Acesso Condicional: Fluxos de Autenticação (Versão prévia)
O Microsoft Entra ID oferece suporte a uma ampla variedade de fluxos de autenticação e autorização para fornecer uma experiência integrada em todos os tipos de aplicativos e dispositivos. Alguns desses fluxos de autenticação apresentam riscos maiores do que outros. Para aumentar o controle sobre sua postura de segurança, estamos adicionando a capacidade de controlar determinados fluxos de autenticação no Acesso Condicional. Esse controle começa com a capacidade de direcionar explicitamente o fluxo de código do dispositivo.
Fluxo de código do dispositivo
O fluxo de código de dispositivo é usado para fazer login em dispositivos que podem não ter dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. Esse é um fluxo de autenticação de alto risco que pode ser usado em ataques de phishing ou para acessar recursos corporativos em dispositivos não gerenciados. Você pode configurar o controle de fluxo de código do dispositivo junto com outros controles em suas políticas de Acesso Condicional. Por exemplo, se o fluxo de código de dispositivo for usado em dispositivos de sala de conferência baseados no Android, você poderá optar por bloquear esse fluxo em todos os lugares, exceto para dispositivos Android em um local de rede específico.
Você só deve permitir o fluxo de código do dispositivo onde for necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.
Transferência de autenticação
A transferência de autenticação é um novo fluxo que oferece uma maneira contínua de transferir o estado autenticado de um dispositivo para outro. Por exemplo, os usuários podem receber um código QR na versão para desktop do Outlook que, ao ser escaneado no seu dispositivo móvel, transfere o estado autenticado para o dispositivo móvel. Essa funcionalidade proporciona uma experiência de usuário simples e intuitiva que reduz o conflito geral para os usuários.
A capacidade de controlar a transferência de autenticação está em versão prévia, use a condição de Fluxos de autenticação no Acesso Condicional para gerenciar o recurso.
Rastreamento de protocolo
Para garantir que as políticas de Acesso Condicional sejam corretamente aplicadas nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nesses casos, as sessões são consideradas rastreadas por protocolo. Todas as sessões rastreadas por protocolo estarão sujeitas à imposição de políticas, caso existam. O estado de rastreamento de protocolo é preservado por meio de atualizações subsequentes. Fluxos de transferência de autenticação ou fluxos de código que não sejam de dispositivos podem estar sujeitos à imposição de políticas de fluxos de autenticação se a sessão for rastreada por protocolo.
Por exemplo:
- Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
- Você usa o fluxo de código do dispositivo para fazer login no SharePoint, conforme permitido pela política configurada. Neste ponto, a sessão é considerada rastreadas por protocolo
- Você tenta fazer login no Exchange no contexto da mesma sessão, usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
- Você é bloqueado pela política configurada devido ao estado "rastreado por protocolo" da sessão
Logs de entrada
Ao configurar uma política para restringir ou bloquear o fluxo de código do dispositivo, é importante compreender se e como o fluxo de código do dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo somente relatório ou filtrar os logs de entrada para eventos de fluxo de código de dispositivo com o filtro protocolo de autenticação pode ajudar.
Para facilitar a resolução de problemas de erros relacionados ao rastreamento de protocolos, adicionamos uma nova propriedade chamada método de transferência original na seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Essa propriedade exibe o estado do rastreamento de protocolo da solicitação em questão. Por exemplo, em uma sessão onde o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como Fluxo de código do dispositivo.
Imposição de políticas de fluxos de autenticação no recurso do Serviço de Registro de Dispositivos
Em setembro de 2024, a Microsoft começou a impor políticas de fluxos de autenticação no Serviço de Registro de Dispositivos. Isso se aplicará apenas às políticas direcionadas a todos os recursos no seletor de recursos. Se sua organização atualmente usa o Fluxo de Código de Dispositivos para fins de registro de dispositivos e possui uma política de fluxos de autenticação direcionadas a todos os recursos, será necessário isentar o Recurso de Registro de Dispositivos do escopo da sua política de acesso condicional para evitar possíveis problemas. Você pode encontrar o recurso do Serviço de Registro de Dispositivos na opção Recursos de Destino presente na experiência de configuração da política de Acesso Condicional. Para isentar o Serviço de Registro de Dispositivos por meio da UX de Acesso Condicional, você precisará acessarRecursos de Destino ->Excluir ->Selecionar aplicativos de nuvem excluídos ->Serviço de Registro de Dispositivos. Para a API, você precisará atualizar sua política excluindo a ID do cliente no Serviço de Registro de Dispositivos: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se você não tiver certeza se sua organização usa Fluxo de Código de Dispositivos em vez do Serviço de Registro de Dispositivos, você pode utilizar os Logs de entrada do Microsoft Entra para confirmar. Lá, você pode filtrar pelo ID do cliente do Serviço de Registro de Dispositivos no filtro de ID do recurso e restringi-lo ao uso do Fluxo de Código de Dispositivo utilizando a opção Código de dispositivo dentro do filtro Protocolo de Autenticação.
Solucionar problemas de bloqueios inesperados
Se você teve um login bloqueado de forma inesperada por uma política de Acesso Condicional, deve verificar se a política era de fluxos de autenticação. Para verificar, acesse os logs de entrada, clique no login que foi bloqueado e navegue até a aba Acesso Condicional no painel Detalhes da atividade: entradas. Se a política aplicada era de fluxos de autenticação, selecione a política para identificar qual fluxo de autenticação foi acionado.
Se o fluxo de código do dispositivo foi acionado, mas não foi o fluxo executado naquela entrada, isso significa que o token de atualização foi rastreado pelo protocolo. Você pode verificar isso clicando na entrada bloqueada e buscando pela propriedade Método de transferência original na seção Informações básicas do painel Detalhes da atividade: entradas.
Observação
Bloqueios devido a sessões rastreadas por protocolo são comportamento esperado para essa política. Não há correções recomendadas.