Acceso condicional: flujos de autenticación

Microsoft Entra ID admite una amplia variedad de flujos de autenticación y autorización para proporcionar una experiencia sin problemas en todos los tipos de aplicaciones y dispositivos. Algunos de estos flujos de autenticación son más altos que otros. Para proporcionar más control sobre la posición de seguridad, estamos agregando la capacidad de controlar determinados flujos de autenticación al acceso condicional. Este control comienza con la capacidad de establecer como destino explícitamente flujo de código de dispositivo.

Flujo de código de dispositivo

El flujo de código de dispositivo se usa al iniciar sesión en dispositivos que podrían carecer de dispositivos de entrada locales, como dispositivos compartidos o señalización digital. El flujo de código de dispositivo es un flujo de autenticación de alto riesgo que se puede usar como parte de un ataque de suplantación de identidad (phishing) o para acceder a los recursos corporativos en dispositivos no administrados. Puede configurar el control de flujo de código del dispositivo junto con otros controles de las Directivas de acceso condicional. Por ejemplo, si se usa el flujo de código del dispositivo para dispositivos de sala de conferencias basados en Android, puede optar por bloquear el flujo de código del dispositivo en todas partes, excepto para dispositivos Android en una ubicación de red específica.

Solo debe permitir el flujo de código de dispositivo cuando sea necesario. Microsoft recomienda bloquear el flujo de código de dispositivo siempre que sea posible.

Transferencia de autenticación

La transferencia de autenticación es un nuevo flujo que ofrece una manera perfecta de transferir el estado autenticado de un dispositivo a otro. Por ejemplo, los usuarios podrían presentar un código QR dentro de la versión de escritorio de Outlook que, cuando se digitaliza en su dispositivo móvil, transfiere su estado autenticado al dispositivo móvil. Esta capacidad proporciona una experiencia de usuario sencilla e intuitiva que reduce el nivel general de fricción para los usuarios.

Seguimiento de protocolos

Para asegurarse de que las directivas de acceso condicional se aplican con precisión en los flujos de autenticación especificados, usamos la funcionalidad denominada seguimiento de protocolos. Este seguimiento se aplica a la sesión mediante el flujo de código del dispositivo o la transferencia de autenticación. En estos casos, las sesiones se consideran protocolo de seguimiento. Las sesiones con seguimiento de protocolo están sujetas a la aplicación de directivas si existe una directiva. El estado de seguimiento del protocolo se mantiene a través de actualizaciones posteriores. Los flujos de transferencia de código sin dispositivo o de transferencia de autenticación pueden estar sujetos a la aplicación de directivas de flujos de autenticación si se realiza un seguimiento del protocolo de sesión.

Por ejemplo:

1. Configure una directiva para bloquear el flujo de código del dispositivo en todas partes, excepto SharePoint.
2. El flujo de código de dispositivo se usa para iniciar sesión en SharePoint, tal como lo permite la directiva configurada. En este momento, la sesión se considera protocolo de seguimiento
3. Intenta iniciar sesión en Exchange en el contexto de la misma sesión con cualquier flujo de autenticación no solo en el flujo de código del dispositivo.
4. Está bloqueado por la directiva configurada debido al estado de seguimiento del protocolo de la sesión.

Registros de inicio de sesión

Al configurar una directiva para restringir o bloquear el flujo de código de dispositivo, es importante comprender si y cómo se usa el flujo de código de dispositivo en la organización. Crear una directiva de acceso condicional en modo de solo informe o filtrar los registros de inicio de sesión para eventos de flujo de código de dispositivo con el filtro de protocolo de autenticación puede ayudar.

Para ayudar en la solución de problemas de errores relacionados con el seguimiento de protocolos, hemos agregado una nueva propiedad denominada método de transferencia original a la sección de detalles de actividad de del acceso condicional registros de inicio de sesión. Esta propiedad muestra el estado de seguimiento del protocolo de la solicitud en cuestión. Por ejemplo, para una sesión en la que se realizó el flujo de código del dispositivo anteriormente, elmétodo de transferencia original se establece en Flujo de código del dispositivo.

Aplicación de directivas de flujos de autenticación en el recurso de servicio de registro de dispositivos

A partir de principios de septiembre de 2024, Microsoft comenzará a aplicar directivas de flujos de autenticación en el servicio de registro de dispositivos. Esto solo se aplicará a las directivas que tienen como destino todos los recursos del selector de recursos. Si su organización usa actualmente el flujo de códigos de dispositivos para el registro de dispositivos y tiene una directiva de flujos de autenticación dirigida a todos los recursos, tendrá que eximir el recurso de registro de dispositivos del ámbito de su directiva de acceso condicional para evitar el impacto. Encontrará el recurso Servicio de registro de dispositivos en la opción Recursos de destino presente dentro de la experiencia de configuración de directivas de acceso condicional. Para eximir el Servicio de registro de dispositivos a través de la experiencia de usuario de acceso condicional, deberá ir a Recursos de destino ->Excluir ->Seleccionar aplicaciones en la nube excluidas ->Servicio de registro de dispositivos. Para la API, deberá actualizar su directiva excluyendo el id. de cliente para el Servicio de registro de dispositivos: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Si no está seguro de si su organización usa el flujo de códigos de dispositivos con el Servicio de registro de dispositivos, puede usar los registros de Inicio de sesión de Microsoft Entra para determinarlo. Allí, puede filtrar por el id. de cliente del Servicio de registro de dispositivos en el filtro Id. de recurso, y limitarlo a la utilización del flujo de código de dispositivos usando la opción Código de dispositivo dentro del filtro Protocolo de autenticación.

Solución de problemas de bloques inesperados

Si tiene un inicio de sesión bloqueado inesperadamente por una directiva de acceso condicional, debe confirmar si la directiva era una directiva de flujos de autenticación. Para ello, vaya a registros de inicio de sesión, haga clic en el inicio de sesión bloqueado y, a continuación, vaya a la pestaña acceso condicional en los detalles de la actividad : inicios de sesión panel. Si la directiva aplicada era una directiva de flujos de autenticación, seleccione la directiva para determinar qué flujo de autenticación coincide.

Si el flujo de código del dispositivo coincide, pero el flujo de código del dispositivo no era el flujo realizado para ese inicio de sesión, significa que se realizó un seguimiento del token de actualización. Para comprobar este caso, haga clic en el inicio de sesión bloqueado y busque la propiedad Método de transferencia original de la información básica parte de los detalles de la actividad de : inicios de sesión panel.

Nota

Los bloques debidos a sesiones con seguimiento de protocolos son el comportamiento esperado para esta directiva. No hay ninguna corrección recomendada.

Contenido relacionado

• Bloqueo de la autenticación heredada en Azure AD con acceso condicional
• Acceso condicional: Condiciones