条件访问:身份验证传输(预览版)

身份验证传输是一种新的身份验证流程,可简化从PC到移动设备的Microsoft应用程序跨设备登录。 身份验证传输允许将身份验证从一台设备传输到另一台设备,例如桌面到移动设备。 身份验证传输通过连接多个平台上的用户来提高用户参与度。 用户可以在其电脑上的经过身份验证的应用中使用 QR 码登录到移动应用。

示例条件访问策略的屏幕截图,该策略使用身份验证和块控件。

身份验证传输和条件访问

在身份验证传输期间,将评估所有 Microsoft Entra 条件访问策略。 身份验证传输仅传输身份验证声明;它不会传输与设备相关的声明。

  • 通过身份验证传输,如果用户在其电脑上执行多重身份验证(MFA),则无需在其移动设备上执行 MFA。
  • 使用身份验证传输时,在传输身份验证之前会评估条件访问策略。 如果移动设备未满足某个策略,系统会提示用户手动登录。
    • 将身份验证传输到移动设备时,身份验证传输会绕过非Microsoft移动设备管理(MDM)解决方案。
  • 使用身份验证传输时,即使用户使用受保护的会话令牌(如主刷新令牌)登录,用户也必须在其电脑上重新进行身份验证。 它们不需要在移动应用上重新进行身份验证。

登录日志中的身份验证传输

管理员可以检查登录日志,以查看其用户是否正在使用身份验证传输登录。 身份验证传输使用情况显示在 Microsoft Entra 登录日志中的 “身份验证详细信息 ”下。 管理员连续看到事件,第一个事件显示 QR 码作为身份验证方法。

管理特定用户和应用的身份验证传输

默认为所有用户启用身份验证传输。 管理员使用条件访问策略和身份验证流条件来管理身份验证传输。 此条件将身份验证传输限制为特定用户、应用或关闭该功能。

在将用户登录到移动应用之前,身份验证传输会检查所有适用的条件访问策略。 如果未满足所需的条件,系统会提示用户登录移动应用。

若要创建使用身份验证传输条件的策略,请参阅 使用条件访问策略阻止身份验证传输