Acesso Condicional: Transferência de autenticação (versão prévia)

A transferência de autenticação é um fluxo de autenticação que simplifica a entrada entre dispositivos do COMPUTADOR para o dispositivo móvel para aplicativos da Microsoft. Os usuários podem usar um código QR em um aplicativo Microsoft autenticado em seu computador para entrar no mesmo aplicativo em um dispositivo móvel sem reentrar nas credenciais. A transferência de autenticação aumenta o envolvimento do usuário conectando usuários em várias plataformas.

Pré-requisitos

• Uma licença do Microsoft Entra ID P1 é necessária para cada usuário sujeito a políticas de Acesso Condicional que gerenciam a transferência de autenticação. Para obter mais informações sobre licenciamento, consulte Planejar uma implantação de Acesso Condicional.
• Para criar ou modificar políticas de Acesso Condicional que gerenciam a transferência de autenticação, entre como pelo menos um Administrador de Acesso Condicional.
• A transferência de autenticação é habilitada por padrão para todos os usuários. Nenhuma configuração inicial é necessária para que os usuários usem o recurso.

Como funciona a transferência de autenticação

A transferência de autenticação permite transferir declarações de autenticação de um dispositivo para outro, como de um computador desktop para um dispositivo móvel. As etapas a seguir descrevem o fluxo:

1. Um usuário entra em um aplicativo da Microsoft com suporte em seu computador e conclui qualquer autenticação necessária, incluindo a MFA (autenticação multifator).
2. O aplicativo exibe um código QR que o usuário pode verificar com seu dispositivo móvel.
3. O usuário verifica o código QR usando um aplicativo microsoft com suporte em seu dispositivo móvel.
4. A ID do Microsoft Entra avalia todas as políticas de Acesso Condicional aplicáveis para o aplicativo móvel de destino.
5. Se as políticas forem atendidas, as declarações de autenticação serão transferidas para o dispositivo móvel e o usuário será conectado automaticamente.
6. Se as políticas não estiverem satisfeitas, a transferência falhará e o usuário será solicitado a entrar manualmente no dispositivo móvel.

A transferência de autenticação transfere somente declarações de autenticação. As declarações relacionadas ao dispositivo, como o estado de conformidade do dispositivo, não são transferidas para o dispositivo de destino. O dispositivo móvel deve atender independentemente a todos os requisitos de Acesso Condicional baseados em dispositivo.

Quando um usuário executa a transferência de autenticação, a sessão é considerada controlada pelo protocolo. O acompanhamento de protocolo significa que o estado da sessão persiste por meio de atualizações de token subsequentes. As tentativas de entrada subsequentes na mesma sessão podem estar sujeitas à imposição da política de fluxos de autenticação, mesmo que não usem a transferência de autenticação.

Aplicativos com suporte

A transferência de autenticação está disponível para aplicativos da Microsoft que dão suporte ao fluxo de código QR entre dispositivos. Por exemplo, os usuários podem ver um código QR na versão da área de trabalho do Outlook que, quando verificado em seu dispositivo móvel, transfere seu estado autenticado para a versão móvel do Outlook. O suporte varia de acordo com o aplicativo e a versão. Verifique a documentação relevante do aplicativo Microsoft para confirmar se ele dá suporte à transferência de autenticação.

Experiência do usuário final

A experiência de transferência de autenticação foi projetada para reduzir o atrito para usuários que trabalham em vários dispositivos.

Na área de trabalho (dispositivo de origem):

• O usuário está conectado a um aplicativo microsoft com suporte em seu computador.
• Um código QR é exibido dentro do aplicativo, oferecendo a transferência da sessão para um dispositivo móvel.

No dispositivo móvel (dispositivo de destino):

• O usuário abre um aplicativo da Microsoft com suporte e verifica o código QR.
• Se todas as políticas de Acesso Condicional forem atendidas, o usuário será conectado automaticamente sem reentrar nas credenciais ou concluir a MFA novamente.
• Se qualquer política de Acesso Condicional não for atendida para o dispositivo móvel, o usuário será solicitado a entrar manualmente. Talvez o usuário precise concluir a MFA ou atender a outros requisitos no dispositivo móvel.

Transferência de autenticação e Acesso Condicional

Durante a transferência de autenticação, todas as políticas de Acesso Condicional do Microsoft Entra são avaliadas. Entender como as políticas interagem com a transferência de autenticação ajuda você a proteger sua organização, mantendo a produtividade do usuário.

As alegações de autenticação são transferidas, mas as de dispositivo não são:

• A transferência de autenticação transfere somente declarações de autenticação. Ele não transfere declarações relacionadas ao dispositivo, como estado de conformidade ou status gerenciado.
• Se uma política de Acesso Condicional exigir a conformidade do dispositivo ou um dispositivo gerenciado, o dispositivo móvel deverá atender a esses requisitos de forma independente.

A MFA não será necessária novamente se já estiver concluída:

• Se os usuários concluirem a MFA em seu computador, eles não precisarão executar a MFA novamente em seu dispositivo móvel durante a transferência de autenticação.

As políticas de Acesso Condicional são avaliadas antes da transferência:

• As políticas de Acesso Condicional são avaliadas antes da conclusão da transferência de autenticação. Se uma política não for atendida para o dispositivo móvel, o usuário será solicitado a fazer login manualmente.

Ignorar MDM não Microsoft:

• A transferência de autenticação ignora soluções de MDM (gerenciamento de dispositivo móvel) não Microsoft ao transferir a autenticação para dispositivos móveis. Esse bypass significa que as organizações que dependem de soluções de MDM que não são da Microsoft para impor controles de acesso podem ter uma lacuna de segurança durante a transferência de autenticação. Se sua organização usar uma solução de MDM não Microsoft, considere bloquear a transferência de autenticação para usuários ou aplicativos afetados.

Reautenticação do PRT (Token de Atualização Primária):

• Os usuários devem reautenticar em seu computador para iniciar a transferência de autenticação, mesmo que tenham tokens de sessão protegidos, como o Token de Atualização Primária. Após a reautenticação no computador, os usuários não precisam se autenticar novamente no aplicativo móvel.

Limitações conhecidas

Examine as seguintes limitações antes de habilitar ou gerenciar a transferência de autenticação em sua organização:

• As declarações do dispositivo não são transferidas. Somente as declarações de autenticação são transferidas para o dispositivo móvel. A conformidade do dispositivo, o estado gerenciado e outras declarações relacionadas ao dispositivo devem ser atendidas independentemente no dispositivo móvel.
• Ignorar MDM não Microsoft. A transferência de autenticação ignora soluções MDM que não são da Microsoft. As organizações que dependem do MDM não Microsoft para controle de acesso móvel devem avaliar as implicações de segurança. Para obter mais informações, consulte as diretrizes de Confiança Zero sobre como bloquear a transferência de autenticação.
• Somente aplicativos da Microsoft. A transferência de autenticação só está disponível para aplicativos da Microsoft. Aplicativos que não são da Microsoft não dão suporte a esse fluxo.
• Acompanhamento de protocolo. Depois que um usuário executa a transferência de autenticação, a sessão é controlada pelo protocolo. Outras tentativas de entrada na mesma sessão podem estar sujeitas a políticas de fluxos de autenticação, mesmo que usem um fluxo de autenticação diferente.
• A reautenticação de PRT é necessária. Os usuários devem reautenticar em seu computador para iniciar a transferência de autenticação, mesmo com uma sessão de Token de Atualização Primária existente.

Considerações de segurança

A Microsoft recomenda que as organizações avaliem se a transferência de autenticação é necessária para seus usuários. As diretrizes de Confiança Zero para proteger identidades recomendam bloquear a transferência de autenticação como uma prática recomendada de segurança.

Bloquear a transferência de autenticação ajuda a proteger contra ataques de repetição e roubo de token, evitando o uso de tokens do dispositivo para autenticar de forma silenciosa em outros dispositivos. Quando a transferência de autenticação está habilitada, um ator de ameaça que obtém acesso a um dispositivo pode potencialmente acessar recursos em dispositivos não aprovados, ignorando verificações padrão de autenticação e conformidade do dispositivo.

Considere as seguintes recomendações:

• Bloqueie a transferência de autenticação , a menos que você tenha uma necessidade de negócios documentada para entrar entre dispositivos. Use uma política de Acesso Condicional para bloquear a transferência de autenticação.
• Use o modo somente relatórios primeiro para entender como a transferência de autenticação é usada em sua organização antes de implementar um bloqueio.
• Exclua contas de acesso de emergência de qualquer política que bloqueie a transferência de autenticação.

Transferência de autenticação em logs de entrada

Os administradores podem verificar os logs de entrada do Microsoft Entra para ver se os usuários estão usando a transferência de autenticação para entrar. Os eventos de transferência de autenticação ocorrem um após o outro, com o primeiro evento mostrando um código QR como o método de autenticação.

Para verificar o estado de rastreamento de protocolo de um login, selecione o evento de login e localize a propriedade método de transferência original na parte de informações básicas do painel detalhes da atividade: logins. Para uma sessão na qual a transferência de autenticação foi executada, o método de transferência original é definido como transferência de autenticação.

Gerenciar a transferência de autenticação para usuários e aplicativos específicos

A transferência de autenticação é habilitada por padrão para todos os usuários. Os administradores gerenciam a transferência de autenticação usando políticas de Acesso Condicional e a condição de fluxos de autenticação . Essa condição restringe a transferência de autenticação para usuários, aplicativos ou desabilita totalmente a funcionalidade.

A transferência de autenticação verifica todas as políticas de Acesso Condicional aplicáveis antes de inscrever o usuário em um aplicativo móvel. Se as condições necessárias não forem atendidas, o usuário será solicitado a entrar no aplicativo móvel.

Para criar uma política que use a condição de transferência de autenticação, consulte Bloquear a transferência de autenticação com a política de Acesso Condicional.

Troubleshooting

Use as etapas a seguir para solucionar problemas com a transferência de autenticação.

A transferência de autenticação falha para um usuário:

1. Verifique os logs de login para eventos de transferência de autenticação. Procure pela entrada do método de autenticação por código QR.
2. Selecione o evento de entrada e navegue até a guia Acesso Condicional para identificar quais políticas foram avaliadas e se alguma delas bloqueou a transferência.
3. Verifique se o dispositivo móvel de destino atende a todos os requisitos de Acesso Condicional, incluindo a conformidade do dispositivo e as políticas de localização.

Blocos inesperados após o uso da transferência de autenticação:

1. Verifique se a entrada está bloqueada por um estado de acompanhamento de protocolo de uma transferência de autenticação anterior ou sessão de fluxo de código do dispositivo.
2. Nos logs de entrada, selecione o login bloqueado e verifique a propriedade do Método de transferência original na seção Informações básicas. Se ele mostrar a transferência de autenticação ou o fluxo de código do dispositivo, a sessão foi controlada pelo protocolo.
3. Se a política de fluxos de autenticação se aplicar a todos os aplicativos, você poderá ver o código AADSTS530036de erro. Esse erro indica que o token de atualização é inválido devido a verificações de fluxo de autenticação pelo Acesso Condicional.

Os usuários não podem iniciar a transferência de autenticação:

• Se uma política de Acesso Condicional gerenciar a transferência de autenticação para o usuário, verifique se o usuário tem uma licença do Microsoft Entra ID P1 atribuída.
• Verifique se nenhuma política de Acesso Condicional bloqueia a transferência de autenticação para o grupo ou aplicativo de destino do usuário.
• Confirme se o usuário está usando um aplicativo microsoft com suporte nos dispositivos de origem e de destino.

Para obter mais informações sobre como solucionar problemas de fluxos de autenticação, consulte Solucionar problemas de blocos inesperados.

Conteúdo relacionado

• Bloquear transferência de autenticação com política de Acesso Condicional
• Acesso condicional: fluxos de autenticação
• Acesso Condicional: Condições
• Planejar uma implantação de Acesso Condicional
• Diretrizes de Confiança Zero: Proteger identidades