Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A ID do Microsoft Entra dá suporte a vários fluxos de autenticação e autorização para fornecer uma experiência perfeita em todos os tipos de aplicativo e dispositivo. Alguns fluxos de autenticação são de maior risco do que outros. Para dar mais controle sobre sua postura de segurança, o Acesso Condicional permite controlar determinados fluxos de autenticação. Esse controle começa com o direcionamento explícito do fluxo de código do dispositivo.
Fluxo de código do dispositivo
O fluxo de código do dispositivo permite que você entre em dispositivos que não têm dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. O fluxo de código do dispositivo é um método de autenticação de alto risco que pode fazer parte de um ataque de phishing ou usado para acessar recursos corporativos em dispositivos não gerenciados. Configure o controle de fluxo de código do dispositivo junto com outros controles nas políticas de Acesso Condicional. Por exemplo, se o fluxo de código do dispositivo for usado para dispositivos de sala de conferência baseados em Android, bloqueie o fluxo de código do dispositivo em todos os lugares, exceto para dispositivos Android em um local de rede específico.
Permitir o fluxo de código do dispositivo somente quando necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.
Transferência de autenticação
A transferência de autenticação é um fluxo que permite que os usuários transfiram diretamente o estado autenticado de um dispositivo para outro. Por exemplo, os usuários podem ver um código QR na versão da área de trabalho do Outlook que, quando verificado em seu dispositivo móvel, transfere seu estado autenticado para o dispositivo móvel. Essa funcionalidade fornece uma experiência simples e intuitiva que reduz o atrito para os usuários.
Rastreamento de protocolo
Para garantir que as políticas de Acesso Condicional sejam corretamente aplicadas nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nesses casos, as sessões são consideradas rastreadas por protocolo. Todas as sessões rastreadas por protocolo estarão sujeitas à imposição de políticas, caso existam. O estado de acompanhamento de protocolo é mantido através de atualizações subsequentes, o que significa que é possível que fluxos de transferência de autenticação ou fluxos que não são baseados em código de dispositivo estejam sujeitos à aplicação de políticas de fluxos de autenticação.
Por exemplo:
- Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
- Você usa o fluxo de código do dispositivo para fazer login no SharePoint, conforme permitido pela política configurada. Neste ponto, a sessão é considerada acompanhada pelo protocolo.
- Você tenta fazer login no Exchange no contexto da mesma sessão, usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
- Você está bloqueado pela política configurada devido ao estado da sessão monitorado pelo protocolo.
Logs de entrada
Ao configurar uma política para restringir ou bloquear o fluxo de código do dispositivo, é importante compreender se e como o fluxo de código do dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo somente relatório ou filtrar os logs de entrada para eventos de fluxo de código de dispositivo com o filtro protocolo de autenticação pode ajudar.
Para ajudar na solução de problemas de erros relacionados ao rastreamento de protocolos, adicionamos uma nova propriedade chamada método de transferência original à seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Essa propriedade exibe o estado do rastreamento de protocolo da solicitação em questão. Por exemplo, para uma sessão na qual o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como fluxo de código do dispositivo.
Aplicação de políticas de fluxos de autenticação no recurso do Serviço de Registro de Dispositivos
A partir do início de setembro de 2024, a Microsoft começou a impor políticas de fluxos de autenticação no Serviço de Registro de Dispositivo. Isso se aplica apenas a políticas direcionadas a todos os recursos no seletor de recursos. Se sua organização atualmente usa o Fluxo de Código do Dispositivo para fins de registro de dispositivo e você tem uma política de fluxos de autenticação direcionada a todos os recursos, você precisa isentar o Recurso de Registro de Dispositivo do escopo da política de Acesso Condicional para evitar o impacto. Você pode encontrar o recurso do Serviço de Registro de Dispositivo na opção Recursos de Destino presente na experiência de configuração da política de Acesso Condicional. Para isentar o Serviço de Registro de Dispositivos por meio da interface de Acesso Condicional, você deve ir em Recursos de destino>Excluir>Selecionar aplicativos em nuvem excluídos>Serviço de Registro de Dispositivos. Para a API, você precisa atualizar sua política excluindo a ID do cliente para o Serviço de Registro de Dispositivo: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se você não tem certeza se sua organização utiliza o Fluxo de Código do Dispositivo com o Serviço de Registro do Dispositivos, pode usar os logs de entrada do Microsoft Entra para verificar. Lá, você pode filtrar a ID do cliente do Serviço de Registro de Dispositivo no filtro ID do Recurso e restringi-la ao uso do Fluxo de Código do Dispositivo utilizando a opção Código do dispositivo no filtro Protocolo de Autenticação.
Solucionar problemas de bloqueios inesperados
Se você tiver uma entrada bloqueada inesperadamente por uma política de Acesso Condicional ou estiver inesperadamente desconectada de um dispositivo, confirme se a causa raiz foi uma política de fluxos de autenticação. Para verificar, acesse os logs de entrada, clique no login que foi bloqueado e navegue até a aba Acesso Condicional no painel Detalhes da atividade: entradas. Se a política imposta for uma política de fluxos de autenticação, selecione a política para determinar qual fluxo de autenticação foi correspondido.
Se o fluxo de código do dispositivo foi identificado, mas não foi o fluxo executado para esse logon, o token de atualização foi rastreado pelo protocolo. Você pode verificar isso clicando na entrada bloqueada e buscando pela propriedade Método de transferência original na seção Informações básicas do painel Detalhes da atividade: entradas. Se a política configurada for aplicada a todos os aplicativos, você também poderá determinar um erro relacionado ao rastreamento de protocolo pesquisando o seguinte código de erro e mensagem: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted..
Observação
Bloqueios devido a sessões rastreadas por protocolo são comportamento esperado para essa política. O impacto possível pode incluir a impossibilidade de acessar certos recursos ou a conclusão da desconexão do dispositivo. Não há uma recomendação de remediação quando a política está no estado enabled. Se a política tiver sido definida para disabled ou report-only, talvez seja necessário obter um novo token para usar o dispositivo novamente.