Acesso condicional: fluxos de autenticação (visualização)
O Microsoft Entra ID suporta uma ampla variedade de fluxos de autenticação e autorização para fornecer uma experiência perfeita em todos os tipos de aplicativos e dispositivos. Alguns desses fluxos de autenticação são de maior risco do que outros. Para fornecer mais controle sobre sua postura de segurança, estamos adicionando a capacidade de controlar determinados fluxos de autenticação ao Acesso Condicional. Esse controle começa com a capacidade de direcionar explicitamente o fluxo de código do dispositivo.
Fluxo de código do dispositivo
O fluxo de código do dispositivo é usado ao entrar em dispositivos que podem não ter dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. O fluxo de código de dispositivo é um fluxo de autenticação de alto risco que pode ser usado como parte de um ataque de phishing ou para acessar recursos corporativos em dispositivos não gerenciados. Você pode configurar o controle de fluxo de código do dispositivo junto com outros controles em suas políticas de Acesso Condicional. Por exemplo, se o fluxo de código de dispositivo for usado para dispositivos de sala de conferência baseados em Android, você pode optar por bloquear o fluxo de código de dispositivo em todos os lugares, exceto para dispositivos Android em um local de rede específico.
Você só deve permitir o fluxo de código do dispositivo quando necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.
Transferência de autenticação
A transferência de autenticação é um novo fluxo que oferece uma maneira perfeita de transferir o estado autenticado de um dispositivo para outro. Por exemplo, os utilizadores podem receber um código QR na versão de ambiente de trabalho do Outlook que, quando digitalizado no seu dispositivo móvel, transfere o seu estado autenticado para o dispositivo móvel. Esse recurso fornece uma experiência de usuário simples e intuitiva que reduz o nível geral de atrito para os usuários.
A capacidade de controlar a transferência de autenticação está em pré-visualização usar a condição Fluxos de autenticação no Acesso Condicional para gerenciar o recurso.
Rastreamento de protocolo
Para garantir que as políticas de Acesso Condicional sejam aplicadas com precisão nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nestes casos, as sessões são consideradas protocolo rastreado. Todas as sessões controladas por protocolo estão sujeitas à aplicação de políticas, caso exista uma política. O estado de rastreamento do protocolo é mantido por meio de atualizações subsequentes. O fluxo de código não relacionado ao dispositivo ou os fluxos de transferência de autenticação podem estar sujeitos à imposição de políticas de fluxos de autenticação se a sessão for rastreada por protocolo.
Por exemplo:
- Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
- Você usa o fluxo de código do dispositivo para entrar no SharePoint, conforme permitido pela política configurada. Neste ponto, a sessão é considerada protocolo rastreado
- Você tenta entrar no Exchange dentro do contexto da mesma sessão usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
- Você está bloqueado pela política configurada devido ao estado rastreado do protocolo da sessão
Registos de início de sessão
Ao configurar uma política para restringir ou bloquear o fluxo de código de dispositivo, é importante entender se e como o fluxo de código de dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo somente relatório ou filtrar os logs de entrada para eventos de fluxo de código de dispositivo com o filtro de protocolo de autenticação pode ajudar.
Para ajudar na solução de problemas de erros relacionados ao rastreamento de protocolo, adicionamos uma nova propriedade chamada método de transferência original à seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Esta propriedade exibe o estado de rastreamento de protocolo da solicitação em questão. Por exemplo, para uma sessão em que o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como Fluxo de código do dispositivo.
Solução de problemas de blocos inesperados
Se tiver um início de sessão bloqueado inesperadamente por uma política de Acesso Condicional, deve confirmar se a política era uma política de fluxos de autenticação. Pode fazer esta confirmação acedendo aos registos de início de sessão, clicando no início de sessão bloqueado e, em seguida, navegando para o separador Acesso Condicional no painel Detalhes da atividade: início de sessão . Se a política imposta foi uma política de fluxos de autenticação, selecione a política para determinar qual fluxo de autenticação foi correspondido.
Se o fluxo de código de dispositivo foi correspondido, mas o fluxo de código de dispositivo não foi o fluxo executado para essa entrada, isso significa que o token de atualização foi rastreado pelo protocolo. Você pode verificar esse caso clicando no login bloqueado e procurando pela propriedade Método de transferência original na parte Informações básicas do painel Detalhes da atividade: entradas .
Nota
Blocos devido a sessões controladas por protocolo são comportamento esperado para esta política. Não há remediação recomendada.
Conteúdos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários