Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID admite varios flujos de autenticación y autorización para proporcionar una experiencia sin problemas en todos los tipos de aplicación y dispositivo. Algunos flujos de autenticación son más altos de riesgo que otros. Para proporcionarle más control sobre la posición de seguridad, el acceso condicional le permite controlar determinados flujos de autenticación. Este control comienza apuntando explícitamente a flujo de código de dispositivo.
Flujo de código de dispositivo
El flujo de código de dispositivo permite iniciar sesión en dispositivos que carecen de dispositivos de entrada locales, como dispositivos compartidos o señalización digital. El flujo de código de dispositivo es un método de autenticación de alto riesgo que puede formar parte de un ataque de suplantación de identidad (phishing) o que se usa para acceder a los recursos corporativos en dispositivos no administrados. Configure el control de flujo de código de dispositivo junto con otros controles en las directivas de acceso condicional. Por ejemplo, si se usa el flujo de código del dispositivo para dispositivos de sala de conferencias basados en Android, bloquee el flujo de código del dispositivo en todas partes, excepto los dispositivos Android en una ubicación de red específica.
Permitir el flujo de código del dispositivo solo cuando sea necesario. Microsoft recomienda bloquear el flujo de código de dispositivo siempre que sea posible.
Transferencia de autenticación
La transferencia de autenticación es un flujo que permite a los usuarios transferir sin problemas el estado autenticado de un dispositivo a otro. Por ejemplo, los usuarios pueden ver un código QR en la versión de escritorio de Outlook que, cuando se examina en su dispositivo móvil, transfiere su estado autenticado al dispositivo móvil. Esta funcionalidad proporciona una experiencia sencilla e intuitiva que reduce la fricción de los usuarios.
Seguimiento de protocolos
Para asegurarse de que las directivas de acceso condicional se aplican con precisión en los flujos de autenticación especificados, usamos la funcionalidad denominada seguimiento de protocolos. Este seguimiento se aplica a la sesión mediante el flujo de código del dispositivo o la transferencia de autenticación. En estos casos, las sesiones se consideran protocolo de seguimiento. Las sesiones con seguimiento de protocolo están sujetas a la aplicación de directivas si existe una directiva. El estado de seguimiento del protocolo se mantiene a través de actualizaciones posteriores, lo que significa que es posible que los flujos de transferencia de código que no sean de dispositivo o de transferencia de autenticación estén sujetos a la aplicación de directivas de flujos de autenticación.
Por ejemplo:
- Configure una directiva para bloquear el flujo de código del dispositivo en todas partes, excepto SharePoint.
- El flujo de código de dispositivo se usa para iniciar sesión en SharePoint, tal como lo permite la directiva configurada. En este momento, la sesión se considera de seguimiento por protocolo.
- Intente iniciar sesión en Exchange en el contexto de la misma sesión con cualquier flujo de autenticación, no solo con el flujo de código del dispositivo.
- La directiva configurada le ha bloqueado debido al estado de seguimiento del protocolo de la sesión.
Registros de inicio de sesión
Al configurar una directiva para restringir o bloquear el flujo de código de dispositivo, es importante comprender si y cómo se usa el flujo de código de dispositivo en la organización. La creación de una directiva de acceso condicional en modo de solo informe o el filtrado de los registros de inicio de sesión para los eventos de flujo de código del dispositivo con el filtro del protocolo de autenticación puede servir de ayuda.
Para ayudar a solucionar problemas de errores relacionados con el seguimiento de protocolos, hemos agregado una nueva propiedad denominada método de transferencia original a la sección de detalles de actividad de los registros de inicio de sesión de acceso condicional. Esta propiedad muestra el estado de seguimiento del protocolo de la solicitud en cuestión. Por ejemplo, para una sesión en la que se realizó el flujo de código del dispositivo anteriormente, el método de transferencia original se establece en Flujo de código de dispositivo.
Aplicación de políticas de flujos de autenticación en el recurso de servicio de registro de dispositivos
A partir de principios de septiembre de 2024, Microsoft comenzó a aplicar directivas de flujos de autenticación en el servicio de registro de dispositivos. Esto solo se aplica a las directivas que tienen como destino todos los recursos del selector de recursos. Si su organización usa actualmente El flujo de código de dispositivo con fines de registro de dispositivos y tiene una directiva de flujos de autenticación destinada a todos los recursos, debe excluir el recurso de registro de dispositivos del ámbito de la directiva de acceso condicional para evitar el impacto. Puede encontrar el recurso del Servicio de registro de dispositivos en la opción Recursos de Destino presente dentro de la experiencia de configuración de la directiva de acceso condicional. Para excluir el Servicio de Registro de Dispositivos a través de la experiencia de usuario de acceso condicional, debe ir a Recursos de destino>Excluir>Seleccionar aplicaciones en la nube excluidas>Servicio de Registro de Dispositivos. Para la API, debe actualizar la política excluyendo el ID de cliente del servicio de registro de dispositivos: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Si no está seguro de si su organización usa el Flujo de Código del Dispositivo contra el Servicio de Registro de Dispositivos, puede usar los registros de inicio de sesión de Microsoft Entra para comprobarlo. Allí, puede filtrar el identificador de cliente del servicio de registro de dispositivos en el filtro ID de recurso, y limitarlo al uso del flujo de código de dispositivo mediante la opción código de dispositivo dentro del filtro protocolo de autenticación.
Solución de problemas de bloques inesperados
Si tiene un inicio de sesión bloqueado inesperadamente por una directiva de acceso condicional, o si ha cerrado sesión inesperadamente en un dispositivo, debe confirmar si la causa principal era una directiva de flujos de autenticación. Para ello, vaya a los registros de inicio de sesión, haga clic en el inicio de sesión bloqueado y, a continuación, vaya a la pestaña Acceso condicional en el panel Detalles de la actividad: inicios de sesión . Si la directiva aplicada era una directiva de flujos de autenticación, seleccione la directiva para determinar qué flujo de autenticación coincide.
Si el flujo de código de dispositivo coincidía pero el flujo de código de dispositivo no era el flujo realizado para ese inicio de sesión, el token de actualización se rastreaba por protocolo. Para comprobar este caso, haga clic en el inicio de sesión bloqueado y busque la propiedad Método de transferencia original en la parte Información básica del panel Detalles de la actividad: inicios de sesión . Si la directiva configurada se aplica a todas las aplicaciones, también puede determinar un error relacionado con el seguimiento de protocolos buscando el siguiente código de error y mensaje: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted..
Nota
Los bloques debidos a sesiones con seguimiento de protocolos son el comportamiento esperado para esta directiva. El impacto posible puede incluir aspectos como no poder acceder a ciertos recursos o completar el cierre de sesión del dispositivo. No hay ninguna corrección recomendada cuando la directiva está en el estado enabled. Si la directiva se ha establecido en disabled o report-only, es posible que tenga que obtener un nuevo token para volver a usar el dispositivo.