Voorwaardelijke toegang: verificatiestromen

Microsoft Entra ID ondersteunt een groot aantal verificatie- en autorisatiestromen om een naadloze ervaring te bieden voor alle toepassings- en apparaattypen. Sommige van deze verificatiestromen vormen een hoger risico dan andere stromen. Om meer controle over uw beveiligingsbeleid te bieden, voegen we de mogelijkheid toe om bepaalde verificatiestromen van voorwaardelijke toegang te beheren. Dit besturingselement begint met de mogelijkheid om de apparaatcodestroom expliciet te richten.

Proces voor apparaatcode

De apparaatcodestroom wordt gebruikt bij het aanmelden bij apparaten die mogelijk geen lokale invoerapparaten hebben, zoals gedeelde apparaten of digitale signage. Apparaatcodestroom is een verificatiestroom met een hoog risico die kan worden gebruikt als onderdeel van een phishing-aanval of om toegang te krijgen tot bedrijfsbronnen op onbeheerde apparaten. U kunt de apparaatcode stroomregeling configureren samen met andere controles in uw beleid voor voorwaardelijke toegang. Als de apparaatcodestroom bijvoorbeeld wordt gebruikt voor android-apparaten in vergaderruimten, kunt u ervoor kiezen om de apparaatcodestroom overal te blokkeren, met uitzondering van Android-apparaten op een specifieke netwerklocatie.

U moet alleen apparaatcodestroom toestaan indien nodig. Microsoft raadt aan om de apparaatcodestroom waar mogelijk te blokkeren.

Authenticatieoverdracht

Verificatieoverdracht is een nieuwe stroom die een naadloze manier biedt om de geverifieerde status van het ene apparaat naar het andere over te dragen. Gebruikers kunnen bijvoorbeeld een QR-code zien in de bureaubladversie van Outlook die, wanneer ze op hun mobiele apparaat worden gescand, hun geverifieerde status overdraagt naar het mobiele apparaat. Deze mogelijkheid biedt een eenvoudige en intuïtieve gebruikerservaring die het algehele wrijvingsniveau voor gebruikers vermindert.

Protocoltracking

Om ervoor te zorgen dat beleid voor voorwaardelijke toegang nauwkeurig wordt afgedwongen voor opgegeven verificatiestromen, gebruiken we functionaliteit genaamd protocol-tracking. Deze tracering wordt toegepast op de sessie met behulp van apparaatcodestroom of verificatieoverdracht. In deze gevallen worden de sessies beschouwd als volgens protocol gevolgd. Alle sessies met protocolbewaking zijn onderworpen aan beleidsafhandeling indien een beleid bestaat. De status van het bijhouden van protocollen blijft behouden door opeenvolgende vernieuwingen. Als de sessie protokolmatig wordt bijgehouden, kunnen niet-apparaat codestromen of overdrachtstromen van authenticatie onderworpen zijn aan het afdwingen van beleidsregels voor verificatiestromen.

Voorbeeld:

1. U configureert een beleid om de apparaatcodestroom overal te blokkeren, met uitzondering van SharePoint.
2. U gebruikt de apparaatcodestroom om u aan te melden bij SharePoint, zoals toegestaan door het geconfigureerde beleid. Op dit moment wordt de sessie beschouwd als volgens protocol gevolgd.
3. U probeert u aan te melden bij Exchange in dezelfde sessiecontext met behulp van elke willekeurige verificatiestroom, niet alleen met apparaatcodestroom.
4. U wordt geblokkeerd door het geconfigureerde beleid vanwege de bijgehouden protocolstatus van de sessie

Aanmeldingslogboeken

Wanneer u een beleid configureert om de stroom van apparaatcode te beperken of te blokkeren, is het belangrijk om te begrijpen of en hoe de apparaatcodestroom wordt gebruikt in uw organisatie. Het maken van beleid voor voorwaardelijke toegang in de modus Alleen-rapport of het filteren van de aanmeldingslogboeken voor apparaatcodestroomgebeurtenissen met het verificatieprotocolfilter kan helpen.

Voor hulp bij het oplossen van problemen met betrekking tot het traceren van protocollen hebben we een nieuwe eigenschap met de naam oorspronkelijke overdrachtsmethode toegevoegd aan de sectie met activiteitsgegevens van de aanmeldingslogboeken voor voorwaardelijke toegang. Met deze eigenschap wordt de status van het bijhouden van protocollen van de betreffende aanvraag weergegeven. Voor een sessie waarin de apparaatcodestroom eerder is uitgevoerd, wordt de oorspronkelijke overdrachtsmethode bijvoorbeeld ingesteld op apparaatcodestroom.

Het afdwingen van beleid voor authenticatieprocessen op de apparaatregistratieservice-bron

Vanaf begin september 2024 begint Microsoft met het afdwingen van beleidsregels voor verificatiestromen op Device Registration Service. Dit geldt alleen voor beleidsregels die gericht zijn op alle middelen in de resource-picker. Als uw organisatie momenteel gebruikmaakt van de apparaatcode-stroom voor apparaatregistratie en u een beleid voor authenticatiestromen hebt dat is gericht op alle resources, moet u de resource voor apparaatregistratie uitsluiten van de scope van uw beleid voor voorwaardelijke toegang om gevolgen te voorkomen. U vindt de Device Registration Service-resource in de optie Doelresources die aanwezig is in de configuratie van het beleid voor voorwaardelijke toegang. Als u Device Registration Service wilt toestaan via UX voor voorwaardelijke toegang, gaat u naar Doelresources ->Uitsluiten ->Selecteer uitgesloten cloud-apps ->Device Registration Service. Voor API moet u uw beleid bijwerken door de client-id voor apparaatregistratieservice uit te sluiten: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Als u niet zeker weet of uw organisatie Gebruikmaakt van Device Code Flow voor Device Registration Service, kunt u de aanmeldingslogboeken van Microsoft Entra gebruiken om dit te bepalen. Daar kunt u filteren op de client-id van de Device Registration Service in het resource-id-filter en deze beperken tot apparaatcodestroomgebruik door gebruik te maken van de optie Apparaatcode in het filter Authentication Protocol.

Onverwachte blokkeringen oplossen

Als u een aanmelding onverwacht hebt geblokkeerd door beleid voor voorwaardelijke toegang, moet u controleren of het beleid een verificatiestromenbeleid was. U kunt deze bevestiging doen door naar aanmeldingslogboeken te gaan, op de geblokkeerde aanmelding te klikken en vervolgens naar het tabblad Voorwaardelijke toegang te gaan in het deelvenster Activiteitsgegevens: aanmeldingen. Als het afgedwongen beleid een beleid voor verificatiestromen was, selecteert u het beleid om te bepalen welke verificatiestroom overeenkomt.

Als de apparaatcodestroom overeenkwam, maar niet de stroom was die werd uitgevoerd voor die aanmelding, betekent dit dat het vernieuwingstoken protocolmatig werd gevolgd. U kunt dit geval controleren door op de geblokkeerde aanmelding te klikken en te zoeken naar de eigenschap Oorspronkelijke overdrachtsmethode in het gedeelte Basisgegevens van het deelvenster Activiteitsgegevens: aanmeldingen .

Notitie

Blokken vanwege bijgehouden protocolsessies zijn verwacht gedrag voor dit beleid. Er is geen aanbevolen herstel.

Gerelateerde inhoud

• Authenticatiestromen blokkeren met beleid voor voorwaardelijke toegang
• Voorwaardelijke toegang: voorwaarden