Acesso condicional: fluxos de autenticação

O Microsoft Entra ID suporta uma ampla variedade de fluxos de autenticação e autorização para fornecer uma experiência perfeita em todos os tipos de aplicativos e dispositivos. Alguns desses fluxos de autenticação são de maior risco do que outros. Para fornecer mais controle sobre sua postura de segurança, estamos adicionando a capacidade de controlar determinados fluxos de autenticação ao Acesso Condicional. Esse controle começa com a capacidade de direcionar explicitamente o fluxo de código do dispositivo.

Fluxo de código do dispositivo

O fluxo de código do dispositivo é usado ao iniciar sessão em dispositivos que podem não ter entrada local, como dispositivos partilhados ou sinalização digital. O fluxo de código de dispositivo é um fluxo de autenticação de alto risco que pode ser usado como parte de um ataque de phishing ou para acessar recursos corporativos em dispositivos não gerenciados. Você pode configurar o controle de fluxo de código do dispositivo junto com outros controles em suas políticas de Acesso Condicional. Por exemplo, se o fluxo de código de dispositivo for usado para dispositivos de sala de conferência baseados em Android, você pode optar por bloquear o fluxo de código de dispositivo em todos os lugares, exceto para dispositivos Android em um local de rede específico.

Você só deve permitir o fluxo de código do dispositivo quando necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.

Transferência de autenticação

A transferência de autenticação é um novo fluxo que oferece uma maneira perfeita de transferir o estado autenticado de um dispositivo para outro. Por exemplo, os utilizadores podem receber um código QR na versão de ambiente de trabalho do Outlook que, quando digitalizado no seu dispositivo móvel, transfere o seu estado autenticado para o dispositivo móvel. Esse recurso fornece uma experiência de usuário simples e intuitiva que reduz o nível geral de atrito para os usuários.

Rastreamento de protocolo

Para garantir que as políticas de Acesso Condicional sejam aplicadas com precisão nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nestes casos, as sessões são consideradas rastreadas pelo protocolo. Todas as sessões controladas por protocolo estão sujeitas à aplicação de políticas, caso exista uma política. O estado de rastreamento do protocolo é mantido por meio de atualizações subsequentes. O fluxo de código não relacionado ao dispositivo ou os fluxos de transferência de autenticação podem estar sujeitos à imposição de políticas de fluxos de autenticação se a sessão for rastreada por protocolo.

Por exemplo:

1. Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
2. Você usa o fluxo de código do dispositivo para entrar no SharePoint, conforme permitido pela política configurada. Neste ponto, considera-se que a sessão está a ser rastreada pelo protocolo
3. Você tenta entrar no Exchange dentro do contexto da mesma sessão usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
4. Você está bloqueado pela política configurada devido ao estado rastreado do protocolo da sessão

Registros de início de sessão

Ao configurar uma política para restringir ou bloquear o fluxo de código de dispositivo, é importante entender se e como o fluxo de código de dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo apenas de relatório ou filtrar os registos de início de sessão para eventos de fluxo de código de dispositivo com o filtro protocolo de autenticação pode ajudar.

Para ajudar na solução de problemas de erros relacionados ao rastreamento de protocolo, adicionámos uma nova propriedade chamada método de transferência original à seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Esta propriedade exibe o estado de rastreamento de protocolo da solicitação em questão. Por exemplo, para uma sessão em que o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como Fluxo de código do dispositivo.

Aplicação de políticas de Fluxos de Autenticação no recurso do Serviço de Registro de Dispositivo

A partir do início de setembro de 2024, a Microsoft começará a aplicar políticas de fluxos de autenticação no Serviço de Registro de Dispositivos. Isso se aplicará apenas às políticas direcionadas a todos os recursos no seletor de recursos. Se a sua organização usa atualmente o Fluxo de Código de Dispositivo para fins de registo de dispositivos e tem uma política de fluxos de autenticação que abrange todos os recursos, necessitará de isentar o Recurso de Registo de Dispositivo do âmbito da sua política de Acesso Condicional para evitar qualquer impacto. Você pode encontrar o recurso Serviço de Registro de Dispositivo na opção Recursos de Destino presente na experiência de configuração da política de Acesso Condicional. Para isentar o Serviço de Registro de Dispositivo via UX de Acesso Condicional, precisará dirigir-se a Recursos de Destino -> -Selecione aplicações de nuvem excluídas ->. Para API, você precisará atualizar sua política excluindo a ID do Cliente para o Serviço de Registro de Dispositivo: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Se não tiver certeza se a sua organização utiliza o Fluxo de Código do Dispositivo em relação ao Serviço de Registo de Dispositivos, pode utilizar os logs de entrada do Microsoft Entra para verificar isso. Aí, pode filtrar pelo ID do cliente do Serviço de Registo de Dispositivo no filtro ID de Recurso e restringi-lo ao uso do Device Code Flow utilizando a opção código de dispositivo dentro do filtro Protocolo de Autenticação.

Resolução de bloqueios inesperados

Se tiver uma sessão bloqueada inesperadamente por uma política de Acesso Condicional, deve confirmar se esta foi uma política de fluxos de autenticação. Pode confirmar isto acedendo aos registos de início de sessão, clicando no início de sessão bloqueado e, em seguida, navegando para o separador Acesso Condicional no painel Detalhes da atividade: inícios de sessão. Se a política aplicada foi uma política de fluxos de autenticação, selecione a política para determinar com qual fluxo de autenticação correspondeu.

Se o fluxo do código do dispositivo foi identificado, mas não foi o fluxo utilizado para essa autenticação, isso significa que o token de atualização foi rastreado pelo protocolo. Você pode verificar esse caso clicando no login bloqueado e procurando pela propriedade Método de transferência original na parte Informações básicas do painel Detalhes da atividade: entradas .

Nota

Bloqueios devido a sessões rastreadas por protocolo são comportamentos esperados para esta política. Não há remediação recomendada.

Conteúdos relacionados

• Bloquear fluxos de autenticação com a política de Acesso Condicional
• Acesso Condicional: Condições