Accesso condizionale: flussi di autenticazione

Microsoft Entra ID supporta un'ampia gamma di flussi di autenticazione e autorizzazione per offrire un'esperienza uniforme in tutti i tipi di applicazioni e dispositivi. Alcuni di questi flussi di autenticazione sono più rischiosi di altri. Per fornire un maggiore controllo sul comportamento di sicurezza, si aggiunge la possibilità di controllare determinati flussi di autenticazione all'accesso condizionale. Questo controllo inizia con la possibilità di indirizzare in modo esplicito il flusso del codice del dispositivo.

Flusso del codice del dispositivo

Il flusso di codice del dispositivo viene usato durante l'accesso ai dispositivi che potrebbero non avere dispositivi di input locali, ad esempio dispositivi condivisi o segnaletica digitale. Il flusso di codice del dispositivo è un flusso di autenticazione ad alto rischio che può essere usato come parte di un attacco di phishing o per accedere alle risorse aziendali su dispositivi non gestiti. È possibile configurare il controllo del flusso di codice del dispositivo insieme ad altri controlli nei criteri di accesso condizionale. Ad esempio, se il flusso di codice del dispositivo viene usato per i dispositivi della sala riunioni basati su Android, è possibile scegliere di bloccare il flusso del codice del dispositivo ovunque, ad eccezione dei dispositivi Android in un percorso di rete specifico.

È consigliabile consentire il flusso del codice del dispositivo solo se necessario. Microsoft consiglia di bloccare il flusso del codice del dispositivo laddove possibile.

Trasferimento dell'autenticazione

Il trasferimento dell'autenticazione è un nuovo flusso che offre un modo semplice per trasferire lo stato autenticato da un dispositivo a un altro. Ad esempio, gli utenti possono visualizzare un codice QR all'interno della versione desktop di Outlook che, quando viene scansionato sul loro dispositivo mobile, trasferisce lo stato autenticato al dispositivo mobile. Questa funzionalità offre un'esperienza utente semplice e intuitiva che riduce il livello di attrito complessivo per gli utenti.

Tracciamento dei protocolli

Per garantire che i criteri di accesso condizionale vengano applicati in modo accurato ai flussi di autenticazione specificati, viene usata la funzionalità denominata rilevamento dei protocolli. Questo rilevamento viene applicato alla sessione usando il flusso del codice del dispositivo o il trasferimento dell'autenticazione. In questi casi, le sessioni vengono considerate monitorate dal protocollo. Qualsiasi sessione tracciata dal protocollo è soggetta all'applicazione delle norme se esiste una norma. Lo stato di monitoraggio del protocollo viene sostenuto tramite i successivi aggiornamenti. I flussi di trasferimento del codice non dispositivo o di trasferimento dell'autenticazione possono essere soggetti all'applicazione dei criteri dei flussi di autenticazione se la sessione è monitorata dal protocollo.

Ad esempio:

1. È possibile configurare un criterio per bloccare il flusso del codice del dispositivo ovunque, ad eccezione di SharePoint.
2. Usi il flusso di codici del dispositivo per accedere a SharePoint, come previsto dalle politiche configurate. A questo punto, la sessione viene considerata monitorata dal protocollo
3. Si tenta di accedere a Exchange all'interno del contesto della stessa sessione usando qualsiasi flusso di autenticazione e non solo tramite il flusso di codice del dispositivo.
4. Sei bloccato dalla policy configurata a causa dello stato tracciato del protocollo della sessione.

Log di accesso

Quando si configura un criterio per limitare o bloccare il flusso del codice del dispositivo, è importante comprendere se e come viene usato il flusso del codice del dispositivo nell'organizzazione. La creazione di criteri di accesso condizionale in modalità solo report o il filtro dei log di accesso per gli eventi del flusso del codice del dispositivo con il filtro del protocollo di autenticazione può essere utile.

Per facilitare la risoluzione dei problemi relativi al monitoraggio dei protocolli, è stata aggiunta una nuova proprietà denominata metodo di trasferimento originale nella sezione dei dettagli attività dei log di accesso condizionale. Questa proprietà visualizza lo stato di rilevamento del protocollo della richiesta in questione. Ad esempio, per una sessione in cui il flusso del codice del dispositivo è stato eseguito in precedenza, il metodo di trasferimento originale è impostato su Flusso di codice del dispositivo.

Applicazione dei criteri sui flussi di autenticazione sulla risorsa del servizio di registrazione dispositivi

A partire da settembre 2024, Microsoft inizierà ad applicare i criteri dei flussi di autenticazione nel servizio Registrazione dispositivi. Questo si applica solo ai criteri che mirano a tutte le risorse nel selettore di risorse. Se la tua organizzazione utilizza attualmente il Flusso del Codice del Dispositivo per la registrazione dei dispositivi e hai un criterio dei flussi di autenticazione che riguarda tutte le risorse, sarà necessario esentare la Risorsa di Registrazione del Dispositivo dal campo di applicazione del criterio di Accesso Condizionale per evitare impatti. È possibile trovare la risorsa Servizio registrazione dispositivi nell'opzione Risorse di destinazione presente nell'esperienza di configurazione della politica di accesso condizionale. Per escludere il Servizio di registrazione dei dispositivi tramite l'esperienza utente di accesso condizionale, è necessario passare a Risorse di destinazione ->Escludi ->Seleziona app cloud escluse ->Servizio di registrazione dei dispositivi. Per l'API, è necessario aggiornare i criteri escludendo l'ID client per il servizio registrazione dispositivi: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Se non si è certi che l'organizzazione usi il flusso del codice del dispositivo con il servizio di registrazione dispositivi, è possibile utilizzare i log di accesso di Microsoft Entra per stabilirlo. È possibile filtrare per l'ID client del servizio di Registrazione Dispositivi nel filtro ID Risorsa e ridurre al flusso del codice del dispositivo usando l'opzione Codice Dispositivo all'interno del filtro Protocollo di Autenticazione.

Risoluzione dei problemi relativi ai blocchi imprevisti

Se si dispone di un accesso bloccato in modo imprevisto da un criterio di accesso condizionale, è necessario verificare se il criterio è un criterio dei flussi di autenticazione. Per eseguire questa conferma, passare ai log di accesso, fare clic sull'accesso bloccato e quindi passare alla scheda Accesso condizionale nel riquadro Dettagli attività: accessi. Se il criterio applicato è un criterio dei flussi di autenticazione, selezionare i criteri per determinare quale flusso di autenticazione è stato confrontato.

Se il flusso del codice del dispositivo è stato corrispondente ma non è stato quello eseguito per l'accesso, significa che il token di aggiornamento è stato tracciato tramite protocollo. È possibile verificare questo caso facendo clic sul blocco dell'accesso e cercando la proprietà Metodo di trasferimento originale nella sezione Informazioni di base del riquadro Dettagli attività: accessi.

Nota

I blocchi dovuti a sessioni tracciate dal protocollo sono un comportamento atteso per questa politica. Non esiste alcuna correzione consigliata.

Contenuto correlato

• Bloccare i flussi di autenticazione con i criteri di accesso condizionale
• Accesso condizionale: condizioni