Accesso condizionale: trasferimento dell'autenticazione (anteprima)

Il trasferimento dell'autenticazione è un flusso di autenticazione che semplifica l'accesso tra dispositivi da PC a dispositivi mobili per le app Microsoft. Gli utenti possono usare un QR code in un'app Microsoft autenticata sul PC per accedere alla stessa app su un dispositivo mobile senza dover reinserire le credenziali. Il trasferimento dell'autenticazione aumenta l'engagement degli utenti connettendo gli utenti su più piattaforme.

Prerequisiti

• Per ogni utente soggetto ai criteri di accesso condizionale che gestiscono il trasferimento dell'autenticazione è necessaria una licenza Microsoft Entra ID P1. Per altre informazioni sulle licenze, vedere Pianificare una distribuzione dell'accesso condizionale.
• Per creare o modificare i criteri di accesso condizionale che gestiscono il trasferimento dell'autenticazione, accedere come almeno un amministratore dell'accesso condizionale.
• Il trasferimento dell'autenticazione è abilitato per impostazione predefinita per tutti gli utenti. Non è necessaria alcuna configurazione iniziale per consentire agli utenti di usare la funzionalità.

Funzionamento del trasferimento dell'autenticazione

Il trasferimento di autenticazione consente di trasferire le attestazioni di autenticazione da un dispositivo a un altro, ad esempio da un PC desktop a un dispositivo mobile. I passaggi seguenti descrivono il flusso:

1. Un utente accede a un'app Microsoft supportata nel PC e completa qualsiasi autenticazione necessaria, inclusa l'autenticazione a più fattori (MFA).
2. L'app visualizza un codice QR che l'utente può scansionare con il proprio dispositivo mobile.
3. L'utente scansiona il codice QR usando un'app Microsoft supportata sul loro dispositivo mobile.
4. Microsoft Entra ID valuta tutti i criteri di accesso condizionale applicabili per l'app per dispositivi mobili di destinazione.
5. Se i criteri sono soddisfatti, le attestazioni di autenticazione vengono trasferite al dispositivo mobile e l'utente accede automaticamente.
6. Se i criteri non sono soddisfatti, il trasferimento non riesce e all'utente viene richiesto di eseguire l'accesso manualmente nel dispositivo mobile.

Il trasferimento dell'autenticazione trasferisce solo le attestazioni di autenticazione. Le attestazioni correlate al dispositivo, ad esempio lo stato di conformità del dispositivo, non vengono trasferite nel dispositivo di destinazione. Il dispositivo mobile deve soddisfare in modo indipendente qualsiasi requisito di accesso condizionale basato su dispositivo.

Quando un utente esegue il trasferimento di autenticazione, la sessione viene considerata monitorata dal protocollo. Il rilevamento del protocollo indica che lo stato della sessione persiste tramite gli aggiornamenti del token successivi. I successivi tentativi di accesso all'interno della stessa sessione potrebbero essere soggetti all'imposizione dei criteri dei flussi di autenticazione, anche se non usano il trasferimento dell'autenticazione.

Applicazioni supportate

Il trasferimento dell'autenticazione è disponibile per le app Microsoft che supportano il flusso di codice QR multi-dispositivo. Ad esempio, gli utenti potrebbero visualizzare un codice QR nella versione desktop di Outlook che, quando viene scansionato sul proprio dispositivo mobile, trasferisce il proprio stato autenticato alla versione mobile di Outlook. Il supporto varia in base all'app e alla versione. Controllare la documentazione dell'app Microsoft pertinente per verificare se supporta il trasferimento dell'autenticazione.

Esperienza utente finale

L'esperienza di trasferimento dell'autenticazione è progettata per ridurre l'attrito per gli utenti che lavorano in più dispositivi.

Sul desktop (dispositivo di origine):

• L'utente ha eseguito l'accesso a un'app Microsoft supportata nel PC.
• All'interno dell'app viene visualizzato un QR code, che consente di trasferire la sessione su un dispositivo mobile.

Nel dispositivo mobile (dispositivo di destinazione):

• L'utente apre un'app Microsoft supportata e scansiona il codice QR.
• Se tutti i criteri di accesso condizionale sono soddisfatti, l'utente viene connesso automaticamente senza immettere nuovamente le credenziali o completare nuovamente l'autenticazione a più fattori.
• Se i criteri di accesso condizionale non sono soddisfatti per il dispositivo mobile, all'utente viene richiesto di eseguire l'accesso manualmente. L'utente potrebbe dover completare l'autenticazione a più fattori o soddisfare altri requisiti nel dispositivo mobile.

Trasferimento dell'Autenticazione e Accesso Condizionale

Durante il trasferimento dell'autenticazione, vengono valutati tutti i criteri di accesso condizionale di Microsoft Entra. Comprendere in che modo i criteri interagiscono con il trasferimento dell'autenticazione consentono di proteggere l'organizzazione mantenendo al contempo la produttività degli utenti.

Il trasferimento delle attestazioni di autenticazione avviene, mentre le attestazioni del dispositivo non vengono trasferite.

• Il trasferimento dell'autenticazione trasferisce solo le attestazioni di autenticazione. Non trasferisce attestazioni correlate al dispositivo, ad esempio lo stato di conformità o lo stato gestito.
• Se un criterio di accesso condizionale richiede la conformità del dispositivo o un dispositivo gestito, il dispositivo mobile deve soddisfare tali requisiti in modo indipendente.

L'autenticazione a più fattori non è necessaria di nuovo se è già stata completata:

• Se gli utenti completano l'autenticazione a più fattori nel PC, non devono eseguire di nuovo l'autenticazione a più fattori nel dispositivo mobile durante il trasferimento dell'autenticazione.

I criteri di accesso condizionale vengono valutati prima del trasferimento:

• I criteri di accesso condizionale vengono valutati prima del completamento del trasferimento dell'autenticazione. Se un criterio non viene soddisfatto per il dispositivo mobile, all'utente viene richiesto di eseguire l'accesso manualmente.

Bypass di MDM non Microsoft:

• Il trasferimento dell'autenticazione ignora le soluzioni di gestione dei dispositivi mobili (MDM) non Microsoft durante il trasferimento dell'autenticazione ai dispositivi mobili. Questo bypass significa che le organizzazioni che si basano su soluzioni MDM non Microsoft per applicare i controlli di accesso potrebbero avere un divario di sicurezza durante il trasferimento dell'autenticazione. Se l'organizzazione usa una soluzione MDM non Microsoft, è consigliabile bloccare il trasferimento dell'autenticazione per utenti o app interessati.

Riautenticazione del token di aggiornamento primario:Primary Refresh Token (PRT) reauthentication:

• Gli utenti devono ripetere l'autenticazione nel PC per avviare il trasferimento dell'autenticazione, anche se hanno token di sessione protetti come il token di aggiornamento primario. Dopo la riautenticazione nel PC, gli utenti non devono ripetere l'autenticazione nell'app per dispositivi mobili.

Limitazioni note

Esaminare le limitazioni seguenti prima di abilitare o gestire il trasferimento dell'autenticazione nell'organizzazione:

• Le attestazioni del dispositivo non vengono trasferite. Solo le attestazioni di autenticazione vengono trasferite al dispositivo mobile. La conformità del dispositivo, lo stato gestito e altre attestazioni correlate al dispositivo devono essere soddisfatte in modo indipendente nel dispositivo mobile.
• Bypass dei MDM non Microsoft. Il trasferimento dell'autenticazione ignora le soluzioni MDM non Microsoft. Le organizzazioni che dipendono da mdm non Microsoft per il controllo degli accessi mobili devono valutare le implicazioni per la sicurezza. Per ulteriori informazioni, consultare le linee guida Zero Trust sul blocco del trasferimento dell'autenticazione.
• Solo applicazioni Microsoft. Il trasferimento dell'autenticazione è disponibile solo per le app Microsoft. Le app non Microsoft non supportano questo flusso.
• Rilevamento del protocollo. Dopo che un utente esegue il trasferimento dell'autenticazione, la sessione viene monitorata dal protocollo. Altri tentativi di accesso all'interno della stessa sessione potrebbero essere soggetti ai criteri dei flussi di autenticazione, anche se usano un flusso di autenticazione diverso.
• Richiesta di riautenticazione PRT. Gli utenti devono ripetere l'autenticazione nel PC per avviare il trasferimento dell'autenticazione, anche con una sessione del token di aggiornamento primario esistente.

Considerazioni relative alla sicurezza

Microsoft consiglia alle organizzazioni di valutare se il trasferimento dell'autenticazione è necessario per gli utenti. Le linee guida zero trust per la protezione delle identità consigliano di bloccare il trasferimento dell'autenticazione come procedura consigliata per la sicurezza.

Il blocco del trasferimento dell'autenticazione consente di proteggersi dal furto di token e dagli attacchi di riproduzione impedendo l'uso dei token del dispositivo per l'autenticazione invisibile all'utente in altri dispositivi. Quando il trasferimento dell'autenticazione è abilitato, un attore di minacce che ottiene l'accesso a un dispositivo potrebbe potenzialmente accedere alle risorse su dispositivi non approvati, ignorando i controlli di conformità standard e autenticazione dei dispositivi.

Prendi in considerazione le seguenti raccomandazioni:

• Bloccare il trasferimento dell'autenticazione a meno che non si disponga di una necessità aziendale documentata per l'accesso tra dispositivi. Usare un criterio di accesso condizionale per bloccare il trasferimento dell'autenticazione.
• Usa la modalità di sola segnalazione per comprendere come viene usato il trasferimento dell'autenticazione nella tua organizzazione prima di applicare un blocco.
• Escludere gli account di accesso di emergenza da qualsiasi criterio che blocca il trasferimento dell'autenticazione.

Trasferimento dell'autenticazione nei log di accesso

Gli amministratori possono controllare i log di accesso di Microsoft Entra per verificare se gli utenti usano il trasferimento di autenticazione per accedere. Gli eventi di trasferimento dell'autenticazione vengono visualizzati consecutivamente, con il primo evento che mostra un codice QR come metodo di autenticazione.

Per controllare lo stato di rilevamento del protocollo di un accesso, selezionare l'evento di accesso e trovare la proprietà Metodo di trasferimento originale nella parte Informazioni di base del riquadro Dettagli attività: accessi . Per una sessione in cui è stato eseguito il trasferimento dell'autenticazione, il metodo di trasferimento originale è impostato su Trasferimento di autenticazione.

Gestire il trasferimento dell'autenticazione per utenti e app specifici

Il trasferimento dell'autenticazione è abilitato per impostazione predefinita per tutti gli utenti. Gli amministratori gestiscono il trasferimento dell'autenticazione usando i criteri di accesso condizionale e la condizione dei flussi di autenticazione . Questa condizione limita il trasferimento dell'autenticazione a utenti, app o disabilita completamente la funzionalità.

Il trasferimento dell'autenticazione controlla tutti i criteri di accesso condizionale applicabili prima di firmare l'utente in un'app per dispositivi mobili. Se le condizioni richieste non vengono soddisfatte, all'utente viene richiesto di accedere all'app per dispositivi mobili.

Per creare criteri che usano la condizione di trasferimento dell'autenticazione, vedere Bloccare il trasferimento dell'autenticazione con i criteri di accesso condizionale.

Troubleshooting

Usare la procedura seguente per risolvere i problemi relativi al trasferimento dell'autenticazione.

Il trasferimento dell'autenticazione non riesce per un utente:

1. Controllare i log di accesso per gli eventi di trasferimento dell'autenticazione. Cercare la voce del metodo di autenticazione del codice QR.
2. Selezionare l'evento di accesso e passare alla scheda Accesso condizionale per identificare quali criteri sono stati valutati e se il trasferimento è stato bloccato.
3. Verificare che il dispositivo mobile di destinazione soddisfi tutti i requisiti di accesso condizionale, inclusi i criteri di conformità e posizione dei dispositivi.

Blocchi imprevisti dopo l'uso del trasferimento dell'autenticazione:

1. Controllare se l'accesso è bloccato da uno stato di rilevamento del protocollo da una sessione precedente del trasferimento dell'autenticazione o del flusso di codice del dispositivo.
2. Nei log di accesso selezionare l'accesso bloccato e controllare la proprietà Metodo di trasferimento originale nella sezione Informazioni di base . Se mostra il trasferimento dell'autenticazione o il flusso del codice del dispositivo, la sessione è stata rilevata dal protocollo.
3. Se i criteri dei flussi di autenticazione si applicano a tutte le applicazioni, è possibile che venga visualizzato il codice AADSTS530036di errore . Questo errore indica che il token di aggiornamento non è valido a causa dei controlli nel flusso di autenticazione di Accesso Condizionale.

Gli utenti non possono avviare il trasferimento dell'autenticazione:

• Se un criterio di accesso condizionale gestisce il trasferimento dell'autenticazione per l'utente, verificare che all'utente sia assegnata una licenza Microsoft Entra ID P1.
• Verificare che nessun criterio di accesso condizionale blocchi il trasferimento dell'autenticazione per il gruppo o l'app di destinazione dell'utente.
• Verificare che l'utente usi un'app Microsoft supportata nei dispositivi di origine e di destinazione.

Per altre informazioni sulla risoluzione dei problemi relativi ai flussi di autenticazione, vedere Risoluzione dei problemi relativi ai blocchi imprevisti.

Contenuto correlato

• Bloccare il trasferimento dell'autenticazione con i criteri di accesso condizionale
• Accesso condizionale: flussi di autenticazione
• Accesso condizionale: condizioni
• Pianificare una distribuzione dell'accesso condizionale
• Indicazioni su Zero Trust: Proteggere le identità