Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A ID do Microsoft Entra dá suporte a vários fluxos de autenticação e autorização para fornecer uma experiência perfeita em todos os tipos de aplicativo e dispositivo. Alguns fluxos de autenticação são de maior risco do que outros. Para dar mais controle sobre sua postura de segurança, o Acesso Condicional permite controlar determinados fluxos de autenticação. Esse controle começa com o direcionamento explícito do fluxo de código do dispositivo.
Fluxo de código do dispositivo
O fluxo de código do dispositivo permite que você entre em dispositivos que não têm dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. O fluxo de código do dispositivo é um método de autenticação de alto risco que pode fazer parte de um ataque de phishing ou usado para acessar recursos corporativos em dispositivos não gerenciados. Configure o controle de fluxo de código do dispositivo junto com outros controles nas políticas de Acesso Condicional. Por exemplo, se o fluxo de código do dispositivo for usado para dispositivos de sala de conferência baseados em Android, bloqueie o fluxo de código do dispositivo em todos os lugares, exceto para dispositivos Android em um local de rede específico.
Permitir o fluxo de código do dispositivo somente quando necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.
Transferência de autenticação
A transferência de autenticação é um fluxo que permite que os usuários transfiram diretamente o estado autenticado de um dispositivo para outro. Por exemplo, os usuários podem ver um código QR na versão da área de trabalho do Outlook que, quando verificado em seu dispositivo móvel, transfere seu estado autenticado para o dispositivo móvel. Essa funcionalidade fornece uma experiência simples e intuitiva que reduz o atrito para os usuários.
Rastreamento de protocolo
Para garantir que as políticas de Acesso Condicional sejam corretamente aplicadas nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nesses casos, as sessões são consideradas rastreadas por protocolo. Todas as sessões rastreadas por protocolo estarão sujeitas à imposição de políticas, caso existam. O estado de rastreamento de protocolo é preservado por meio de atualizações subsequentes. Fluxos de transferência de autenticação ou fluxos de código que não sejam de dispositivos podem estar sujeitos à imposição de políticas de fluxos de autenticação se a sessão for rastreada por protocolo.
Por exemplo:
- Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
- Você usa o fluxo de código do dispositivo para fazer login no SharePoint, conforme permitido pela política configurada. Neste ponto, a sessão é considerada rastreadas por protocolo
- Você tenta fazer login no Exchange no contexto da mesma sessão, usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
- Você é bloqueado pela política configurada devido ao estado "rastreado por protocolo" da sessão
Logs de entrada
Ao configurar uma política para restringir ou bloquear o fluxo de código do dispositivo, é importante compreender se e como o fluxo de código do dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo somente relatório ou filtrar os logs de entrada para eventos de fluxo de código do dispositivo com o filtro de protocolo de autenticação pode ajudar.
Para ajudar na solução de problemas de erros relacionados ao rastreamento de protocolos, adicionamos uma nova propriedade chamada método de transferência original à seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Essa propriedade exibe o estado do rastreamento de protocolo da solicitação em questão. Por exemplo, para uma sessão na qual o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como fluxo de código do dispositivo.
Imposição de políticas de fluxos de autenticação no recurso do Serviço de Registro de Dispositivos
A partir do início de setembro de 2024, a Microsoft começou a impor políticas de fluxos de autenticação no Serviço de Registro de Dispositivo. Isso se aplica apenas a políticas direcionadas a todos os recursos no seletor de recursos. Se sua organização atualmente usa o Fluxo de Código do Dispositivo para fins de registro de dispositivo e você tem uma política de fluxos de autenticação direcionada a todos os recursos, você precisa isentar o Recurso de Registro de Dispositivo do escopo da política de Acesso Condicional para evitar o impacto. Você pode encontrar o recurso do Serviço de Registro de Dispositivo na opção Recursos de Destino presente na experiência de configuração da política de Acesso Condicional. Para isentar o Serviço de Registro de Dispositivo via UX de Acesso Condicional, você precisa acessar Recursos de Destino>Excluir>Selecionar aplicativos de nuvem excluídos>Serviço de Registro de Dispositivo. Para a API, você precisa atualizar sua política excluindo a ID do cliente para o Serviço de Registro de Dispositivo: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se você não tiver certeza se sua organização usa o Fluxo de Código do Dispositivo contra o Serviço de Registro de Dispositivo, pode usar os logs de acesso do Microsoft Entra para verificar. Lá, você pode filtrar a ID do cliente do Serviço de Registro de Dispositivo no filtro ID do Recurso e restringi-la ao uso do Fluxo de Código do Dispositivo utilizando a opção Código do dispositivo no filtro Protocolo de Autenticação.
Solucionar problemas de bloqueios inesperados
Se você teve um login bloqueado de forma inesperada por uma política de Acesso Condicional, deve verificar se a política era de fluxos de autenticação. Você pode realizar esta confirmação acessando logs de entrada, clicando na entrada bloqueada e navegando até a guia Acesso Condicional no painel de detalhes da atividade: entradas. Se a política aplicada era de fluxos de autenticação, selecione a política para identificar qual fluxo de autenticação foi acionado.
Se o fluxo de código do dispositivo foi correspondido, mas esse não foi o fluxo utilizado para a entrada de sessão, o token de atualização foi rastreado pelo protocolo. Você pode verificar esse caso clicando na entrada bloqueada no sistema e pesquisando pela propriedade de método de transferência original na seção informações básicas do painel de detalhes da atividade: entradas de login.
Observação
Bloqueios devido a sessões rastreadas por protocolo são comportamento esperado para essa política. Não há nenhuma correção recomendada.