Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Entra ID suporta vários fluxos de autenticação e autorização para fornecer uma experiência perfeita em todos os tipos de aplicativos e dispositivos. Alguns fluxos de autenticação são de maior risco do que outros. Para lhe dar mais controlo sobre a sua postura de segurança, o Acesso Condicional permite-lhe controlar determinados fluxos de autenticação. Este controlo começa com o direcionamento explícito do fluxo de código do dispositivo.
Fluxo de código do dispositivo
O fluxo de código do dispositivo permite que você entre em dispositivos que não possuem dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. O fluxo de código de dispositivo é um método de autenticação de alto risco que pode fazer parte de um ataque de phishing ou ser usado para acessar recursos corporativos em dispositivos não gerenciados. Configure o controle de fluxo de código de dispositivo junto com outros controles em políticas de Acesso Condicional. Por exemplo, se o fluxo de código de dispositivo for usado para dispositivos de sala de conferência baseados em Android, bloqueie o fluxo de código de dispositivo em todos os lugares, exceto para dispositivos Android em um local de rede específico.
Permitir o fluxo de código do dispositivo somente quando necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.
Transferência de autenticação
A transferência de autenticação é um fluxo que permite que os usuários transfiram perfeitamente o estado autenticado de um dispositivo para outro. Por exemplo, os utilizadores podem ver um código QR na versão de ambiente de trabalho do Outlook que, quando digitalizado no seu dispositivo móvel, transfere o seu estado autenticado para o dispositivo móvel. Esta capacidade proporciona uma experiência simples e intuitiva que reduz o atrito para os utilizadores.
Rastreamento de protocolo
Para garantir que as políticas de Acesso Condicional sejam aplicadas com precisão nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nestes casos, as sessões são consideradas rastreadas pelo protocolo. Todas as sessões controladas por protocolo estão sujeitas à aplicação de políticas, caso exista uma política. O estado de rastreamento de protocolo é mantido por meio de atualizações subsequentes, o que significa que é possível que o fluxo de código que não seja de dispositivo ou fluxos de transferência de autenticação estejam sujeitos à imposição de políticas de fluxos de autenticação.
Por exemplo:
- Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
- Você usa o fluxo de código do dispositivo para entrar no SharePoint, conforme permitido pela política configurada. Neste ponto, a sessão é considerada sob acompanhamento de protocolo.
- Você tenta entrar no Exchange dentro do contexto da mesma sessão usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
- Você está bloqueado pela política configurada devido ao estado monitorado do protocolo da sessão.
Registros de início de sessão
Ao configurar uma política para restringir ou bloquear o fluxo de código de dispositivo, é importante entender se e como o fluxo de código de dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo apenas de relatório ou filtrar os registos de início de sessão para eventos de fluxo de código de dispositivo com o filtro protocolo de autenticação pode ajudar.
Para ajudar na solução de problemas de erros relacionados ao rastreamento de protocolo, adicionámos uma nova propriedade chamada método de transferência original à seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Esta propriedade exibe o estado de rastreamento de protocolo da solicitação em questão. Por exemplo, para uma sessão em que o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como Fluxo de código do dispositivo.
Aplicação de políticas de Fluxos de Autenticação no recurso do Serviço de Registro de Dispositivo
A partir do início de setembro de 2024, a Microsoft começou a aplicar políticas de fluxos de autenticação no Serviço de Registro de Dispositivos. Isso se aplica apenas a políticas direcionadas a todos os recursos no seletor de recursos. Se sua organização usa atualmente o Fluxo de Código de Dispositivo para fins de registro de dispositivo e você tem uma política de fluxos de autenticação direcionada a todos os recursos, você precisa isentar o Recurso de Registro de Dispositivo do escopo de sua política de Acesso Condicional para evitar impacto. Você pode encontrar o recurso Serviço de Registro de Dispositivo na opção Recursos de Destino presente na experiência de configuração da política de Acesso Condicional. Para isentar o Serviço de Registro de Dispositivo através da UX de Acesso Condicional, precisa ir a Recursos de Destino>Excluir>Selecionar aplicativos de nuvem excluídos>Serviço de Registro de Dispositivo. Para a API, é necessário atualizar a sua política, excluindo o ID do Cliente para o Serviço de Registro de Dispositivo: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se não tiver certeza se a sua organização usa o Fluxo de Código de Dispositivo no Serviço de Registo de Dispositivo, pode utilizar os registos de entrada do Microsoft Entra para verificar. Aí, pode filtrar pelo ID do cliente do Serviço de Registo de Dispositivo no filtro ID de Recurso e restringi-lo ao uso do Device Code Flow utilizando a opção código de dispositivo dentro do filtro Protocolo de Autenticação.
Resolução de bloqueios inesperados
Se tiver um início de sessão bloqueado inesperadamente por uma política de Acesso Condicional ou se tiver terminado inesperadamente sessão num dispositivo, deve confirmar se a causa raiz foi uma política de fluxos de autenticação. Pode confirmar isto acedendo aos registos de início de sessão, clicando no início de sessão bloqueado e, em seguida, navegando para o separador Acesso Condicional no painel Detalhes da atividade: inícios de sessão. Se a política aplicada foi uma política de fluxos de autenticação, selecione a política para determinar com qual fluxo de autenticação correspondeu.
Se o fluxo de código do dispositivo foi identificado, mas não foi o fluxo realizado para esse login, o token de atualização foi rastreado pelo protocolo. Você pode verificar esse caso clicando no login bloqueado e procurando pela propriedade Método de transferência original na parte Informações básicas do painel Detalhes da atividade: entradas . Se a política configurada for aplicada a todos os aplicativos, você também poderá determinar um erro relacionado ao rastreamento de protocolo procurando o seguinte código de erro e mensagem: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted..
Nota
Bloqueios devido a sessões rastreadas por protocolo são comportamentos esperados para esta política. O possível impacto pode incluir coisas como não conseguir acessar determinados recursos ou concluir o logout do dispositivo. Não há nenhuma correção recomendada quando a política está no enabled estado. Se a política tiver sido definida como disabled ou report-only, talvez seja necessário obter um novo token para usar o dispositivo novamente.