Autenticação de passagem do Microsoft Entra: Aprofundamento técnico

Este artigo é uma visão geral de como funciona a autenticação de passagem do Microsoft Entra. Para obter informações técnicas e de segurança detalhadas, consulte o artigo Aprofundamento em segurança.

Como funciona a autenticação de passagem do Microsoft Entra?

Nota

Como pré-requisito para que a Autenticação de Passagem funcione, os usuários precisam ser provisionados no ID do Microsoft Entra a partir do Ative Directory local usando o Microsoft Entra Connect. A Autenticação de Passagem não se aplica a utilizadores apenas na nuvem.

Quando um usuário tenta entrar em um aplicativo protegido pela ID do Microsoft Entra e se a Autenticação de Passagem estiver habilitada no locatário, as seguintes etapas ocorrerão:

1. O usuário tenta acessar um aplicativo, por exemplo, o Outlook Web App.
2. Se o usuário ainda não estiver conectado, ele será redirecionado para a página de entrada do usuário do Microsoft Entra ID.
3. O usuário insere seu nome de usuário na página de entrada do Microsoft Entra e seleciona o botão Avançar .
4. O utilizador introduz a sua palavra-passe na página de início de sessão do Microsoft Entra e, em seguida, seleciona o botão Iniciar sessão.
5. O Microsoft Entra ID, ao receber a solicitação para entrar, coloca o nome de usuário e a senha (criptografados usando a chave pública dos Agentes de Autenticação) em uma fila.
6. Um Agente de Autenticação local recupera o nome de usuário e a senha criptografada da fila. Observe que o Agente não pesquisa frequentemente solicitações da fila, mas recupera solicitações em uma conexão persistente pré-estabelecida.
7. O agente descriptografa a senha usando sua chave privada.
8. O agente valida o nome de usuário e a senha em relação ao Ative Directory usando APIs padrão do Windows, que é um mecanismo semelhante ao que os Serviços de Federação do Ative Directory (AD FS) usam. O nome de usuário pode ser o nome de usuário padrão local, geralmente userPrincipalName, ou outro atributo configurado no Microsoft Entra Connect (conhecido como Alternate ID).
9. O controlador de domínio (DC) do Ative Directory local avalia a solicitação e retorna a resposta apropriada (êxito, falha, senha expirada ou usuário bloqueado) para o agente.
10. O Agente de Autenticação, por sua vez, retorna essa resposta de volta para o ID do Microsoft Entra.
11. O Microsoft Entra ID avalia a resposta e responde ao usuário conforme apropriado. Por exemplo, o ID do Microsoft Entra imediatamente no usuário ou solicita a autenticação multifator do Microsoft Entra.
12. Se o login do usuário for bem-sucedido, o usuário poderá acessar o aplicativo.

O diagrama a seguir ilustra todos os componentes e as etapas envolvidas:

Próximos passos

• Limitações atuais: saiba quais cenários são suportados e quais não são.
• Início rápido: comece a usar a autenticação de passagem do Microsoft Entra.
• Migrar seus aplicativos para o Microsoft Entra ID: recursos para ajudá-lo a migrar o acesso e a autenticação do aplicativo para o Microsoft Entra ID.
• Bloqueio Inteligente: Configure a funcionalidade de Bloqueio Inteligente no seu inquilino para proteger as contas de utilizador.
• Perguntas frequentes: encontre respostas para as perguntas frequentes.
• Solução de problemas: saiba como resolver problemas comuns com o recurso de autenticação de passagem.
• Security Deep Dive: obtenha informações técnicas detalhadas sobre o recurso de autenticação de passagem.
• Ingresso híbrido do Microsoft Entra: configure o recurso de associação híbrida do Microsoft Entra em seu locatário para SSO em seus recursos locais e na nuvem.    
• Microsoft Entra seamless SSO: Saiba mais sobre este recurso complementar.
• UserVoice: Use o Fórum do Microsoft Entra para arquivar novas solicitações de recursos.