Podmíněný přístup: Procesy ověřování
Microsoft Entra ID podporuje širokou škálu toků ověřování a autorizace, které poskytují bezproblémové prostředí pro všechny typy aplikací a zařízení. Některé z těchto toků ověřování představují vyšší riziko než jiné. Abychom zajistili větší kontrolu nad stavem zabezpečení, přidáváme možnost řídit určité toky ověřování do podmíněného přístupu. Tento ovládací prvek začíná schopností explicitně cílit na tok kódu zařízení.
Tok kódu zařízení
Tok kódu zařízení se používá při přihlašování k zařízením, která nemusí obsahovat místní vstupní zařízení, jako jsou sdílená zařízení nebo digitální podpis. Tok kódu zařízení je vysoce rizikový tok ověřování, který se může použít jako součást útoku phishing nebo pro přístup k podnikovým prostředkům na nespravovaných zařízeních. Řízení toku kódu zařízení můžete nakonfigurovat spolu s dalšími ovládacími prvky v zásadách podmíněného přístupu. Pokud se například tok kódu zařízení používá pro zařízení konferenční místnosti založené na Androidu, můžete se rozhodnout blokovat tok kódu zařízení všude s výjimkou zařízení s Androidem v určitém síťovém umístění.
V případě potřeby byste měli povolit tok kódu zařízení. Microsoft doporučuje blokovat tok kódu zařízení všude, kde je to možné.
Přenos autentizace
Přenos ověřování je nový tok, který nabízí bezproblémový způsob přenosu ověřeného stavu z jednoho zařízení do druhého. Uživatelé můžou být například prezentováni s kódem QR v desktopové verzi Outlooku, která při kontrole na mobilním zařízení přenese ověřený stav na mobilní zařízení. Tato funkce poskytuje jednoduché a intuitivní uživatelské prostředí, které snižuje celkovou úroveň tření pro uživatele.
Sledování protokolů
Abychom zajistili přesné vynucení zásad podmíněného přístupu u zadaných toků ověřování, používáme funkce označované jako sledování protokolu. Toto sledování se použije u relace pomocí způsobu ověřování pomocí kódu zařízení nebo přenosu autentizace. V těchto případech se relace považují za sledované v rámci protokolu. Všechny sledované relace protokolu podléhají vynucování zásad, pokud existují. Stav sledování protokolu se udržuje prostřednictvím následných aktualizací. Toky kódu bez zařízení nebo toky přenosu autentizace mohou podléhat vynucování zásad autentizačních toků, pokud je relace sledována protokolem.
Příklad:
- Zásady nakonfigurujete tak, aby blokovaly tok kódu zařízení všude kromě SharePointu.
- K přihlášení k SharePointu používáte tok kódu zařízení, jak to dovoluje nakonfigurovaná zásada. V tomto okamžiku se relace považuje za sledovanou protokolem.
- Pokusíte se přihlásit k Exchangi v kontextu stejné relace pomocí toku ověřování, nejen toku kódu zařízení.
- Jste blokován nakonfigurovanou zásadou kvůli sledovanému stavu protokolu relace.
Protokoly přihlašování
Při konfiguraci zásady pro omezení nebo blokování toku kódu zařízení je důležité pochopit, jestli a jak se ve vaší organizaci používá tok kódu zařízení. Vytvoření zásad podmíněného přístupu pouze v režimu sestav nebo filtrování protokolů přihlašování pro události toku kódu zařízení pomocí filtru ověřovacího protokolu může pomoci.
cs-CZ: Abychom vám pomohli při řešení chyb souvisejících se sledováním protokolu, přidali jsme do části podrobnosti o aktivitě v protokolech přihlašování podmíněného přístupu novou vlastnost s názvem původní způsob přenosu. Tato vlastnost zobrazuje stav sledování protokolu daného požadavku. Například u relace, ve které byl dříve proveden tok kódu zařízení, je původní metoda přenosu nastavena na tok kódu zařízení.
Vynucení zásad toků ověřování u prostředku služby Registrace zařízení
Od začátku září 2024 začne Microsoft vynucovat zásady toků ověřování ve službě Device Registration Service. To platí jenom pro zásady, které cílí na všechny prostředky v nástroji na výběr prostředků. Pokud vaše organizace aktuálně používá tok kódu zařízení pro registraci zařízení a máte zásady ověřovacích toků, které se zaměřují na všechny prostředky, budete muset vyloučit prostředek registrace zařízení z rozsahu zásady podmíněného přístupu, aby nedošlo k ovlivnění. Prostředek služby Device Registration Service najdete v možnosti Cílové prostředky v rámci konfigurace zásad podmíněného přístupu. Pokud chcete vyloučit službu registrace zařízení prostřednictvím uživatelského prostředí podmíněného přístupu, budete muset přejít na Cílové prostředky ->Exclude ->Vybrat vyloučené cloudové aplikace ->Device Registration Service. Pro rozhraní API budete muset aktualizovat zásady vyloučením ID klienta pro službu Registrace zařízení: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Pokud si nejste jistí, jestli vaše organizace používá tok kódu zařízení proti službě Device Registration Service, můžete k tomuto určení využít protokoly přihlášení Microsoft Entra. Tam můžete vyfiltrovat ID klienta služby Device Registration Service ve filtru ID prostředku a zúžit ho na využití toku kódu zařízení pomocí možnosti kódu zařízení ve filtru ověřovacího protokolu.
Řešení potíží s neočekávanými bloky
Pokud vám zásady podmíněného přístupu neočekávaně blokují přihlášení, měli byste ověřit, zda se jedná o zásady týkající se toků ověřování. Toto potvrzení můžete provést tak, že přejdete do protokolů přihlášení, kliknete na blokované přihlášení a pak přejdete na kartu Podmíněný přístup v podokně Aktivity: přihlášení . Pokud se zásada vynucovala jako zásada toků ověřování, vyberte zásadu, abyste zjistili, který tok ověřování se shodoval.
Pokud byl tok kódu zařízení spárovaný, ale tok kódu zařízení nebyl tok provedený pro toto přihlášení, znamená to, že token aktualizace byl sledován protokolem. Tento případ můžete ověřit tak, že kliknete na zablokované přihlášení a vyhledáte vlastnost Původní metoda přenosu v části Základní informace podokna Podrobnosti aktivit: přihlášení.
Poznámka:
Blokování relací sledovaných podle protokolu je pro tuto zásadu očekávané chování. Neexistuje žádná doporučená náprava.