条件访问:身份验证传输(预览版)

身份验证传输是一个新的身份验证流,用于简化 Microsoft 应用从电脑到移动设备的跨设备登录。 身份验证传输允许将身份验证从一台设备传输到另一台设备,例如从桌面到移动设备。 身份验证传输通过在多个平台上连接用户来提高用户参与度。 用户可以在电脑上使用经身份验证的应用中的 QR 码登录到移动应用。

通过块控件使用身份验证的示例条件访问策略屏幕截图。

身份验证传输和条件访问

在身份验证传输期间,将评估所有 Microsoft Entra 条件访问策略。 身份验证传输仅传输身份验证声明,而不会传输与设备相关的声明。

  • 使用身份验证传输时,如果用户在其电脑上执行了多重身份验证 (MFA),则无需在移动设备上执行 MFA。
  • 使用身份验证传输时,会在传输身份验证之前对条件访问策略进行评估。 如果移动设备未满足某个策略,系统会提示用户手动登录。
    • 将身份验证传输到移动设备时,身份验证传输会绕过第三方移动设备管理 (MDM) 解决方案。
  • 使用身份验证传输时,如果用户使用受保护的会话令牌(如主刷新令牌)登录,则必须在电脑上重新进行身份验证。 无需在移动应用上重新进行身份验证。

登录日志中的身份验证传输

管理员可以检查登录日志,以查看其用户是否使用身份验证传输登录。 身份验证传输的使用情况显示在 Microsoft Entra 登录日志中的“身份验证详细信息”下。 管理员将背靠背查看事件,第一个事件是使用 QR 码作为身份验证方法。

管理特定用户和应用的身份验证传输

默认为所有用户启用身份验证传输。 管理员可以使用条件访问策略和身份验证流条件来管理身份验证传输。 此条件可以限制身份验证传输仅用于特定用户、应用或关闭功能。

在将用户登录到移动应用之前,身份验证传输会检查所有适用的条件访问策略。 如果未满足所需的条件,系统会提示用户在移动应用上进行身份验证。

若要创建使用身份验证传输条件的策略,请参阅文章使用条件访问策略阻止身份验证传输