Autenticação de passagem direta do Microsoft Entra: Exploração técnica detalhada

Este artigo é uma visão geral de como funciona a autenticação de passagem do Microsoft Entra. Para obter informações técnicas e de segurança detalhadas, veja o artigo aprofundado de segurança .

Como funciona a autenticação de passagem do Microsoft Entra?

Observação

Como pré-requisito para que a Autenticação de Passagem Direta funcione, os utilizadores precisam ser provisionados para o Microsoft Entra ID a partir do Active Directory local usando o Microsoft Entra Connect. A autenticação de passagem não se aplica a utilizadores exclusivamente na nuvem.

Quando um usuário tenta entrar em um aplicativo protegido pela ID do Microsoft Entra e se a Autenticação de Passagem estiver habilitada no locatário, as seguintes etapas ocorrerão:

1. O usuário tenta acessar um aplicativo, por exemplo, Outlook Web App.
2. Se o utilizador ainda não tiver iniciado sessão, será redirecionado para a página de início de sessão do utilizador Microsoft Entra ID .
3. O utilizador introduz o seu nome de utilizador na página de início de sessão do Microsoft Entra e depois seleciona o botão Seguinte.
4. O utilizador introduz a sua palavra-passe na página de início de sessão do Microsoft Entra e, em seguida, seleciona o botão Iniciar sessão.
5. O Microsoft Entra ID, ao receber a solicitação para entrar, coloca o nome de usuário e a senha (criptografados usando a chave pública dos Agentes de Autenticação) em uma fila.
6. Um Agente de Autenticação local recupera o nome de usuário e a senha criptografada da fila. Observe que o Agente não verifica frequentemente solicitações da fila, mas recupera solicitações em uma conexão persistente predefinida.
7. O agente descriptografa a senha usando sua chave privada.
8. O agente valida o nome de usuário e a senha em relação ao Ative Directory usando APIs padrão do Windows, que é um mecanismo semelhante ao que os Serviços de Federação do Ative Directory (AD FS) usam. O nome de usuário pode ser o nome de usuário padrão local, geralmente userPrincipalName, ou outro atributo configurado no Microsoft Entra Connect (conhecido como Alternate ID).
9. O controlador de domínio (DC) do Ative Directory local avalia a solicitação e retorna a resposta apropriada (êxito, falha, senha expirada ou usuário bloqueado) para o agente.
10. O Agente de Autenticação, por sua vez, retorna essa resposta de volta para o ID do Microsoft Entra.
11. O Microsoft Entra ID avalia a resposta e responde ao usuário conforme apropriado. Por exemplo, o Microsoft Entra ID ou autentica imediatamente o utilizador ou solicita a autenticação multifatorial do Microsoft Entra.
12. Se o login do usuário for bem-sucedido, o usuário poderá acessar o aplicativo.

O diagrama a seguir ilustra todos os componentes e as etapas envolvidas:

Próximos passos

• Limitações atuais: Saiba quais cenários são suportados e quais não são.
• Início Rápido: Comece a usar a autenticação de passagem do Microsoft Entra.
• Migrar seus aplicativos para o Microsoft Entra ID: Recursos para ajudá-lo a migrar o acesso e a autenticação de aplicativos para o Microsoft Entra ID.
• Bloqueio Inteligente: Configure a funcionalidade de Bloqueio Inteligente na sua instância para proteger as contas de utilizador.
• Perguntas Frequentes: Encontre respostas para as perguntas frequentes.
• Solucionar problemas de: Saiba como resolver problemas comuns com o recurso de autenticação de passagem.
• Security Deep Dive: Receba informações técnicas detalhadas sobre o recurso de autenticação por passagem.
• Microsoft Entra associação híbrida: configure a capacidade de associação híbrida do Microsoft Entra no seu locatário para SSO em seus recursos na nuvem e locais.    
• Microsoft Entra SSO sem falhas: Saiba mais sobre este recurso complementar.
• UserVoice: Use o Fórum do Microsoft Entra para submeter novas solicitações de recursos.