenta que, cuando los usuarios viajan con frecuencia y usan el roaming internacional, el valor predeterminado de 72 horas (3 días) puede ser demasiado corto.

Caducidad del tíquet de servicios en segundo plano: El período de validez que tiene un tíquet del servicio de red en segundo plano. Cuando Secure Mail se conecta a través de NetScaler Gateway a un servidor Exchange que ejecuta ActiveSync, XenMobile emite un token que Secure Mail usa para conectarse al servidor Exchange interno. Esta propiedad determina cuánto tiempo Secure Mail puede usar el token sin necesidad de uno nuevo para la autenticación y la conexión con Exchange Server. Cuando se alcanza el límite de tiempo, los usuarios deben volver a iniciar sesión para generar un nuevo token. El valor predeterminado es 168 horas (7 días). Cuando se agota este tiempo de espera, se interrumpen las notificaciones por correo.

Periodo de gracia para requerir sesión con conexión: Determina cuántos minutos puede un usuario utilizar una aplicación sin conexión, antes de que la directiva “Sesión con conexión requerida” le impida seguir utilizándola (hasta que la sesión con conexión sea validada). El valor predeterminado es 0 (no hay periodo de gracia).

Para obtener más información acerca de las directivas de autenticación del MDX Toolkit, consulte Directivas MDX de XenMobile para iOS y Directivas MDX de XenMobile para Android.

Propiedades de cliente XenMobile

Nota:

Las propiedades de cliente son una configuración global que se aplica a todos los dispositivos que se conectan a XenMobile.

PIN de Citrix: Para una experiencia sencilla de inicio de sesión, puede optar por habilitar el PIN de Citrix. Con el PIN, los usuarios no tienen que introducir repetidamente otras credenciales (como los nombres de usuario y las contraseñas de Active Directory). Puede configurar el PIN de Citrix como una autenticación independiente que solo funciona sin conexión. También puede combinar el PIN con el almacenamiento en caché de contraseñas de Active Directory para una usabilidad óptima y fluida. Configure el PIN de Citrix en Parámetros > Cliente > Propiedades de cliente en la consola de XenMobile.

A continuación dispone de un resumen con algunas propiedades importantes. Para obtener más información, consulte Propiedades de cliente.

ENABLE_PASSCODE_AUTH

Nombre simplificado: Enable Citrix PIN Authentication (Habilitar la autenticación con PIN de Citrix)

Esta clave permite activar la función de PIN de Citrix. Si se activa la función de PIN o código de acceso de Citrix, se solicita a los usuarios que definan un número PIN que se usará en lugar de su contraseña de Active Directory. Habilite esta configuración si la propiedad ENABLE_PASSWORD_CACHING está habilitada o si XenMobile usa la autenticación por certificado.

Valores posibles: true o false

De forma predeterminada: false

ENABLE_PASSWORD_CACHING

Nombre simplificado: Enable User Password Caching (Habilitar el almacenamiento en caché de la contraseña de usuario)

Esta clave permite que la contraseña de Active Directory de los usuarios se almacene en la memoria caché local del dispositivo móvil. Al establecer esta clave en true, se solicita a los usuarios que establezcan un PIN o un código de acceso de Citrix. El valor de la clave ENABLE_PASSCODE_AUTH debe establecerse en true cuando esta clave se establece en true.

Valores posibles: true o false

De forma predeterminada: false

PASSCODE_STRENGTH

Nombre simplificado: PIN Strength Requirement (Requisito de PIN seguro)

Esta clave define la seguridad del PIN o código de acceso de Citrix. Si cambia este parámetro, se solicitará a los usuarios que establezcan un nuevo PIN o código de acceso de Citrix la próxima vez que deban autenticarse.

Valores posibles: Low, Medium o Strong

Valor predeterminado: Medium

INACTIVITY_TIMER

Nombre simplificado: Inactivity Timer (Temporizador de inactividad)

Esta clave define el tiempo en minutos que los usuarios pueden dejar su dispositivo inactivo y luego acceder a una aplicación sin que se solicite un PIN o un código de acceso de Citrix. Si quiere habilitar esta configuración para una aplicación MDX, debe activar el parámetro “Código de acceso de aplicación”. Si el parámetro “Código de acceso de aplicación” está desactivado, se redirige a los usuarios a Secure Hub para una autenticación completa. Al cambiar este parámetro, el valor se aplicará la próxima vez que los usuarios deban autenticarse. El valor predeterminado es de 15 minutos.

ENABLE_TOUCH_ID_AUTH

Nombre simplificado: Enable Touch ID Authentication (Habilitar la autenticación Touch ID)

Permite el uso del lector de huellas dactilares (solo en iOS) para la autenticación sin conexión. La autenticación en línea aún requerirá el método de autenticación principal.

ENCRYPT_SECRETS_USING_PASSCODE

Nombre simplificado: Encrypt secrets using Passcode (Cifrar secretos mediante un código de acceso)

Esta clave permite que los datos confidenciales se almacenen en el dispositivo móvil, en un almacén secreto, en lugar de guardarse en un almacén nativo basado en la plataforma, como el llavero de iOS. Esta clave de configuración permite un cifrado seguro de los objetos clave, pero también agrega la entropía de usuario (un código PIN aleatorio generado por el usuario y que solo el usuario conoce).

Valores posibles: true o false

De forma predeterminada: false

Parámetros de NetScaler

Tiempo de desconexión de la sesión: Si se habilita esta configuración, NetScaler Gateway desconecta la sesión si no detecta ninguna actividad de red durante un intervalo especificado. Esta configuración se aplica a los usuarios que se conectan con NetScaler Gateway Plug-in, Citrix Receiver, Secure Hub, o mediante un explorador Web. El valor predeterminado es 1440 minutos. Si se establece este valor en cero, el parámetro queda inhabilitado.

Tiempo de espera forzado: Si habilita esta configuración, NetScaler Gateway desconecta la sesión una vez transcurrido el intervalo del tiempo de espera, independientemente de la actividad del usuario. No existe ninguna acción que el usuario pueda realizar para evitar que se produzca la desconexión cuando se agota el tiempo de espera. Esta configuración se aplica a los usuarios que se conectan con NetScaler Gateway Plug-in, Citrix Receiver, Secure Hub, o mediante un explorador Web. Si Secure Mail usa STA, un modo especial de NetScaler, el parámetro “Tiempo de espera forzado” no se aplica a las sesiones de Secure Mail. El valor predeterminado es 1440 minutos. Si deja este valor en blanco, la configuración se desactiva.

Para obtener más información acerca de los tiempos de espera en NetScaler Gateway, consulte la documentación de NetScaler Gateway.

Para obtener más información acerca de los casos en que se solicita a los usuarios que se autentiquen en XenMobile con credenciales en sus dispositivos, consulte Situaciones de petición de credenciales.

Parámetros predeterminados de configuración

Estas configuraciones son las predeterminadas en el Asistente de NetScaler para XenMobile, el MDX Toolkit y la consola de XenMobile.

Parámetro Dónde encontrar el parámetro Configuración predeterminada
Tiempo de desconexión de la sesión NetScaler Gateway 1440 minutos
Tiempo de espera forzado NetScaler Gateway 1440 minutos
Periodo máximo sin conexión Directivas MDX 72 horas
Caducidad del tíquet de servicios en segundo plano Directivas MDX 168 horas (7 días)
Sesión con conexión requerida Directivas MDX No
Periodo de gracia para requerir sesión con conexión Directivas MDX 0
Código de acceso de aplicación Directivas MDX
Encrypt secrets using Passcode Propiedades de cliente XenMobile falso
Enable Citrix PIN Authentication Propiedades de cliente XenMobile falso
PIN Strength Requirement Propiedades de cliente XenMobile Medio
PIN Type Propiedades de cliente XenMobile Numérico
Enable User Password Caching Propiedades de cliente XenMobile falso
Inactivity Timer Propiedades de cliente XenMobile 15
Enable Touch ID Authentication Propiedades de cliente XenMobile falso

Configuraciones recomendadas

En esta sección se ofrecen ejemplos de tres configuraciones de XenMobile, desde la configuración de seguridad más baja y la experiencia de usuario óptima, hasta la configuración de mayor seguridad y experiencia de usuario más intrusiva. El objetivo de estos ejemplos es proporcionarle puntos de referencia para decidir a qué altura de la escala quiere colocar su propia configuración. Tenga en cuenta que modificar estas configuraciones puede requerir que modifique otras configuraciones también. Por ejemplo, el “Periodo máximo sin conexión” siempre debe ser menor que “Session time-out” (Tiempo de desconexión de la sesión).

Nivel máximo de seguridad

Esta configuración ofrece el nivel más alto de seguridad, pero contiene inconvenientes significativos para la facilidad de uso.

       
Parámetro Dónde encontrar el parámetro Configuración recomendada Impacto en el comportamiento
Tiempo de desconexión de la sesión NetScaler Gateway 1440 Los usuarios introducen sus credenciales de Secure Hub solo cuando se necesita la autenticación en línea (cada 24 horas)
Tiempo de espera forzado NetScaler Gateway 1440 La autenticación en línea será estrictamente requerida cada 24 horas. La actividad no prolonga la vida de la sesión.
Periodo máximo sin conexión Directivas MDX 23 Requiere la actualización de la directiva cada día.
Caducidad del tíquet de servicios en segundo plano Directivas MDX 72 horas Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de NetScaler Gateway. En el caso de Secure Mail, aumentar el tiempo de espera de STA más del tiempo de espera de sesión evita que las notificaciones de correo dejen de recibirse sin solicitar al usuario si este no abre la aplicación antes de que se agote el tiempo de espera de la sesión.
Sesión con conexión requerida Directivas MDX No Garantiza una conexión de red válida y una sesión de NetScaler Gateway para usar aplicaciones.
Periodo de gracia para requerir sesión con conexión Directivas MDX 0 Sin periodo de gracia (si habilitó “Sesión con conexión requerida”).
Código de acceso de aplicación Directivas MDX Requerir código de acceso para la aplicación.
Encrypt secrets using Passcode Propiedades de cliente XenMobile true Una clave derivada de la entropía del usuario protege la caja fuerte.
Enable Citrix PIN Authentication Propiedades de cliente XenMobile true El PIN de Citrix simplifica la experiencia de autenticación del usuario.
PIN Strength Requirement Propiedades de cliente XenMobile Fuerte Altos requisitos de complejidad para la contraseña.
PIN Type Propiedades de cliente XenMobile Alfanumérico El PIN es una secuencia alfanumérica.
Enable Password Caching Propiedades de cliente XenMobile falso La contraseña de Active Directory no se almacena en caché y el PIN de Citrix se usará para las autenticaciones sin conexión.
Inactivity Timer Propiedades de cliente XenMobile 15 Si el usuario no usa Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión.
Enable Touch ID Authentication Propiedades de cliente XenMobile falso Inhabilita Touch ID para casos de autenticación sin conexión en iOS.

Nivel superior de seguridad

Con un enfoque más intermedio, esta configuración requiere que los usuarios se autentiquen más a menudo, cada 3 días a lo sumo (en lugar de 7), y ofrece una mayor seguridad. Esta mayor cantidad de autenticaciones bloquea el contenedor de datos más a menudo, lo que garantiza la seguridad de los datos cuando los dispositivos no están en uso.

       
Parámetro Dónde encontrar el parámetro Configuración recomendada Impacto en el comportamiento
Tiempo de desconexión de la sesión NetScaler Gateway 4320 Los usuarios introducen sus credenciales de Secure Hub solo cuando se necesita la autenticación en línea (cada 3 días)
Tiempo de espera forzado NetScaler Gateway Ningún valor Las sesiones se extenderán si hay alguna actividad.
Periodo máximo sin conexión Directivas MDX 71 Requiere la actualización de la directiva cada 3 días. La diferencia de hora es para permitir la actualización antes de que se agote el Tiempo de desconexión de la sesión (Session time-out).
Caducidad del tíquet de servicios en segundo plano Directivas MDX 168 horas Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de NetScaler Gateway. En el caso de Secure Mail, aumentar el tiempo de espera de STA más del tiempo de espera de sesión evita que las notificaciones de correo dejen de recibirse sin solicitar al usuario si este no abre la aplicación antes de que se agote el tiempo de espera de la sesión.
Sesión con conexión requerida Directivas MDX No Garantiza una conexión de red válida y una sesión de NetScaler Gateway para usar aplicaciones.
Periodo de gracia para requerir sesión con conexión Directivas MDX 0 Sin periodo de gracia (si habilitó “Sesión con conexión requerida”).
Código de acceso de aplicación Directivas MDX Requerir código de acceso para la aplicación.
Encrypt secrets using Passcode Propiedades de cliente XenMobile falso No se requiere entropía de usuario para cifrar la caja fuerte.
Enable Citrix PIN Authentication Propiedades de cliente XenMobile true El PIN de Citrix simplifica la experiencia de autenticación del usuario.
PIN Strength Requirement Propiedades de cliente XenMobile Medio Aplica reglas de complejidad media a la contraseña.
PIN Type Propiedades de cliente XenMobile Numérico El PIN es una secuencia numérica.
Enable Password Caching Propiedades de cliente XenMobile true El PIN del usuario se almacena en caché y protege la contraseña de Active Directory.
Inactivity Timer Propiedades de cliente XenMobile 30 Si el usuario no usa Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión.
Enable Touch ID Authentication Propiedades de cliente XenMobile true Permite Touch ID para casos de autenticación sin conexión en iOS.

Nivel alto de seguridad

Esta configuración, la más conveniente para los usuarios, proporciona una seguridad base.

       
Parámetro Dónde encontrar el parámetro Configuración recomendada Impacto en el comportamiento
Tiempo de desconexión de la sesión NetScaler Gateway 10080 Los usuarios introducen sus credenciales de Secure Hub solo cuando se necesita la autenticación en línea (cada 7 días)
Tiempo de espera forzado NetScaler Gateway Ningún valor Las sesiones se extenderán si hay alguna actividad.
Periodo máximo sin conexión Directivas MDX 167 Requiere una actualización de directivas por semana (cada 7 días). La diferencia de hora es para permitir la actualización antes de que se agote el Tiempo de desconexión de la sesión (Session time-out).
Caducidad del tíquet de servicios en segundo plano Directivas MDX 240 Tiempo de espera para STA, lo que permite sesiones duraderas sin token de sesión de NetScaler Gateway. En el caso de Secure Mail, aumentar el tiempo de espera de STA más del tiempo de espera de sesión evita que las notificaciones de correo dejen de recibirse sin solicitar al usuario si este no abre la aplicación antes de que se agote el tiempo de espera de la sesión.
Sesión con conexión requerida Directivas MDX No Garantiza una conexión de red válida y una sesión de NetScaler Gateway para usar aplicaciones.
Periodo de gracia para requerir sesión con conexión Directivas MDX 0 Sin periodo de gracia (si habilitó “Sesión con conexión requerida”).
Código de acceso de aplicación Directivas MDX Requerir código de acceso para la aplicación.
Encrypt secrets using Passcode Propiedades de cliente XenMobile falso No se requiere entropía de usuario para cifrar la caja fuerte.
Enable Citrix PIN Authentication Propiedades de cliente XenMobile true El PIN de Citrix simplifica la experiencia de autenticación del usuario.
PIN Strength Requirement Propiedades de cliente XenMobile Bajo Sin requisitos de complejidad para la contraseña
PIN Type Propiedades de cliente XenMobile Numérico El PIN es una secuencia numérica.
Enable Password Caching Propiedades de cliente XenMobile true El PIN del usuario se almacena en caché y protege la contraseña de Active Directory.
Inactivity Timer Propiedades de cliente XenMobile 90 Si el usuario no usa Secure Hub o las aplicaciones MDX durante este período de tiempo, se pide la autenticación sin conexión.
Enable Touch ID Authentication Propiedades de cliente XenMobile true Permite Touch ID para casos de autenticación sin conexión en iOS.

Uso de una autenticación de nivel superior

Algunas aplicaciones pueden requerir una autenticación mejorada (por ejemplo, un factor secundario de autenticación, como un token, o tiempos agresivos de desconexión de la sesión). Se puede controlar este método de autenticación a través de una directiva MDX. El método también requiere un servidor virtual independiente para controlar los métodos de autenticación (en el mismo dispositivo NetScaler o en varios).

Parámetro Dónde encontrar el parámetro Configuración recomendada Impacto en el comportamiento
NetScaler Gateway alternativo Directivas MDX Requiere el FQDN y el puerto del dispositivo NetScaler secundario. Permite la autenticación mejorada, controlada por las directivas de sesión y autenticación del dispositivo secundario de NetScaler.

Si un usuario abre una aplicación que inicia sesión en la instancia de NetScaler Gateway alternativo, todas las demás aplicaciones usarán esa instancia de NetScaler Gateway para la comunicación con la red interna. La sesión solo volverá a la instancia de menor seguridad de NetScaler Gateway cuando se agote su tiempo de espera en la instancia de NetScaler Gateway con seguridad mejorada.

Uso de sesión con conexión requerida

Para ciertas aplicaciones, como Secure Web, puede que le interese asegurarse de que los usuarios ejecuten una aplicación solo cuando tienen una sesión autenticada y mientras el dispositivo está conectado a una red. Esta directiva aplica esa opción y permite un periodo de gracia para que los usuarios puedan finalizar su trabajo.

Parámetro Dónde encontrar el parámetro Configuración recomendada Impacto en el comportamiento
Sesión con conexión requerida Directivas MDX Garantiza que el dispositivo está conectado y tiene un token de autenticación válido.
Periodo de gracia para requerir sesión con conexión Directivas MDX 15 Permite un periodo de gracia de 15 minutos antes de que el usuario ya no pueda usar las aplicaciones