Crie resiliência com estados de dispositivo

Ao habilitar os estados do dispositivo com o Microsoft Entra ID, os administradores podem criar políticas de Acesso Condicional que controlam o acesso a aplicativos com base no estado do dispositivo. A habilitação dos estados do dispositivo satisfaz os requisitos de autenticação forte para acesso a recursos, reduz as solicitações de autenticação multifator e melhora a resiliência.

O fluxograma a seguir apresenta maneiras de integrar dispositivos no Microsoft Entra ID que habilitam os estados do dispositivo. Você pode usar mais de um em sua organização.

Fluxograma para escolher os estados do dispositivo

Quando você usa estados de dispositivo, na maioria dos casos, os usuários experimentarão logon único para recursos por meio de um PRT (Token de Atualização Primária). O PRT contém declarações sobre o usuário e o dispositivo. Você pode usar essas declarações para obter tokens de autenticação para acessar aplicativos do dispositivo. O PRT é válido por 14 dias e é renovado continuamente desde que o usuário use ativamente o dispositivo, proporcionando aos usuários uma experiência resiliente. Para obter mais informações sobre como um PRT pode obter declarações de autenticação multifator, consulte Quando um PRT obtém uma declaração de MFA.

Como os estados do dispositivo ajudam?

Quando um PRT solicita acesso a um aplicativo, suas declarações de dispositivo, sessão e MFA são confiáveis pela ID do Microsoft Entra. Quando os administradores criam políticas que exigem um controle baseado em dispositivo ou um controle de autenticação multifator, o requisito de política pode ser atendido por meio do estado do dispositivo sem tentar MFA. Os usuários não verão mais prompts de MFA no mesmo dispositivo. Isso aumenta a resiliência a uma interrupção do serviço de autenticação multifator Microsoft Entra ou dependências, como provedores de telecomunicações locais.

Como implementar estados de dispositivo?

  • Habilite a associação híbrida do Microsoft Entra e a associação do Microsoft Entra para dispositivos Windows de propriedade da empresa e exija que eles sejam associados, se possível. Se não for possível, exija o seu registo. Se existirem versões mais antigas do Windows na sua organização, atualize esses dispositivos para utilizar o Windows 10.
  • Padronize o acesso ao navegador do usuário para usar o Microsoft Edge ou o Google Chrome com a extensão Microsoft Single Sign On que permite o SSO contínuo para aplicativos Web usando o PRT.
  • Para dispositivos iOS e Android pessoais ou de propriedade da empresa, implante o aplicativo Microsoft Authenticator. Além dos recursos de MFA e entrada sem senha, o aplicativo Microsoft Authenticator permite o logon único entre aplicativos nativos por meio da autenticação intermediada com menos prompts de autenticação para os usuários finais.
  • Para dispositivos iOS e Android pessoais ou de propriedade da empresa, use o gerenciamento de aplicativos móveis para acessar com segurança os recursos da empresa com menos solicitações de autenticação.
  • Para dispositivos macOS, use o plug-in Microsoft Enterprise SSO para dispositivos Apple (visualização) para registrar o dispositivo e fornecer SSO em navegadores e aplicativos nativos do Microsoft Entra. Em seguida, com base no seu ambiente, siga as etapas específicas para o Microsoft Intune ou Jamf Pro.

Próximos passos

Recursos de resiliência para administradores e arquitetos

Recursos de resiliência para desenvolvedores