Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID admite varios flujos de autenticación y autorización para proporcionar una experiencia sin problemas en todos los tipos de aplicación y dispositivo. Algunos flujos de autenticación son más altos de riesgo que otros. Para proporcionarle más control sobre la posición de seguridad, el acceso condicional le permite controlar determinados flujos de autenticación. Este control comienza con el flujo de código de dispositivo de destino explícito.
Flujo de código de dispositivo
El flujo de código de dispositivo permite iniciar sesión en dispositivos que carecen de dispositivos de entrada locales, como dispositivos compartidos o señalización digital. El flujo de código de dispositivo es un método de autenticación de alto riesgo que puede formar parte de un ataque de suplantación de identidad (phishing) o que se usa para acceder a los recursos corporativos en dispositivos no administrados. Configure el control de flujo de código de dispositivo junto con otros controles en las directivas de acceso condicional. Por ejemplo, si se usa el flujo de código del dispositivo para dispositivos de sala de conferencias basados en Android, bloquee el flujo de código del dispositivo en todas partes, excepto los dispositivos Android en una ubicación de red específica.
Permitir el flujo de código del dispositivo solo cuando sea necesario. Microsoft recomienda bloquear el flujo de código de dispositivo siempre que sea posible.
Transferencia de autenticación
La transferencia de autenticación es un flujo que permite a los usuarios transferir sin problemas el estado autenticado de un dispositivo a otro. Por ejemplo, los usuarios pueden ver un código QR en la versión de escritorio de Outlook que, cuando se examina en su dispositivo móvil, transfiere su estado autenticado al dispositivo móvil. Esta funcionalidad proporciona una experiencia sencilla e intuitiva que reduce la fricción de los usuarios.
Seguimiento de protocolos
Para asegurarse de que las directivas de acceso condicional se aplican con precisión en los flujos de autenticación especificados, usamos la funcionalidad denominada seguimiento de protocolos. Este seguimiento se aplica a la sesión mediante el flujo de código del dispositivo o la transferencia de autenticación. En estos casos, las sesiones se consideran protocolo de seguimiento. Las sesiones con seguimiento de protocolo están sujetas a la aplicación de directivas si existe una directiva. El estado de seguimiento del protocolo se mantiene a través de actualizaciones posteriores. Los flujos de transferencia de código sin dispositivo o de transferencia de autenticación pueden estar sujetos a la aplicación de directivas de flujos de autenticación si se realiza un seguimiento del protocolo de sesión.
Por ejemplo:
- Configure una directiva para bloquear el flujo de código del dispositivo en todas partes, excepto SharePoint.
- El flujo de código de dispositivo se usa para iniciar sesión en SharePoint, tal como lo permite la directiva configurada. En este momento, la sesión se considera protocolo de seguimiento
- Intenta iniciar sesión en Exchange en el contexto de la misma sesión con cualquier flujo de autenticación no solo en el flujo de código del dispositivo.
- Está bloqueado por la directiva configurada debido al estado de seguimiento del protocolo de la sesión.
Registros de inicio de sesión
Al configurar una directiva para restringir o bloquear el flujo de código de dispositivo, es importante comprender si y cómo se usa el flujo de código de dispositivo en la organización. Crear una directiva de acceso condicional en modo de solo informe o filtrar los registros de inicio de sesión para eventos de flujo de código de dispositivo con el filtro de protocolo de autenticación puede ayudar.
Para ayudar a solucionar problemas de errores relacionados con el seguimiento de protocolos, hemos agregado una nueva propiedad denominada método de transferencia original a la sección de detalles de actividad de los registros de inicio de sesión de acceso condicional. Esta propiedad muestra el estado de seguimiento del protocolo de la solicitud en cuestión. Por ejemplo, para una sesión en la que se realizó el flujo de código del dispositivo anteriormente, el método de transferencia original se establece en Flujo de código de dispositivo.
Aplicación de directivas de flujos de autenticación en el recurso de servicio de registro de dispositivos
A partir de principios de septiembre de 2024, Microsoft comenzó a aplicar directivas de flujos de autenticación en el servicio de registro de dispositivos. Esto solo se aplica a las directivas que tienen como destino todos los recursos del selector de recursos. Si su organización usa actualmente El flujo de código de dispositivo con fines de registro de dispositivos y tiene una directiva de flujos de autenticación destinada a todos los recursos, debe excluir el recurso de registro de dispositivos del ámbito de la directiva de acceso condicional para evitar el impacto. Puede encontrar el recurso del Servicio de registro de dispositivos en la opción Recursos de Destino presente dentro de la experiencia de configuración de la directiva de acceso condicional. Para excluir el Servicio de Registro de Dispositivos a través de la experiencia de usuario de acceso condicional, debe ir a Recursos de destino>Excluir>Seleccionar aplicaciones en la nube excluidas>Servicio de Registro de Dispositivos. Para la API, debe actualizar la política excluyendo el ID de cliente del servicio de registro de dispositivos: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Si no está seguro de si su organización usa el Flujo de Código del Dispositivo contra el Servicio de Registro de Dispositivos, puede usar los registros de inicio de sesión de Microsoft Entra para comprobarlo. Allí, puede filtrar el identificador de cliente del servicio de registro de dispositivos en el filtro ID de recurso, y limitarlo al uso del flujo de código de dispositivo mediante la opción código de dispositivo dentro del filtro protocolo de autenticación.
Solución de problemas de bloques inesperados
Si tiene un inicio de sesión bloqueado inesperadamente por una directiva de acceso condicional, debe confirmar si la directiva era una directiva de flujos de autenticación. Para ello, vaya a los registros de inicio de sesión, haga clic en el inicio de sesión bloqueado y, a continuación, vaya a la pestaña Acceso condicional en el panel Detalles de la actividad: inicios de sesión . Si la directiva aplicada era una directiva de flujos de autenticación, seleccione la directiva para determinar qué flujo de autenticación coincide.
Si el flujo de código del dispositivo coincidía, pero no fue el flujo utilizado para ese inicio de sesión, el token de actualización fue rastreado por el protocolo. Para comprobar este caso, haga clic en el inicio de sesión bloqueado y busque la propiedad Método de transferencia original en la parte Información básica del panel Detalles de la actividad: inicios de sesión .
Nota:
Los bloques debidos a sesiones con seguimiento de protocolos son el comportamiento esperado para esta directiva. No hay ninguna corrección recomendada.