Villkorsstyrd åtkomst: Överföring av autentisering (förhandsversion)

Autentiseringsöverföring är ett autentiseringsflöde som förenklar inloggning mellan enheter från dator till mobil för Microsoft-appar. Användare kan använda en QR-kod i en autentiserad Microsoft-app på sin dator för att logga in på samma app på en mobil enhet utan att ange autentiseringsuppgifter igen. Autentiseringsöverföring ökar användarens engagemang genom att ansluta användare på flera plattformar.

Note

Autentiseringsöverföringen är för närvarande i förhandsversion. Mer information om förhandsversioner finns i Universella licensvillkor för onlinetjänster.

Skärmbild som visar ett exempel på en princip för villkorsstyrd åtkomst som använder autentiseringsöverföring med en blockkontroll.

Förutsättningar

  • En Microsoft Entra ID P1-licens krävs för varje användare som omfattas av principer för villkorsstyrd åtkomst som hanterar autentiseringsöverföring. Mer information om licensiering finns i Planera en distribution av villkorsstyrd åtkomst.
  • Om du vill skapa eller ändra principer för villkorsstyrd åtkomst som hanterar autentiseringsöverföring loggar du in som minst administratör för villkorlig åtkomst.
  • Autentiseringsöverföring är aktiverat som standard för alla användare. Ingen inledande konfiguration krävs för att användarna ska kunna använda funktionen.

Så här fungerar autentiseringsöverföring

Med autentiseringsöverföring kan du överföra autentiseringsanspråk från en enhet till en annan, till exempel från en stationär dator till en mobil enhet. Följande steg beskriver flödet:

  1. En användare loggar in på en Microsoft-app som stöds på deras dator och slutför all nödvändig autentisering, inklusive multifaktorautentisering (MFA).
  2. Appen visar en QR-kod som användaren kan skanna med sin mobila enhet.
  3. Användaren söker igenom QR-koden med hjälp av en Microsoft-app som stöds på deras mobila enhet.
  4. Microsoft Entra ID utvärderar alla tillämpliga principer för villkorlig åtkomst för målmobilappen.
  5. Om principerna är uppfyllda överförs autentiseringsanspråken till den mobila enheten och användaren loggas in automatiskt.
  6. Om principerna inte uppfylls misslyckas överföringen och användaren uppmanas att logga in manuellt på den mobila enheten.

Autentiseringsöverföring överför endast autentiseringsanspråk. Enhetsrelaterade anspråk, till exempel enhetsefterlevnadstillstånd, överförs inte till målenheten. Den mobila enheten måste oberoende uppfylla alla enhetsbaserade krav på villkorsstyrd åtkomst.

När en användare utför autentiseringsöverföring betraktas sessionen som protokollspårad. Protokollspårning innebär att sessionstillståndet bevaras genom efterföljande tokenuppdateringar. Efterföljande inloggningsförsök inom samma session kan vara föremål för principframtvingande för autentiseringsflöden, även om de inte använder autentiseringsöverföring.

Program som stöds

Autentiseringsöverföring är tillgängligt för Microsoft-appar som stöder QR-kodflödet mellan enheter. Användare kan till exempel se en QR-kod i skrivbordsversionen av Outlook, som när de skannas på sin mobila enhet överför deras autentiseringsstatus till den mobila versionen av Outlook. Stödet varierar beroende på app och version. Kontrollera relevant dokumentation för Microsoft-appen för att bekräfta om den stöder autentiseringsöverföring.

Important

Autentiseringsöverföring stöds inte för appar som inte är från Microsoft.

Slutanvändarens upplevelse

Autentiseringsöverföringsupplevelsen är utformad för att minska friktionen för användare som arbetar på flera enheter.

På skrivbordet (källenhet):

  • Användaren är inloggad på en Microsoft-app som stöds på deras dator.
  • En QR-kod visas i appen och erbjuder att överföra sessionen till en mobil enhet.

På den mobila enheten (målenhet):

  • Användaren öppnar en Microsoft-app som stöds och genomsöker QR-koden.
  • Om alla principer för villkorsstyrd åtkomst är uppfyllda loggas användaren in automatiskt utan att autentiseringsuppgifterna anges igen eller MFA slutförs igen.
  • Om någon princip för villkorsstyrd åtkomst inte uppfylls för den mobila enheten uppmanas användaren att logga in manuellt. Användaren kan behöva slutföra MFA eller uppfylla andra krav på den mobila enheten.

Autentiseringsöverföring och villkorsstyrd åtkomst

Under autentiseringsöverföringen utvärderas alla principer för villkorsstyrd åtkomst i Microsoft Entra. Att förstå hur principer interagerar med autentiseringsöverföring hjälper dig att skydda din organisation samtidigt som du behåller användarproduktiviteten.

Överföring av autentiseringsanspråk, enhetsanspråk gör det inte:

  • Autentiseringsöverföring överför endast autentiseringsanspråk. Den överför inte enhetsrelaterade påståenden som överensstämmelsestatus eller hanterad status.
  • Om en princip för villkorsstyrd åtkomst kräver enhetsefterlevnad eller en hanterad enhet måste den mobila enheten uppfylla dessa krav oberoende av varandra.

MFA krävs inte igen om det redan har slutförts:

  • Om användarna slutför MFA på sin dator behöver de inte utföra MFA igen på sin mobila enhet under autentiseringsöverföringen.

Principer för villkorlig åtkomst utvärderas före överföring:

  • Principer för villkorsstyrd åtkomst utvärderas innan autentiseringsöverföringen slutförs. Om en princip inte uppfylls för den mobila enheten uppmanas användaren att logga in manuellt.

MdM-förbikoppling som inte kommer från Microsoft:

  • Autentiseringsöverföring kringgår icke-Microsoft MDM-lösningar (mobile device management) när autentisering överförs till mobila enheter. Den här förbikopplingen innebär att organisationer som förlitar sig på MDM-lösningar som inte kommer från Microsoft för att framtvinga åtkomstkontroller kan ha ett säkerhetsgap under autentiseringsöverföringen. Om din organisation använder en MDM-lösning som inte kommer från Microsoft kan du överväga att blockera autentiseringsöverföring för berörda användare eller appar.

Återautentisering av primär förnyelsetoken (PRT):

  • Användarna måste autentisera på datorn igen för att initiera autentiseringsöverföring, även om de har skyddade sessionstoken som den primära uppdateringstoken. Efter omautentisering på datorn behöver användarna inte autentisera på nytt i mobilappen.

Kända begränsningar

Granska följande begränsningar innan du aktiverar eller hanterar autentiseringsöverföring i din organisation:

  • Enhetsanspråk överförs inte. Endast autentiseringsanspråk överförs till den mobila enheten. Enhetsefterlevnad, hanterad status och andra enhetsrelaterade krav måste uppfyllas oberoende av den mobila enheten.
  • MdM-förbikoppling som inte kommer från Microsoft. Autentiseringsöverföring kringgår MDM-lösningar som inte kommer från Microsoft. Organisationer som är beroende av icke-Microsoft MDM för mobil åtkomstkontroll bör utvärdera säkerhetskonsekvenserna. Mer information finns i Zero Trust-vägledningen om blockering av autentiseringsöverföring.
  • Endast Microsoft-appar. Autentiseringsöverföring är endast tillgängligt för Microsoft-appar. Appar som inte är från Microsoft stöder inte det här flödet.
  • Protokollspårning. När en användare utför autentiseringsöverföring spåras sessionen. Andra inloggningsförsök inom samma session kan omfattas av principer för autentiseringsflöden, även om de använder ett annat autentiseringsflöde.
  • PRT-omautentisering krävs. Användarna måste autentisera på datorn igen för att starta autentiseringsöverföringen, även med en befintlig primär uppdateringstokensession.

Säkerhetsfrågor

Microsoft rekommenderar att organisationer utvärderar om autentiseringsöverföring är nödvändig för användarna. Riktlinjerna för noll förtroende för att skydda identiteter rekommenderar att du blockerar autentiseringsöverföring som bästa praxis för säkerhet.

Blockering av autentiseringsöverföring skyddar mot stöld av tokens och uppspelningsattacker genom att förhindra användandet av enhetstokens för tyst autentisering på andra enheter. När autentiseringsöverföring är aktiverat kan en hotaktören som får åtkomst till en enhet potentiellt komma åt resurser på icke-godkända enheter och kringgå standardautentiserings- och enhetsefterlevnadskontroller.

Överväg följande rekommendationer:

  • Blockera autentiseringsöverföring om du inte har ett dokumenterat affärsbehov för inloggning mellan enheter. Använd en princip för villkorsstyrd åtkomst för att blockera autentiseringsöverföring.
  • Använd rapportläge först för att förstå hur autentiseringsöverföring används i din organisation innan ett block tillämpas.
  • Undanta konton för nödåtkomst från alla principer som blockerar autentiseringsöverföring.

Autentiseringsöverföring i inloggningsloggar

Administratörer kan kontrollera inloggningsloggarna för Microsoft Entra för att se om användarna använder autentiseringsöverföring för att logga in. Autentiseringsöverföringshändelser visas i följd, där den första händelsen visar en QR-kod som autentiseringsmetod.

Om du vill kontrollera protokollspårningstillståndet för en inloggning väljer du inloggningshändelsen och letar reda på egenskapen Ursprunglig överföringsmetod i den grundläggande informationsdelen i fönstret Aktivitetsinformation: inloggningar . För en session där autentiseringsöverföring utfördes är den ursprungliga överföringsmetoden inställd på Autentiseringsöverföring.

Hantera autentiseringsöverföring för specifika användare och appar

Autentiseringsöverföring är aktiverat som standard för alla användare. Administratörer hanterar autentiseringsöverföring med hjälp av principer för villkorsstyrd åtkomst och villkoret för autentiseringsflöden . Det här villkoret begränsar autentiseringsöverföringen till specifika användare, appar eller inaktiverar funktionen helt.

Autentiseringsöverföring kontrollerar alla tillämpliga principer för villkorsstyrd åtkomst innan användaren loggas in i en mobilapp. Om de nödvändiga villkoren inte uppfylls uppmanas användaren att logga in på mobilappen.

Information om hur du skapar en princip som använder villkoret för autentiseringsöverföring finns i Blockera autentiseringsöverföring med princip för villkorsstyrd åtkomst.

Felsökning

Använd följande steg för att felsöka problem med autentiseringsöverföring.

Autentiseringsöverföringen misslyckas för en användare:

  1. Kontrollera inloggningsloggarna för autentiseringsöverföringshändelser . Leta efter posten för autentiseringsmetod med QR-kod.
  2. Välj inloggningshändelsen och gå till fliken Villkorsstyrd åtkomst för att identifiera vilka principer som utvärderades och om någon blockerade överföringen.
  3. Kontrollera att den mobila målenheten uppfyller alla krav för villkorsstyrd åtkomst, inklusive principer för enhetsefterlevnad och plats.

Oväntade block efter användning av autentiseringsöverföring:

  1. Kontrollera om inloggningen blockeras av ett protokollspårningstillstånd från en tidigare autentiseringsöverföring eller enhetskodflödessession.
  2. I inloggningsloggarna väljer du den blockerade inloggningen och kontrollerar egenskapen Ursprunglig överföringsmetod i avsnittet Grundläggande information . Om den visar autentiseringsöverföring eller enhetskodflöde spårades sessionen.
  3. Om principen för autentiseringsflöden gäller för alla program kan du se felkoden AADSTS530036. Det här felet anger att uppdateringstoken är ogiltig på grund av autentiseringsflödeskontroller av villkorsstyrd åtkomst.

Användare kan inte initiera autentiseringsöverföring:

  • Om en princip för villkorsstyrd åtkomst hanterar autentiseringsöverföring för användaren kontrollerar du att användaren har tilldelats en Microsoft Entra ID P1-licens.
  • Kontrollera att ingen princip för villkorsstyrd åtkomst blockerar autentiseringsöverföring för användarens grupp eller målapp.
  • Bekräfta att användaren använder en Microsoft-app som stöds på både käll- och målenheterna.

Mer information om hur du felsöker autentiseringsflöden finns i Felsöka oväntade block.

Relaterat innehåll

  • Last updated on