Freigeben über


Bedingter Zugriff: Authentifizierungsflows (Vorschau)

Microsoft Entra ID unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsflows, um für alle Anwendungs- und Gerätetypen eine nahtlose Erfahrung zu bieten. Einige dieser Authentifizierungsflows sind mit einem höheren Risiko verbunden als andere. Um Ihnen mehr Kontrolle über Ihren Sicherheitsstatus zu bieten, haben wir eine Funktion hinzugefügt, mit der Sie bestimmte Authentifizierungsflows für bedingten Zugriff steuern können. Diese Kontrolle beginnt mit der Möglichkeit, den Gerätecodeflow explizit als Ziel festzulegen.

Gerätecodefluss

Der Gerätecodeflow wird bei der Anmeldung bei Geräten verwendet, die möglicherweise nicht über lokale Eingabegeräte wie gemeinsam genutzte Geräte oder digitale Beschilderung verfügen. Der Gerätecodeflow ist ein Authentifizierungsflow mit hohem Risiko, der im Rahmen eines Phishingangriffs oder für den Zugriff auf Unternehmensressourcen auf nicht verwalteten Geräten verwendet werden kann. Sie können die Steuerung des Gerätecodeflows zusammen mit anderen Kontrollen in Ihren Richtlinien für bedingten Zugriff konfigurieren. Wenn der Gerätecodeflow beispielsweise für Android-basierte Konferenzraumgeräte verwendet wird, können Sie den Gerätecodeflow mit Ausnahme von Android-Geräten an einer bestimmten Netzwerkadresse überall blockieren.

Sie sollten den Gerätecodeflow nur bei Bedarf zulassen. Microsoft empfiehlt, den Gerätecodeflow nach Möglichkeit zu blockieren.

Authentifizierungsübertragung

Die Authentifizierungsübertragung ist ein neuer Flow, der die nahtlose Übertragung des authentifizierten Zustands von einem Gerät auf ein anderes ermöglicht. Beispielsweise kann in der Desktopversion von Outlook ein QR-Code für Benutzer angezeigt werden, der ihren authentifizierten Zustand auf das mobile Gerät überträgt, wenn er auf dem mobilen Gerät gescannt wird. Diese Funktion bietet eine einfache und intuitive Benutzererfahrung, die die Probleme für Benutzer insgesamt reduziert.

Die Funktion zum Steuern der Authentifizierungsübertragung befindet sich in der Vorschau. Verwenden Sie die Bedingung Authentifizierungsflows unter „Bedingter Zugriff“, um das Feature zu verwalten.

Protokollnachverfolgung

Um sicherzustellen, dass Richtlinien für bedingten Zugriff bei bestimmten Authentifizierungsflows korrekt erzwungen werden, verwenden wir eine Funktion, die als Protokollnachverfolgung bezeichnet wird. Diese Nachverfolgung wird auf die Sitzung mit Gerätecodeflow oder Authentifizierungsübertragung angewendet. In diesen Fällen gelten die Sitzungen als im Protokoll nachverfolgt. Alle im Protokoll nachverfolgten Sitzungen unterliegen der Richtlinienerzwingung, sofern eine Richtlinie vorhanden ist. Der Protokollnachverfolgungsstatus wird über nachfolgende Aktualisierungen hinweg aufrechterhalten. Nicht-Gerätecodeflows oder Authentifizierungsübertragungsflows können der Erzwingung von Richtlinien für Authentifizierungsflows unterliegen, wenn die Sitzung im Protokoll nachverfolgt wird.

Beispiel:

  1. Sie konfigurieren eine Richtlinie, um den Gerätecodeflow mit Ausnahme von SharePoint überall zu blockieren.
  2. Sie verwenden den Gerätecodeflow, um sich bei SharePoint anzumelden (wie gemäß der konfigurierten Richtlinie zulässig). An diesem Punkt gilt die Sitzung als im Protokoll nachverfolgt.
  3. Sie versuchen, sich im Kontext derselben Sitzung bei Exchange anzumelden, indem Sie einen beliebigen Authentifizierungsflow verwenden, nicht nur den Gerätecodeflow.
  4. Sie werden aufgrund des im Protokoll nachverfolgten Status der Sitzung durch die konfigurierte Richtlinie blockiert.

Anmeldeprotokolle

Beim Konfigurieren einer Richtlinie zum Einschränken oder Blockieren des Gerätecodeflows müssen Sie wissen, ob und wie der Gerätecodeflow in Ihrer Organisation verwendet wird. Es kann hilfreich sein, eine Richtlinie für bedingten Zugriff im Modus „Nur melden“ zu erstellen oder die Anmeldeprotokolle mit dem Filter Authentifizierungsprotokoll nach Gerätecodeflow-Ereignissen zu filtern.

Um die Problembehandlung von Fehlern im Zusammenhang mit der Protokollnachverfolgung zu erleichtern, haben wir dem Abschnitt Aktivitätsdetails der Anmeldeprotokolle für bedingten Zugriff eine neue Eigenschaft namens Ursprüngliche Übertragungsmethode hinzugefügt. Diese Eigenschaft zeigt den Protokollnachverfolgungsstatus der jeweiligen Anforderung. Für eine Sitzung, in der der Gerätecodeflow zuvor ausgeführt wurde, ist Ursprüngliche Übertragungsmethode beispielsweise auf Gerätecodeflow festgelegt.

Durchsetzung von Richtlinien für Authentifizierungsflows für die Ressource des Geräteregistrierungsdiensts

Ab Anfang September 2024 wird Microsoft mit der Durchsetzung von Richtlinien für Authentifizierungsflows für den Geräteregistrierungsdienst beginnen. Dies gilt nur für Richtlinien, die auf alle Ressourcen in der Ressourcenauswahl abzielen. Wenn Ihre Organisation zurzeit Gerätecodeflow für die Geräteregistrierung verwendet, und Sie über eine Richtlinie für Authentifizierungsflows verfügen, die auf alle Ressourcenabzielen, müssen Sie die Ressource der Geräteregistrierung aus Ihrer Richtlinie für bedingten Zugriff ausschließen, um Auswirkungen zu vermeiden. Sie finden die Ressource der Gerätedienstregistrierung in der Option Zielressourcen, die in der Konfiguration der Richtlinie für bedingten Zugriff vorhanden ist. Um den Geräteregistrierungsdienst über die UX für bedingten Zugriff auszuschließen, navigieren Sie zu Zielressourcen ->Ausschließen ->Ausgeschlossene Cloud-Apps auswählen ->Geräteregistrierungsdienst. Für die API müssen Sie Ihre Richtlinie aktualisieren, indem Sie die Client-ID für den Geräteregistrierungsdienst ausschließen: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Wenn Sie nicht sicher sind, ob Ihre Organisation Gerätecodeflow für den Geräteregistrierungsdienst verwendet, können Sie die Anmeldeprotokolle in Microsoft Entra verwenden, um dies zu prüfen. Dort können Sie mit dem Filter Ressourcen-ID nach der Client-ID des Geräteregistrierungsdiensts filtern und die Suche auf die Verwendung von Gerätecodeflow einschränken, indem Sie die Option Gerätecode innerhalb des Filters Authentifizierungsprotokoll verwenden.

Problembehandlung bei unerwarteten Blockierungen

Wenn eine Anmeldung unerwartet durch eine Richtlinie für bedingten Zugriff blockiert wird, sollten Sie überprüfen, ob es sich bei der Richtlinie um eine Richtlinie für Authentifizierungsflows handelt. Sie können dies überprüfen, indem Sie zu Anmeldeprotokolle wechseln, die blockierte Anmeldung auswählen und dann im Bereich Aktivitätsdetails: Anmeldungen zur Registerkarte Bedingter Zugriff navigieren. Wenn es sich bei der erzwungenen Richtlinie um eine Richtlinie für Authentifizierungsflows handelt, wählen Sie die Richtlinie aus, um festzustellen, welcher Authentifizierungsflow abgeglichen wurde.

Wenn der Gerätecodeflow abgeglichen wurde, jedoch nicht der für diese Anmeldung ausgeführte Flow war, bedeutet dies, dass das Aktualisierungstoken nachverfolgt wurde. Sie können dies überprüfen, indem Sie die blockierte Anmeldung auswählen und im Bereich Aktivitätsdetails: Anmeldungen unter Grundlegende Informationen nach der Eigenschaft Ursprüngliche Übertragungsmethode suchen.

Hinweis

Blockierungen aufgrund der Nachverfolgung von Sitzungen im Protokoll gehören bei dieser Richtlinie zum erwarteten Verhalten. Es gibt keine empfohlene Wartungs- bzw. Abhilfemaßnahme.