Acesso condicional: fluxos de autenticação (visualização)
O Microsoft Entra ID suporta uma ampla variedade de fluxos de autenticação e autorização para fornecer uma experiência perfeita em todos os tipos de aplicativos e dispositivos. Alguns desses fluxos de autenticação são de maior risco do que outros. Para fornecer mais controle sobre sua postura de segurança, estamos adicionando a capacidade de controlar determinados fluxos de autenticação ao Acesso Condicional. Esse controle começa com a capacidade de direcionar explicitamente o fluxo de código do dispositivo.
Fluxo de código do dispositivo
O fluxo de código do dispositivo é usado ao entrar em dispositivos que podem não ter dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. O fluxo de código de dispositivo é um fluxo de autenticação de alto risco que pode ser usado como parte de um ataque de phishing ou para acessar recursos corporativos em dispositivos não gerenciados. Você pode configurar o controle de fluxo de código do dispositivo junto com outros controles em suas políticas de Acesso Condicional. Por exemplo, se o fluxo de código de dispositivo for usado para dispositivos de sala de conferência baseados em Android, você pode optar por bloquear o fluxo de código de dispositivo em todos os lugares, exceto para dispositivos Android em um local de rede específico.
Você só deve permitir o fluxo de código do dispositivo quando necessário. A Microsoft recomenda bloquear o fluxo de código do dispositivo sempre que possível.
Transferência de autenticação
A transferência de autenticação é um novo fluxo que oferece uma maneira perfeita de transferir o estado autenticado de um dispositivo para outro. Por exemplo, os utilizadores podem receber um código QR na versão de ambiente de trabalho do Outlook que, quando digitalizado no seu dispositivo móvel, transfere o seu estado autenticado para o dispositivo móvel. Esse recurso fornece uma experiência de usuário simples e intuitiva que reduz o nível geral de atrito para os usuários.
A capacidade de controlar a transferência de autenticação está em pré-visualização usar a condição Fluxos de autenticação no Acesso Condicional para gerenciar o recurso.
Rastreamento de protocolo
Para garantir que as políticas de Acesso Condicional sejam aplicadas com precisão nos fluxos de autenticação especificados, usamos a funcionalidade chamada rastreamento de protocolo. Esse rastreamento é aplicado à sessão usando o fluxo de código do dispositivo ou a transferência de autenticação. Nestes casos, as sessões são consideradas protocolo rastreado. Todas as sessões controladas por protocolo estão sujeitas à aplicação de políticas, caso exista uma política. O estado de rastreamento do protocolo é mantido por meio de atualizações subsequentes. O fluxo de código não relacionado ao dispositivo ou os fluxos de transferência de autenticação podem estar sujeitos à imposição de políticas de fluxos de autenticação se a sessão for rastreada por protocolo.
Por exemplo:
- Você configura uma política para bloquear o fluxo de código do dispositivo em todos os lugares, exceto no SharePoint.
- Você usa o fluxo de código do dispositivo para entrar no SharePoint, conforme permitido pela política configurada. Neste ponto, a sessão é considerada protocolo rastreado
- Você tenta entrar no Exchange dentro do contexto da mesma sessão usando qualquer fluxo de autenticação, não apenas o fluxo de código do dispositivo.
- Você está bloqueado pela política configurada devido ao estado rastreado do protocolo da sessão
Registos de início de sessão
Ao configurar uma política para restringir ou bloquear o fluxo de código de dispositivo, é importante entender se e como o fluxo de código de dispositivo é usado em sua organização. Criar uma política de Acesso Condicional no modo somente relatório ou filtrar os logs de entrada para eventos de fluxo de código de dispositivo com o filtro de protocolo de autenticação pode ajudar.
Para ajudar na solução de problemas de erros relacionados ao rastreamento de protocolo, adicionamos uma nova propriedade chamada método de transferência original à seção de detalhes da atividade dos logs de entrada do Acesso Condicional. Esta propriedade exibe o estado de rastreamento de protocolo da solicitação em questão. Por exemplo, para uma sessão em que o fluxo de código do dispositivo foi executado anteriormente, o método de transferência original é definido como Fluxo de código do dispositivo.
Aplicação de políticas de Fluxos de Autenticação no recurso do Serviço de Registro de Dispositivo
A partir do início de setembro de 2024, a Microsoft começará a aplicar políticas de fluxos de autenticação no Serviço de Registro de Dispositivos. Isso se aplicará apenas às políticas direcionadas a todos os recursos no seletor de recursos. Se sua organização usa atualmente o Fluxo de Código de Dispositivo para fins de registro de dispositivo e você tem uma política de fluxos de autenticação direcionada a todos os recursos, será necessário isentar o Recurso de Registro de Dispositivo do escopo de sua política de acesso condicional para evitar impacto. Você pode encontrar o recurso Serviço de Registro de Dispositivo na opção Recursos de Destino presente na experiência de configuração da política de Acesso Condicional. Para isentar o Serviço de Registro de Dispositivo via UX de Acesso Condicional, você precisará ir para Recursos de Destino ->Excluir ->Selecionar aplicativos de nuvem excluídos ->Serviço de Registro de Dispositivo. Para API, você precisará atualizar sua política excluindo a ID do Cliente para o Serviço de Registro de Dispositivo: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se não tiver certeza se sua organização usa o Fluxo de Código de Dispositivo contra o Serviço de Registro de Dispositivo, você pode utilizar os logs de entrada do Microsoft Entra para determinar isso. Lá, você pode filtrar a ID do cliente do Serviço de Registro de Dispositivo no filtro ID de Recurso e restringi-la ao uso do Fluxo de Código de Dispositivo utilizando a opção Código de dispositivo dentro do filtro Protocolo de Autenticação.
Solução de problemas de blocos inesperados
Se tiver um início de sessão bloqueado inesperadamente por uma política de Acesso Condicional, deve confirmar se a política era uma política de fluxos de autenticação. Pode fazer esta confirmação acedendo aos registos de início de sessão, clicando no início de sessão bloqueado e, em seguida, navegando para o separador Acesso Condicional no painel Detalhes da atividade: início de sessão . Se a política imposta foi uma política de fluxos de autenticação, selecione a política para determinar qual fluxo de autenticação foi correspondido.
Se o fluxo de código de dispositivo foi correspondido, mas o fluxo de código de dispositivo não foi o fluxo executado para essa entrada, isso significa que o token de atualização foi rastreado pelo protocolo. Você pode verificar esse caso clicando no login bloqueado e procurando pela propriedade Método de transferência original na parte Informações básicas do painel Detalhes da atividade: entradas .
Nota
Blocos devido a sessões controladas por protocolo são comportamento esperado para esta política. Não há remediação recomendada.