条件访问:身份验证传输(预览版)

身份验证传输是一种认证流程,用于简化Microsoft应用从电脑到移动设备的跨设备登录。 用户可以在其电脑上经过身份验证的Microsoft应用中使用 QR 码登录到移动设备上的同一应用,而无需重新输入凭据。 身份验证传输通过连接多个平台上的用户来提高用户参与度。

注释

身份验证传输目前为预览版。 有关预览版的详细信息,请参阅在线服务通用许可条款

显示一个示例条件访问策略的屏幕截图,该策略使用身份验证传输和块控制。

先决条件

  • 每个受管理身份验证传输的条件访问策略约束的每个用户都需要Microsoft Entra ID P1 许可证。 有关许可的详细信息,请参阅 计划条件访问部署
  • 若要创建或修改管理身份验证传输的条件访问策略,请至少以 条件访问管理员身份登录。
  • 默认为所有用户启用身份验证传输。 用户无需初始配置即可使用该功能。

身份验证传输的工作原理

通过身份验证传输,可以将身份验证声明从一台设备传输到另一台设备,例如从桌面电脑传输到移动设备。 以下步骤描述了流程:

  1. 用户登录到其电脑上支持的Microsoft应用,并完成任何所需的身份验证,包括多重身份验证(MFA)。
  2. 该应用显示用户可以使用其移动设备扫描的 QR 码。
  3. 用户在移动设备上使用受支持的Microsoft应用扫描 QR 码。
  4. Microsoft Entra ID 评估目标移动应用的所有适用条件访问策略。
  5. 如果满足策略,身份验证声明会传输到移动设备,并且用户会自动登录。
  6. 如果策略不满足,传输将失败,并提示用户手动在移动设备上登录。

身份验证传输仅传输身份验证声明。 与设备相关的声明(如设备符合性状态)不会传输到目标设备。 移动设备必须独立满足任何基于设备的条件访问要求。

当用户执行身份验证传输时,会话被视为 跟踪协议。 协议跟踪意味着会话状态在后续令牌刷新时得以持续。 同一会话中的后续登录尝试可能会受到身份验证流策略强制实施的约束,即使它们不使用身份验证传输也是如此。

支持的应用

身份验证传输适用于支持跨设备 QR 码流的Microsoft应用。 例如,用户可能会在桌面版本的 Outlook 中看到 QR 码,在移动设备上扫描时,会将经过身份验证的状态传输到 Outlook 的移动版本。 支持因应用和版本而异。 检查相关的Microsoft应用文档,确认它是否支持身份验证传输。

Important

非Microsoft应用不支持身份验证传输。

最终用户体验

身份验证传输体验旨在减少跨多个设备工作的用户的摩擦。

在计算机桌面环境(源设备)上:

  • 用户登录到其电脑上支持的Microsoft应用。
  • QR 码显示在应用中,提供将会话传输到移动设备。

在移动设备上(目标设备):

  • 用户打开受支持的Microsoft应用并扫描 QR 码。
  • 如果满足所有条件访问策略,则用户会自动登录,无需重新输入凭据或再次完成 MFA。
  • 如果移动设备不满足任何条件访问策略,系统会提示用户手动登录。 用户可能需要完成 MFA 或满足移动设备上的其他要求。

身份验证传输和条件访问

在身份验证传输期间,将评估所有Microsoft Entra 条件访问策略。 了解策略如何与身份验证传输交互,帮助你保护组织,同时保持用户工作效率。

身份验证声明会传输,设备声明不会传输:

  • 身份验证传输仅传输身份验证声明。 它不会传输与设备相关的声明,例如符合性状态或托管状态。
  • 如果条件访问策略需要设备符合性或托管设备,则移动设备必须独立满足这些要求。

如果已完成,则无需再次执行 MFA:

  • 如果用户在其电脑上完成 MFA,则无需在身份验证传输期间在其移动设备上再次执行 MFA。

在传输之前评估条件访问策略:

  • 条件访问策略在身份验证传输完成之前进行评估。 如果移动设备未满足某个策略,系统会提示用户手动登录。

非微软 MDM 绕过:

  • 将身份验证传输到移动设备时,身份验证传输会绕过非Microsoft移动设备管理(MDM)解决方案。 这种绕过意味着依赖于非Microsoft MDM 解决方案来强制实施访问控制的组织在身份验证传输过程中可能存在安全差距。 如果你的组织使用非Microsoft MDM 解决方案,请考虑阻止受影响的用户或应用的 身份验证传输

Primary Refresh Token (PRT) 重新身份验证:

  • 即使用户具有受保护的会话令牌(如主刷新令牌),也必须在其电脑上重新进行身份验证才能启动身份验证传输。 在电脑上重新进行身份验证后,用户无需在移动应用上重新进行身份验证。

已知的限制

在组织中启用或管理身份验证传输之前,请查看以下限制:

  • 设备权利声明不会转移。 只有认证声明被传输到移动设备。 必须在移动设备上独立满足设备符合性、托管状态和其他与设备相关的声明。
  • 非微软 MDM 规避。 身份验证传输绕过非Microsoft MDM 解决方案。 依赖于非Microsoft MDM 进行移动访问控制的组织应评估安全隐患。 有关详细信息,请参阅 关于阻止身份验证传输的零信任指南
  • 仅限 Microsoft 应用程序。 身份验证传输仅适用于Microsoft应用。 非Microsoft应用不支持此流。
  • 协议跟踪。 用户执行身份验证传输后,协议将对会话进行跟踪。 同一会话中的其他登录尝试可能会受到身份验证流策略的约束,即使它们使用不同的身份验证流也是如此。
  • 需要 PRT 重新身份验证。 用户必须在电脑上重新进行身份验证才能开始身份验证传输,即使使用现有的主刷新令牌会话也是如此。

安全注意事项

Microsoft建议组织评估对其用户而言是否需要进行认证转移。 保护标识的零信任指南建议阻止身份验证传输作为安全最佳做法。

阻止身份验证传输有助于防止令牌被盗和重播攻击,防止使用设备令牌在其他设备上以无提示方式进行身份验证。 启用身份验证传输后,有权访问一台设备的威胁参与者可能会访问未批准的设备上的资源,从而绕过标准身份验证和设备符合性检查。

请考虑以下建议:

  • 除非有记录的业务需要进行跨设备登录,否则阻止身份验证传输。 使用条件访问策略 阻止身份验证传输
  • 首先使用报告模式 来了解在组织中如何使用身份验证传输,然后再强制实施阻止。
  • 从阻止身份验证传输的任何策略中排除紧急访问帐户

登录日志中的认证传输

管理员可以检查 Microsoft Entra 登录日志 ,以查看用户是否使用身份验证传输登录。 身份验证事件会连续出现,第一个事件显示 QR 码作为身份验证方法。

若要检查登录的协议跟踪状态,请选择登录事件,并在Basic info部分中的Original transfer method属性下找到Activity details: sign-ins窗格。 对于执行身份验证传输的会话, 原始传输方法 设置为 身份验证传输

管理特定用户和应用的身份验证传输

默认为所有用户启用身份验证传输。 管理员使用条件访问策略和 身份验证流 条件管理身份验证传输。 此条件限制身份验证的传输,可以针对特定用户、应用或完全禁用该功能。

在将用户登录到移动应用之前,身份验证传输会检查所有适用的条件访问策略。 如果未满足所需的条件,系统会提示用户登录移动应用。

若要创建使用身份验证传输条件的策略,请参阅 使用条件访问策略阻止身份验证传输

Troubleshooting

使用以下步骤排查身份验证传输问题。

用户身份验证传输失败:

  1. 检查 登录日志 ,了解身份验证传输事件。 查找 QR 码身份验证方法条目。
  2. 选择登录活动并导航到“条件访问”选项卡,以确定评估了哪些策略以及是否有任何策略阻止了传输。
  3. 验证目标移动设备是否满足所有条件访问要求,包括设备符合性和位置策略。

使用身份验证传输后出现意外的块:

  1. 检查登录是否被以前的身份验证传输或设备代码流会话中的 协议跟踪 状态阻止。
  2. 在登录日志中,选择阻止的登录,并在“基本信息”部分中检查原始传输方法属性。 如果显示 身份验证传输设备代码流,则会跟踪会话。
  3. 如果身份验证流策略适用于所有应用程序,可能会看到错误代码 AADSTS530036。 该错误表明,由于条件访问的身份验证流程检查,刷新令牌无效。

用户无法启动身份验证传输:

  • 如果条件访问策略管理用户的身份验证传输,请验证用户是否分配了Microsoft Entra ID P1 许可证。
  • 验证没有条件访问策略阻止用户组或目标应用的身份验证传输。
  • 确认用户在源设备和目标设备上都使用受支持的Microsoft应用。

有关对身份验证流进行故障排除的详细信息,请参阅 对意外块进行故障排除

相关内容

  • Last updated on