Acesso condicional: Transferência de autenticação (pré-visualização)

A transferência de autenticação é um fluxo de autenticação que simplifica o início de sessão entre dispositivos, do PC para o telemóvel, para as aplicações da Microsoft. Os utilizadores podem usar um código QR numa aplicação Microsoft autenticada no seu PC para iniciar sessão na mesma aplicação num dispositivo móvel sem ter de voltar a introduzir credenciais. A transferência de autenticação aumenta o envolvimento do usuário conectando usuários em várias plataformas.

Pré-requisitos

• É necessária uma licença Microsoft Entra ID P1 para cada utilizador sujeito a políticas de Acesso Condicional que gerem a transferência de autenticação. Para mais informações sobre licenciamento, consulte Planear uma implementação de Acesso Condicional.
• Para criar ou modificar políticas de Acesso Condicional que gerem a transferência de autenticação, inicie sessão pelo menos como Administrador de Acesso Condicional.
• A transferência de autenticação está habilitada por padrão para todos os usuários. Não é necessária qualquer configuração inicial para que os utilizadores possam usar a funcionalidade.

Como funciona a transferência de autenticação

A transferência de autenticação permite-lhe transferir reivindicações de autenticação de um dispositivo para outro, por exemplo, de um PC de secretária para um dispositivo móvel. Os passos seguintes descrevem o fluxo:

1. Um utilizador inicia sessão numa aplicação Microsoft suportada no seu PC e completa toda a autenticação necessária, incluindo a autenticação multifator (MFA).
2. A aplicação mostra um código QR que o utilizador pode digitalizar com o seu dispositivo móvel.
3. O utilizador digitaliza o código QR usando uma aplicação Microsoft suportada no seu dispositivo móvel.
4. O Microsoft Entra ID avalia todas as políticas de Acesso Condicional aplicáveis para a aplicação móvel alvo.
5. Se as políticas forem satisfeitas, as reivindicações de autenticação são transferidas para o dispositivo móvel e o utilizador inicia sessão automaticamente.
6. Se as políticas não forem satisfeitas, a transferência falha e o utilizador é solicitado a iniciar sessão manualmente no dispositivo móvel.

A transferência de autenticação apenas transfere reivindicações de autenticação. Reivindicações relacionadas com dispositivos, como o estado de conformidade do dispositivo, não se transferem para o dispositivo alvo. O dispositivo móvel deve satisfazer de forma independente quaisquer requisitos de Acesso Condicional baseado em dispositivos.

Quando um utilizador realiza uma transferência de autenticação, a sessão é considerada acompanhada por protocolo. O rastreio de protocolo significa que o estado da sessão persiste através das atualizações subsequentes dos tokens. Tentativas subsequentes de início de sessão na mesma sessão podem estar sujeitas à aplicação de políticas de fluxos de autenticação, mesmo que não utilizem transferência da autenticação.

Aplicações suportadas

A transferência de autenticação está disponível para aplicações Microsoft que suportam o fluxo de códigos QR entre dispositivos. Por exemplo, os utilizadores podem ver um código QR na versão desktop do Outlook que, quando digitalizado no seu dispositivo móvel, transfere o seu estado autenticado para a versão móvel do Outlook. O suporte varia consoante a aplicação e a versão. Verifique a documentação relevante da aplicação Microsoft para confirmar se suporta transferência de autenticação.

Experiência do utilizador final

A experiência de transferência de autenticação foi concebida para reduzir o atrito para utilizadores que trabalham em múltiplos dispositivos.

No desktop (dispositivo de origem):

• O utilizador está ligado a uma aplicação Microsoft suportada no seu PC.
• Um código QR aparece na aplicação, oferecendo a transferência da sessão para um dispositivo móvel.

No dispositivo móvel (dispositivo alvo):

• O utilizador abre uma aplicação Microsoft suportada e digitaliza o código QR.
• Se todas as políticas de Acesso Condicional forem satisfeitas, o utilizador inicia sessão automaticamente sem reintroduzir credenciais ou completar MFA novamente.
• Se alguma política de Acesso Condicional não for satisfeita para o dispositivo móvel, o utilizador é solicitado a iniciar sessão manualmente. O utilizador pode precisar de completar o MFA ou cumprir outros requisitos no dispositivo móvel.

Transferência de autenticação e acesso condicional

Durante a transferência de autenticação, todas as políticas de Acesso Condicional da Microsoft Entra são avaliadas. Compreender como as políticas interagem com a transferência de autenticação ajuda-o a proteger a sua organização enquanto mantém a produtividade dos utilizadores.

As reclamações de autenticação transferem, as reclamações do dispositivo não:

• A transferência de autenticação apenas transfere reivindicações de autenticação. Não transfere reclamações relacionadas com dispositivos, como estado de conformidade ou estado gerido.
• Se uma política de Acesso Condicional exigir conformidade com dispositivos ou um dispositivo gerido, o dispositivo móvel deve cumprir esses requisitos de forma independente.

O MFA não é obrigatório novamente se já estiver concluído:

• Se os utilizadores completarem MFA no seu PC, não precisam de fazer MFA novamente no seu dispositivo móvel durante a transferência de autenticação.

As políticas de Acesso Condicional são avaliadas antes da transferência:

• As políticas de Acesso Condicional são avaliadas antes da conclusão da transferência de autenticação. Se uma política não for cumprida para o dispositivo móvel, o usuário será solicitado a entrar manualmente.

Bypass MDM não-Microsoft:

• A transferência de autenticação ignora soluções de gerenciamento de dispositivos móveis (MDM) que não são da Microsoft ao transferir autenticação para dispositivos móveis. Este desvio significa que organizações que dependem de soluções MDM não Microsoft para aplicar controlos de acesso podem ter uma lacuna de segurança durante a transferência de autenticação. Se a sua organização utiliza uma solução MDM que não seja Microsoft, considere bloquear a transferência de autenticação para utilizadores ou aplicações afetados.

Reautenticação do Token de Atualização Primária (PRT):

• Os utilizadores devem reautenticar-se no seu PC para iniciar a transferência de autenticação, mesmo que tenham tokens de sessão protegidos como o Primary Refresh Token. Após a reautenticação no PC, os utilizadores não precisam de se autenticar novamente na aplicação móvel.

Limitações conhecidas

Revise as seguintes limitações antes de ativar ou gerir a transferência de autenticação na sua organização:

• As reclamações de dispositivos não são transferidas. Apenas as declarações de autenticação são transferidas para o dispositivo móvel. A conformidade do dispositivo, o estado gerido e outras reclamações relacionadas com o dispositivo devem ser satisfeitas de forma independente no dispositivo móvel.
• Bypass MDM não-Microsoft. A transferência de autenticação contorna soluções MDM não-Microsoft. As organizações que dependem do MDM não Microsoft para controlo de acessos móveis devem avaliar as implicações de segurança. Para mais informações, consulte a orientação Zero Trust sobre bloqueio de transferências de autenticação.
• Só aplicações Microsoft. A transferência de autenticação está disponível apenas para aplicações Microsoft. As aplicações que não são da Microsoft não suportam este fluxo.
• Rastreamento de protocolo. Depois de um utilizador realizar a transferência de autenticação, a sessão é acompanhada por protocolo. Outras tentativas de login dentro da mesma sessão podem estar sujeitas a políticas de fluxos de autenticação, mesmo que utilizem um fluxo de autenticação diferente.
• Reautenticação PRT necessária. Os utilizadores devem reautenticar-se no seu PC para iniciar a transferência de autenticação, mesmo com uma sessão de Token de Atualização Primária existente.

Considerações de segurança

A Microsoft recomenda que as organizações avaliem se a transferência de autenticação é necessária para os seus utilizadores. A orientação Zero Trust para proteger identidades recomenda bloquear a transferência de autenticação como uma boa prática de segurança.

Bloquear a transferência de autenticação ajuda a proteger contra o roubo de tokens e ataques de reprodução, impedindo o uso de tokens de dispositivo para autenticação silenciosa noutros dispositivos. Quando a transferência de autenticação está ativada, um ator de ameaça que tenha acesso a um dispositivo pode potencialmente aceder a recursos em dispositivos não aprovados, contornando as verificações padrão de autenticação e conformidade do dispositivo.

Considere as seguintes recomendações:

• Bloqueie a transferência de autenticação a menos que tenha uma necessidade documentada de negócio para iniciar sessão entre dispositivos. Use uma política de Acesso Condicional para bloquear a transferência de autenticação.
• Use primeiro o modo apenas com relatórios para compreender como a transferência de autenticação é usada na sua organização antes de impor um bloqueio.
• Exclua contas de acesso de emergência de qualquer política que bloqueie a transferência de autenticação.

Transferir autenticação em registos de acesso

Os administradores podem verificar os registos de início de sessão do Microsoft Entra para ver se os utilizadores estão a usar transferência de autenticação para iniciar sessão. Os eventos de transferência de autenticação aparecem consecutivos, com o primeiro evento a mostrar um código QR como método de autenticação.

Para verificar o estado de rastreio do protocolo de um início de sessão, selecione o evento de início de sessão e encontre a propriedade do método de transferência original na secção Informações básicas do painel detalhes da atividade: inícios de sessão. Para uma sessão em que foi realizada a transferência de autenticação, o método de transferência original é definido como Transferência de autenticação.

Gerenciar a transferência de autenticação para usuários e aplicativos específicos

A transferência de autenticação está habilitada por padrão para todos os usuários. Os administradores gerem a transferência de autenticação usando políticas de Acesso Condicional e a condição de fluxo de autenticação . Esta condição restringe a transferência de autenticação a utilizadores e aplicações específicas, ou desativa completamente a funcionalidade.

A transferência de autenticação verifica todas as políticas de Acesso Condicional aplicáveis antes de iniciar sessão do utilizador numa aplicação móvel. Se as condições exigidas não forem atendidas, o usuário será solicitado a entrar no aplicativo móvel.

Para criar uma política que use a condição de transferência de autenticação, consulte Bloquear transferência de autenticação com a política de Acesso Condicional.

Troubleshooting

Use os seguintes passos para resolver problemas com a transferência de autenticação.

Falha na transferência de autenticação para um utilizador:

1. Verifique os registos de login para eventos de transferência de autenticação. Procure a entrada do método de autenticação por código QR.
2. Selecione o evento de início de sessão e navegue até ao separador Acesso Condicional para identificar quais as políticas avaliadas e se alguma bloqueou a transferência.
3. Verifique se o dispositivo móvel alvo cumpre todos os requisitos de Acesso Condicional, incluindo as políticas de conformidade e localização do dispositivo.

Bloqueios inesperados após a utilização da transferência de autenticação:

1. Verifique se o início de sessão está bloqueado por um estado de rastreio de protocolo proveniente de uma transferência de autenticação anterior ou de uma sessão de fluxo com código de dispositivo.
2. Nos registos de início de sessão, selecione o início de sessão que foi bloqueado e verifique o campo Método de Transferência Original na secção Informação Básica. Se mostrar transferência de autenticação ou fluxo de código de dispositivo, a sessão foi monitorizada por protocolo.
3. Se a sua política de fluxos de autenticação se aplicar a todas as aplicações, poderá ver o código AADSTS530036de erro . Este erro indica que o token de renovação é inválido devido a verificações do fluxo de autenticação por Acesso Condicional.

Os utilizadores não podem iniciar a transferência de autenticação:

• Se uma política de Acesso Condicional gerir a transferência de autenticação para o utilizador, verifique se o utilizador tem uma licença Microsoft Entra ID P1 atribuída.
• Verificar que nenhuma política de Acesso Condicional bloqueia a transferência de autenticação para o grupo ou aplicação de destino do utilizador.
• Confirme que o utilizador está a usar uma aplicação Microsoft suportada tanto no dispositivo de origem como no de destino.

Para mais informações sobre a resolução de problemas de fluxos de autenticação, consulte Resolução de bloqueios inesperados.

Conteúdos relacionados

• Bloquear transferência de autenticação com a política de Acesso Condicional
• Acesso condicional: fluxos de autenticação
• Acesso Condicional: Condições
• Planejar uma implantação de Acesso Condicional
• Orientação Zero Trust: Proteger as identidades