Autenticação de passagem do Microsoft Entra: aprofundamento técnico

Este artigo é uma visão geral de como funciona a autenticação de passagem do Microsoft Entra. Para obter informações técnicas e de segurança aprofundadas, veja o artigo Aprofundamento sobre segurança.

Como funciona a autenticação de passagem do Microsoft Entra?

Observação

Como um pré-requisito para que a autenticação de passagem funcione, os usuários precisam ser provisionados na ID do Microsoft Entra por meio do Active Directory local usando o Microsoft Entra Connect. A Autenticação de Passagem não aplica-se a usuários somente de nuvem.

Quando um usuário tenta entrar em um aplicativo protegido pela ID do Microsoft Entra e se a autenticação de passagem está habilitada no locatário, ocorrem as seguintes etapas:

1. O usuário tenta acessar um aplicativo, por exemplo, Outlook Web App.
2. Se o usuário ainda não tiver entrado, ele será redirecionado para a página Entrada de Usuário da ID do Microsoft Entra.
3. O usuário insere o nome de usuário na página de entrada do Microsoft Entra e seleciona o botão Avançar.
4. O usuário insere a senha na página de entrada do Microsoft Entra e seleciona o botão Entrar.
5. Ao receber a solicitação de entrada, a ID do Microsoft Entra coloca o nome de usuário e a senha (criptografados por meio da chave pública dos Agentes de Autenticação) em uma fila.
6. Um Agente de Autenticação local recupera o nome de usuário e a senha criptografada da fila. Observe que o Agente não realiza com frequência uma sondagem por solicitações da fila, mas recupera as solicitações por uma conexão persistente pré-estabelecida.
7. O agente descriptografa a senha usando sua chave privada.
8. Em seguida, o agente valida o nome de usuário e a senha no Active Directory usando APIs padrão do Windows, que é um mecanismo semelhante ao usado pelos Serviços de Federação do Active Directory (AD FS). O nome de usuário pode ser o nome de usuário local padrão, normalmente userPrincipalName, ou outro atributo configurado no Microsoft Entra Connect (conhecido como Alternate ID).
9. Em seguida, o DC (Controlador de Domínio) do Active Directory local avalia a solicitação e retorna a resposta apropriada (êxito, falha, senha expirada ou usuário bloqueado) para o agente.
10. O Agente de Autenticação, por sua vez, retorna essa resposta à ID do Microsoft Entra.
11. A ID do Microsoft Entra avalia a resposta e responde ao usuário, conforme apropriado. Por exemplo, a ID do Microsoft Entra conecta o usuário imediatamente ou solicita a autenticação multifator do Microsoft Entra.
12. Se a entrada do usuário for bem-sucedida, ele será capaz de acessar o aplicativo.

O diagrama a seguir ilustra a todos os componentes e as etapas envolvidas:

Próximas etapas

• Limitações atuais: saiba quais cenários têm suporte e quais não têm.
• Início Rápido: comece a executar a autenticação de passagem do Microsoft Entra.
• Migrar seus aplicativos para a ID do Microsoft Entra: recursos para ajudar você a migrar o acesso e a autenticação do aplicativo para a ID do Microsoft Entra.
• Bloqueio Inteligente: configure a capacidade de Bloqueio Inteligente no seu locatário para proteger as contas de usuário.
• Perguntas frequentes: encontre respostas para perguntas frequentes.
• Solução de problemas: saiba como resolver problemas comuns com o recurso de Autenticação de Passagem.
• Aprofundamento em segurança: obtenha informações técnicas avançadas sobre o recurso de Autenticação de passagem.
• Ingresso híbrido do Microsoft Entra: configure o recurso de ingresso híbrido do Microsoft Entra em seu locatário para SSO em seus recursos locais e na nuvem.    
• SSO contínuo do Microsoft Entra: saiba mais sobre esse recurso complementar.
• UserVoice: use o Fórum do Microsoft Entra para enviar solicitações de novos recursos.