Como proteger dados corporativos encerrando automaticamente sessões inativas em aplicações web do Microsoft 365 — incluindo configurações via Admin Center, SharePoint, PowerShell e Acesso Condicional.
Por que o Tempo Limite de Sessão Ociosa é uma Medida de Segurança Essencial?
Em ambientes corporativos modernos, os usuários acessam aplicações web do Microsoft 365 — Outlook, SharePoint, OneDrive, Word Online — a partir de uma variedade crescente de dispositivos: estações corporativas gerenciadas, notebooks pessoais, computadores compartilhados em salas de reunião ou até quiosques públicos. Enquanto a autenticação multifator protege o momento do login, ela não oferece qualquer garantia sobre o que acontece depois que a sessão é estabelecida.
Sessões abertas e abandonadas em navegadores representam um vetor de ataque direto: qualquer pessoa que obtenha acesso físico ou remoto ao dispositivo pode interagir com os dados sem qualquer barreira adicional. Isso é especialmente crítico em:
Dispositivos compartilhados (salas de treinamento, recepções, laboratórios)
Computadores pessoais de funcionários em home office sem controle de gestão de endpoint
Dispositivos não gerenciados (unmanaged devices) de prestadores de serviço ou parceiros com acesso temporário
O recurso de Tempo Limite de Sessão Ociosa (Idle Session Timeout) do Microsoft 365 encerra automaticamente as sessões de usuário após um período configurável de inatividade nos aplicativos web, exigindo nova autenticação para retomar o trabalho. É uma camada de defesa simples, mas com impacto direto na redução da superfície de exposição de dados.
Importante: O recurso de sessão ociosa não afeta aplicativos desktop (Outlook, Word, Excel instalados localmente) nem aplicativos móveis. Sua atuação é exclusiva nas versões web das aplicações.
Aplicativos Web Cobertos pela Política
A política de sessão ociosa aplica-se aos seguintes aplicativos web do Microsoft 365:
Outlook Web App (OWA)
OneDrive para Empresas (web)
SharePoint Online (web)
Microsoft Fabric
Microsoft365.com e páginas de início associadas
Aplicativos web do Microsoft 365 (Word, Excel e PowerPoint Online)
Centro de Administração do Microsoft 365
Portal do Microsoft 365 Defender
Portal do Microsoft Purview
Centro de Administração do SharePoint
Aplicativos fora dessa lista — como o cliente web do Microsoft Teams, o Planner, o Yammer e o Centro de Administração do Exchange — possuem mecanismos próprios de controle de sessão e não são alcançados por esta política. O Portal do Azure tem comportamento semelhante, porém gerenciado de forma independente dentro do próprio portal.
Permissões Necessárias para Configuração
A política de sessão ociosa é uma configuração de nível de tenant, ou seja, aplica-se globalmente a todos os usuários da organização quando ativada.
Ação
Função Mínima Necessária
Ativar o recurso pela primeira vez
Administrador Global
Desativar ou alterar o intervalo de tempo
Administrador de Segurança, Administrador de Aplicativos ou Administrador de Aplicativos de Nuvem
A Microsoft recomenda o princípio do menor privilégio (least privilege): utilize o Administrador Global apenas para a ativação inicial. Para ajustes e manutenção rotineira, delegue as funções menores listadas acima.
Opção 1: Configuração pelo Centro de Administração do Microsoft 365
Esta é a abordagem mais direta e cobre o conjunto mais amplo de aplicativos web da plataforma.
Passo a Passo
Acesse o Centro de Administração do Microsoft 365 em https://admin.microsoft.com com uma conta que possua as permissões adequadas.
No menu lateral, clique em Configurações > Configurações da Organização.
Selecione a aba Segurança e Privacidade.
Clique em Tempo limite de sessão ociosa (Idle session timeout).
Ative o alternador Ativar para definir o período de inatividade antes do encerramento da sessão dos usuários.
No menu suspenso, selecione o intervalo de tempo desejado. As opções predefinidas variam de poucos minutos a várias horas. Caso escolha Personalizado (em minutos), o valor deve estar entre 5 e 1440 minutos (equivalente a 24 horas).
Clique em Salvar.
A política leva alguns minutos para ser propagada pelo tenant e começa a valer para novas sessões após a ativação. Sessões já abertas no momento da configuração não são encerradas retroativamente.
Experiência do Usuário
Ao atingir o tempo de inatividade configurado, o usuário visualiza um aviso informando que a sessão está prestes a expirar, com a opção de clicar em Permanecer conectado para continuar. Caso não haja interação, o logout é executado automaticamente em todas as abas abertas do Microsoft 365 dentro daquela sessão de navegador.
O comportamento é por sessão de navegador: um usuário ativo no Microsoft Edge e inativo no Google Chrome será considerado inativo apenas na sessão do Chrome.
Comportamento e Exceções Importantes
Compreender os casos em que a política não encerra a sessão é fundamental para evitar falsas expectativas de segurança:
Quando o logout NÃO ocorre:
SSO a partir de dispositivo ingressado no domínio: Se o dispositivo autentica automaticamente via conta vinculada ao domínio corporativo (Hybrid Join ou Entra Join), o SSO reativa a sessão sem interação do usuário.
Usuário marcou “Permanecer conectado” no login: Caso o usuário tenha optado por manter a sessão ativa no momento da autenticação, a política de sessão ociosa não é aplicada. Para eliminar essa brecha, considere ocultar essa opção nas configurações de identidade visual (branding) da página de login no Microsoft Entra ID.
Dispositivos gerenciados com navegador compatível: Em dispositivos corporativos gerenciados (conformes com política Intune ou ingressados no domínio), usando Microsoft Edge ou Google Chrome com a extensão Microsoft Single Sign On, a política não encerra a sessão. Esse comportamento é intencional: a premissa é que dispositivos gerenciados já possuem outros mecanismos de proteção ativos (bloqueio de tela, BitLocker, EDR, etc.).
Cookies de terceiros desabilitados no navegador: O mecanismo de rastreamento de inatividade depende de cookies de terceiros. Quando esses cookies estão bloqueados, o recurso não funciona e nenhum aviso é exibido ao usuário. Mantenha a configuração de prevenção de rastreamento do Microsoft Edge em Balanceado (padrão) e não bloqueie cookies de terceiros nos demais navegadores.
Atividade em qualquer aba coberta: O temporizador de inatividade é compartilhado entre todas as abas de aplicativos Microsoft 365 abertas no mesmo navegador. Um usuário ativo no OWA em uma aba não será encerrado por inatividade no SharePoint em outra aba — a atividade em qualquer aplicativo coberto reinicia o contador.
Opção 2: Política de Acesso Condicional para Dispositivos Não Gerenciados
Por padrão, a política configurada no Admin Center aplica-se a todos os tipos de dispositivo, incluindo os corporativos gerenciados. Para restringir o encerramento de sessão ociosa apenas a dispositivos não gerenciados — e preservar a experiência dos usuários em estações corporativas — é necessário combinar a política do Admin Center com uma Política de Acesso Condicional no Microsoft Entra ID.
Pré-requisito de licença: Este cenário exige uma assinatura Microsoft Entra ID P1 ou P2 (inclusa no Microsoft 365 E3/E5 e disponível como add-on).
Criando a Política de Acesso Condicional
Acesse o Centro de Administração do Microsoft Entra em https://entra.microsoft.com.
Navegue até Proteção > Acesso Condicional > Políticas.
Clique em Nova política e defina um nome descritivo (ex: Encerramento de Sessão Ociosa - Dispositivos Não Gerenciados).
Em Usuários ou identidades de carga de trabalho, selecione Todos os usuários (ou o grupo-alvo desejado).
Em Aplicativos de nuvem ou ações, escolha Selecionar aplicativos e pesquise por Office 365. Selecione o aplicativo Office 365 e confirme.
Em Condições > Aplicativos cliente, defina Configurar como Sim e marque apenas Navegador. Clique em Concluído.
Em Sessão, selecione Usar restrições impostas pelo aplicativo e confirme.
Ative o estado da política como Ativo e clique em Criar.
Com essa política ativa, as restrições de sessão impostas pelo Office 365 (incluindo o timeout configurado no Admin Center) passam a ser aplicadas apenas quando o acesso ocorre via navegador em dispositivos não gerenciados. Dispositivos corporativos conformes ou ingressados no domínio continuam com experiência de sessão sem interrupção.
Atenção: A política de Acesso Condicional com “restrições impostas pelo aplicativo” depende que as configurações de timeout estejam definidas no Admin Center ou no SharePoint/Exchange. Sem essa base, a política de CA não tem efeito prático sobre o tempo de sessão.
Opção 3: Configuração Granular para SharePoint Online via PowerShell
Para cenários onde o controle de sessão ociosa é necessário exclusivamente para SharePoint Online e OneDrive, é possível utilizar o cmdlet Set-SPOBrowserIdleSignOut do módulo de gerenciamento do SharePoint Online. Essa abordagem oferece granularidade de configuração independente da política global do tenant.
Pré-requisito: Esta funcionalidade para dispositivos não gerenciados também exige Microsoft Entra ID P1 ou P2.
Instalação e Conexão
powershell
# Instalar o módulo de gerenciamento do SharePoint Online (se necessário)
A saída exibirá se o recurso está habilitado, o tempo de aviso e o tempo de encerramento configurados.
Habilitando o Tempo Limite de Sessão
powershell
# Aviso após 45 minutos de inatividade, logout automático após 60 minutos
Set-SPOBrowserIdleSignOut `
-Enabled $true `
-WarnAfter (New-TimeSpan -Minutes 45) `
-SignOutAfter (New-TimeSpan -Minutes 60)
Parâmetros:
-WarnAfter: define o tempo de inatividade após o qual o usuário recebe o aviso de encerramento iminente. Aceita New-TimeSpan em segundos, minutos ou horas.
-SignOutAfter: define o tempo total de inatividade após o qual o encerramento é executado, caso o usuário não interaja com o aviso. Obrigatoriamente maior que o valor de -WarnAfter.
A política leva aproximadamente 15 minutos para ser propagada pelo tenant após a execução do cmdlet. Sessões já abertas não são impactadas.
Verificando Após a Configuração
powershell
Get-SPOBrowserIdleSignOut
Desabilitando a Política
powershell
Set-SPOBrowserIdleSignOut -Enabled $false
Precedência entre as Políticas: O que Sobrescreve o quê?
A Microsoft mantém uma hierarquia clara entre as políticas de sessão ociosa:
Política
Escopo
Precedência
Idle Session Timeout (Admin Center)
Todos os apps web M365 listados
Mais alta — sobrescreve SharePoint e OWA
Idle Sign-Out do SharePoint Online (Admin Center SPO / PowerShell)
Apenas SharePoint e OneDrive
Substituída pela política global quando ativa
Política de sessão ociosa do Outlook Web App
Apenas OWA
Substituída pela política global quando ativa
Quando a política global do Admin Center está ativa, as políticas específicas do SharePoint e do OWA perdem efeito. A Microsoft planeja descontinuar essas políticas específicas. Configure a política unificada no Admin Center para garantir compatibilidade futura.
Considerações de Segurança Adicionais
Não confunda encerramento de sessão com revogação de token
O encerramento de sessão ociosa não invalida imediatamente os tokens de acesso ou de atualização (access tokens e refresh tokens) associados à sessão. A sessão no navegador é encerrada, mas tokens emitidos anteriormente podem ainda estar válidos no backend. Para cenários de alto risco — como suspeita de comprometimento de conta — utilize a revogação de sessão através do Microsoft Entra ID (Revogar tokens de sessão no perfil do usuário ou via PowerShell com Revoke-AzureADUserAllRefreshToken).
Oculte a opção “Permanecer conectado” no login
A efetividade da política de sessão ociosa é diretamente impactada quando usuários optam por manter a sessão ativa no login. Elimine essa variável configurando o branding da página de login para não exibir essa opção:
Acesse Microsoft Entra ID > Experiência do usuário > Identidade visual da empresa.
Em Mostrar opção de permanecer conectado, selecione Não.
Combine com outras políticas de proteção
O timeout de sessão ociosa é mais eficaz quando combinado com:
MFA obrigatório para todos os usuários via Acesso Condicional
Restrições de dispositivos não gerenciados (bloqueio de download em dispositivos sem conformidade)
Políticas de Proteção de Informações (Microsoft Purview) para rotular e proteger documentos sensíveis
Microsoft Entra ID Protection para detecção de logins de risco e revogação automática de sessões suspeitas
Comunicação com os Usuários
Antes de ativar a política, informe os usuários sobre o que mudará. O aviso exibido pelo sistema informa que a sessão está prestes a ser encerrada por inatividade — mas usuários não preparados podem interpretar isso como um erro do sistema, gerando chamados desnecessários ao suporte.
Recomendações:
Envie uma comunicação prévia explicando o propósito da política e o intervalo configurado
Oriente sobre o botão Permanecer conectado que aparecerá no aviso
Destaque que trabalhos não salvos em aplicativos web podem ser perdidos se o encerramento ocorrer sem interação — incentive o uso do salvamento automático
Alterando ou Removendo a Política
Via Admin Center
Acesse Configurações > Configurações da Organização > Segurança e Privacidade > Tempo limite de sessão ociosa.
Para alterar: selecione um novo valor no menu suspenso e clique em Salvar.
Para remover: desmarque a caixa Ativar para definir o período de inatividade e clique em Salvar.
Perguntas Frequentes
A política afeta dispositivos móveis? Não. A política aplica-se exclusivamente a sessões em navegadores web. Aplicativos nativos para iOS e Android não são impactados.
E se o usuário estiver ativo no Azure Portal mas inativo nos apps do Microsoft 365? O Azure Portal tem seu próprio mecanismo de timeout, gerenciado separadamente. A inatividade no Microsoft 365 pode encerrar a sessão nesses apps mesmo com o Azure Portal ativo, pois o rastreamento é independente. Ao ser ativado inicialmente, o timeout do Azure Portal herda o valor configurado no Admin Center, mas pode ser ajustado individualmente dentro do portal.
O que acontece com execuções longas no Microsoft Fabric Notebook? Em dispositivos não gerenciados onde a política está ativa, execuções interativas de longa duração no Fabric Notebook podem ser interrompidas se o usuário ficar inativo pelo tempo configurado. A Microsoft recomenda que o usuário permaneça ativo na sessão durante execuções longas ou utilize recursos de agendamento não interativo.
A política funciona com modo de navegação privada? Dispositivos gerenciados que normalmente estariam isentos do timeout serão afetados quando o usuário utilizar modo InPrivate (Edge) ou modo de navegação anônima (Chrome), pois nesses modos o estado de gerenciamento do dispositivo não é transmitido corretamente ao serviço.
Conclusão
O recurso de Tempo Limite de Sessão Ociosa é um controle de segurança de baixo custo operacional e alto impacto na proteção de dados acessados via web. Sua configuração leva menos de dois minutos pelo Admin Center, mas exige reflexão sobre a estratégia correta: se a política deve abranger todos os dispositivos ou apenas os não gerenciados, qual intervalo de tempo equilibra segurança e produtividade, e como garantir que a opção “Permanecer conectado” não anule a efetividade da medida.
Em ambientes com exigências regulatórias — como LGPD, ISO 27001 ou frameworks setoriais de proteção de dados — documentar essa configuração como parte do conjunto de controles técnicos implementados é tão importante quanto a configuração em si.
