Sdílet prostřednictvím


Podmíněný přístup: Toky ověřování (Preview)

Microsoft Entra ID podporuje širokou škálu toků ověřování a autorizace, které poskytují bezproblémové prostředí pro všechny typy aplikací a zařízení. Některé z těchto toků ověřování představují vyšší riziko než jiné. Abychom zajistili větší kontrolu nad stavem zabezpečení, přidáváme možnost řídit určité toky ověřování do podmíněného přístupu. Tento ovládací prvek začíná schopností explicitně cílit na tok kódu zařízení.

Tok kódu zařízení

Tok kódu zařízení se používá při přihlašování k zařízením, která nemusí obsahovat místní vstupní zařízení, jako jsou sdílená zařízení nebo digitální podpis. Tok kódu zařízení je vysoce rizikový tok ověřování, který se může použít jako součást útoku phishing nebo pro přístup k podnikovým prostředkům na nespravovaných zařízeních. Řízení toku kódu zařízení můžete nakonfigurovat spolu s dalšími ovládacími prvky v zásadách podmíněného přístupu. Pokud se například tok kódu zařízení používá pro zařízení konferenční místnosti založené na Androidu, můžete se rozhodnout blokovat tok kódu zařízení všude s výjimkou zařízení s Androidem v určitém síťovém umístění.

V případě potřeby byste měli povolit tok kódu zařízení. Microsoft doporučuje blokovat tok kódu zařízení všude, kde je to možné.

Přenos ověřování

Přenos ověřování je nový tok, který nabízí bezproblémový způsob přenosu ověřeného stavu z jednoho zařízení do druhého. Uživatelé můžou být například prezentováni s kódem QR v desktopové verzi Outlooku, která při kontrole na mobilním zařízení přenese ověřený stav na mobilní zařízení. Tato funkce poskytuje jednoduché a intuitivní uživatelské prostředí, které snižuje celkovou úroveň tření pro uživatele.

Možnost řídit přenos ověřování je ve verzi Preview pomocí podmínky toků ověřování v podmíněném přístupu ke správě této funkce.

Sledování protokolů

Abychom zajistili přesné vynucení zásad podmíněného přístupu u zadaných toků ověřování, používáme funkce označované jako sledování protokolu. Toto sledování se použije u relace pomocí toku kódu zařízení nebo přenosu ověřování. V těchto případech se relace považují za sledované protokoly. Všechny sledované relace protokolu podléhají vynucení zásad, pokud zásada existuje. Stav sledování protokolu se udržuje prostřednictvím následných aktualizací. Tok jiného kódu nebo toky přenosu ověřování můžou podléhat vynucení zásad toků ověřování, pokud je relace sledována.

Příklad:

  1. Zásady nakonfigurujete tak, aby blokovaly tok kódu zařízení všude kromě SharePointu.
  2. Tok kódu zařízení se používá k přihlášení k SharePointu, jak to povoluje nakonfigurovaná zásada. V tomto okamžiku se relace považuje za protokol sledovaný.
  3. Pokusíte se přihlásit k Exchangi v kontextu stejné relace pomocí toku ověřování, nejen toku kódu zařízení.
  4. Nakonfigurované zásady jsou blokované kvůli stavu sledovaného protokolu relace.

Protokoly přihlašování

Při konfiguraci zásady pro omezení nebo blokování toku kódu zařízení je důležité pochopit, jestli a jak se ve vaší organizaci používá tok kódu zařízení. Vytvoření zásad podmíněného přístupu v režimu jen pro sestavy nebo filtrování protokolů přihlašování pro události toku kódu zařízení pomocí filtru ověřovacího protokolu může pomoct.

Abychom vám pomohli při řešení chyb souvisejících se sledováním protokolu, přidali jsme do části podrobnosti o aktivitě protokolů přihlašování k podmíněnému přístupu novou vlastnost s názvem původní způsob přenosu. Tato vlastnost zobrazuje stav sledování protokolu daného požadavku. Například u relace, ve které byl tok kódu zařízení proveden dříve , je původní metoda přenosu nastavena na tok kódu zařízení.

Vynucení zásad toků ověřování u prostředku služby Device Registration Service

Od začátku září 2024 začne Microsoft vynucovat zásady toků ověřování ve službě Device Registration Service. To platí jenom pro zásady, které cílí na všechny prostředky ve výběru prostředků. Pokud vaše organizace aktuálně používá tok kódu zařízení pro účely registrace zařízení a máte zásady toků ověřování, které cílí na všechny prostředky, budete muset prostředek registrace zařízení vyloučit z rozsahu zásad podmíněného přístupu, abyste se vyhnuli dopadu. Prostředek služby Device Registration Service najdete v možnosti Cílové prostředky v rámci konfigurace zásad podmíněného přístupu. Pokud chcete vyloučit službu registrace zařízení prostřednictvím uživatelského prostředí podmíněného přístupu, budete muset přejít na Cílové prostředky ->Exclude ->Select vyloučené cloudové aplikace ->Device Registration Service. Pro rozhraní API budete muset aktualizovat zásady vyloučením ID klienta pro službu Registrace zařízení: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Pokud si nejste jistí, jestli vaše organizace používá tok kódu zařízení proti službě Device Registration Service, můžete k tomuto určení využít protokoly přihlášení Microsoft Entra. Tam můžete vyfiltrovat ID klienta služby Device Registration Service ve filtru ID prostředku a zúžit ho na využití toku kódu zařízení pomocí možnosti Kód zařízení ve filtru ověřovacího protokolu .

Řešení potíží s neočekávanými bloky

Pokud zásady podmíněného přístupu neočekávaně blokují přihlášení, měli byste ověřit, jestli se jedná o zásady toků ověřování. Toto potvrzení můžete provést tak, že přejdete do protokolů přihlášení, kliknete na blokované přihlášení a pak přejdete na kartu Podmíněný přístup v podokně Aktivity: přihlášení . Pokud se zásada vynucovala jako zásada toků ověřování, vyberte zásadu, abyste zjistili, který tok ověřování se shodoval.

Pokud byl tok kódu zařízení spárovaný, ale tok kódu zařízení nebyl tok provedený pro toto přihlášení, znamená to, že token aktualizace byl sledován protokolem. Tento případ můžete ověřit tak, že kliknete na zablokované přihlášení a vyhledáte vlastnost Metody původního převodu v části Základní informace podrobností o aktivitě: podokno přihlášení.

Poznámka:

Bloky kvůli relacím sledovaným protokolem jsou pro tuto zásadu očekávané chování. Neexistuje žádná doporučená náprava.