Dostęp warunkowy: przepływy uwierzytelniania (wersja zapoznawcza)
Identyfikator Entra firmy Microsoft obsługuje szeroką gamę przepływów uwierzytelniania i autoryzacji w celu zapewnienia bezproblemowego środowiska we wszystkich typach aplikacji i urządzeń. Niektóre z tych przepływów uwierzytelniania są wyższe niż inne. Aby zapewnić większą kontrolę nad stanem zabezpieczeń, dodamy możliwość kontrolowania niektórych przepływów uwierzytelniania do dostępu warunkowego. Ta kontrolka rozpoczyna się od możliwości jawnego kierowania przepływu kodu urządzenia.
Przepływ kodu urządzenia
Przepływ kodu urządzenia jest używany podczas logowania się do urządzeń, które mogą nie mieć lokalnych urządzeń wejściowych, takich jak urządzenia udostępnione lub znakowania cyfrowego. Przepływ kodu urządzenia to przepływ uwierzytelniania wysokiego ryzyka, który może być używany w ramach ataku wyłudzania informacji lub uzyskiwania dostępu do zasobów firmy na urządzeniach niezarządzanych. Kontrolkę przepływu kodu urządzenia można skonfigurować wraz z innymi kontrolkami w zasadach dostępu warunkowego. Jeśli na przykład przepływ kodu urządzenia jest używany dla urządzeń z salą konferencyjną z systemem Android, możesz zablokować przepływ kodu urządzenia wszędzie z wyjątkiem urządzeń z systemem Android w określonej lokalizacji sieciowej.
W razie potrzeby należy zezwolić na przepływ kodu urządzenia. Firma Microsoft zaleca blokowanie przepływu kodu urządzenia wszędzie tam, gdzie to możliwe.
Transfer uwierzytelniania
Transfer uwierzytelniania to nowy przepływ, który oferuje bezproblemowy sposób transferu stanu uwierzytelnionego z jednego urządzenia do innego. Na przykład użytkownicy mogą być prezentowani za pomocą kodu QR w wersji klasycznej programu Outlook, który podczas skanowania na urządzeniu przenośnym przesyła swój stan uwierzytelniony na urządzenie przenośne. Ta funkcja zapewnia proste i intuicyjne środowisko użytkownika, które zmniejsza ogólny poziom tarć dla użytkowników.
Możliwość kontrolowania transferu uwierzytelniania jest w wersji zapoznawczej przy użyciu warunku Przepływy uwierzytelniania w dostępie warunkowym do zarządzania funkcją.
Śledzenie protokołów
Aby upewnić się, że zasady dostępu warunkowego są dokładnie wymuszane w określonych przepływach uwierzytelniania, używamy funkcji nazywanych śledzeniem protokołów. To śledzenie jest stosowane do sesji przy użyciu przepływu kodu urządzenia lub transferu uwierzytelniania. W takich przypadkach sesje są traktowane jako śledzone protokoły. Wszelkie śledzone sesje protokołu podlegają wymuszania zasad, jeśli istnieją zasady. Stan śledzenia protokołu jest trwały przez kolejne odświeżenia. Przepływ kodu nieurządzenia lub przepływy transferu uwierzytelniania mogą podlegać wymuszaniu zasad przepływów uwierzytelniania, jeśli sesja jest śledzona.
Na przykład:
- Zasady są konfigurowane tak, aby blokowały przepływ kodu urządzenia wszędzie z wyjątkiem programu SharePoint.
- Przepływ kodu urządzenia służy do logowania się do programu SharePoint zgodnie ze skonfigurowanymi zasadami. W tym momencie sesja jest traktowana jako śledzona protokół
- Próbujesz zalogować się do programu Exchange w kontekście tej samej sesji przy użyciu dowolnego przepływu uwierzytelniania, a nie tylko przepływu kodu urządzenia.
- Skonfigurowane zasady są blokowane z powodu stanu śledzonego protokołu sesji
Dzienniki logowania
Podczas konfigurowania zasad w celu ograniczenia lub zablokowania przepływu kodu urządzenia ważne jest, aby zrozumieć, czy i jak przepływ kodu urządzenia jest używany w organizacji. Utworzenie zasad dostępu warunkowego w trybie tylko do raportu lub filtrowanie dzienników logowania dla zdarzeń przepływu kodu urządzenia za pomocą filtru protokołu uwierzytelniania może pomóc.
Aby ułatwić rozwiązywanie problemów z błędami śledzenia protokołów, dodaliśmy nową właściwość o nazwie oryginalną metodę transferu do sekcji szczegółów działania w dziennikach logowania dostępu warunkowego. Ta właściwość wyświetla stan śledzenia protokołu dla danego żądania. Na przykład w przypadku sesji, w której przepływ kodu urządzenia został wykonany wcześniej, oryginalna metoda transferu jest ustawiona na przepływ kodu urządzenia.
Wymuszanie zasad przepływów uwierzytelniania w zasobie usługi rejestracji urządzeń
Od początku września 2024 r. firma Microsoft rozpocznie wymuszanie zasad przepływów uwierzytelniania w usłudze rejestracji urządzeń. Dotyczy to tylko zasad przeznaczonych dla wszystkich zasobów w selektorze zasobów. Jeśli organizacja używa obecnie przepływu kodu urządzenia do celów rejestracji urządzeń i masz zasady przepływów uwierzytelniania przeznaczone dla wszystkich zasobów, musisz wykluczyć zasób rejestracji urządzeń z zakresu zasad dostępu warunkowego, aby uniknąć wpływu. Zasób usługi rejestracji urządzeń można znaleźć w opcji Zasoby docelowe dostępne w środowisku konfiguracji zasad dostępu warunkowego. Aby zwolnić usługę rejestracji urządzeń za pośrednictwem środowiska użytkownika dostępu warunkowego, należy przejść do pozycji Zasoby docelowe —> wyklucz —> wybierz wykluczone aplikacje w chmurze —> Usługa rejestracji urządzeń. W przypadku interfejsu API należy zaktualizować zasady, wykluczając identyfikator klienta usługi rejestracji urządzeń: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Jeśli nie masz pewności, czy organizacja korzysta z przepływu kodu urządzenia względem usługi rejestracji urządzeń, możesz użyć dzienników logowania firmy Microsoft w celu ustalenia tego. W tym miejscu można filtrować identyfikator klienta usługi rejestracji urządzeń w filtrze Identyfikator zasobu i zawęzić go do użycia przepływu kodu urządzenia, korzystając z opcji Kod urządzenia w filtrze Protokół uwierzytelniania.
Rozwiązywanie problemów z nieoczekiwanymi blokami
Jeśli logowanie zostało nieoczekiwanie zablokowane przez zasady dostępu warunkowego, należy potwierdzić, czy zasady były zasadami przepływów uwierzytelniania. Możesz to potwierdzić, przechodząc do dzienników logowania, klikając zablokowane logowanie, a następnie przechodząc do karty Dostęp warunkowy w okienku Szczegóły działania: logowania . Jeśli zasady wymuszane były zasadami przepływów uwierzytelniania, wybierz zasady, aby określić, który przepływ uwierzytelniania został dopasowany.
Jeśli przepływ kodu urządzenia był zgodny, ale przepływ kodu urządzenia nie był przepływem wykonanym dla tego logowania, oznacza to, że token odświeżania został śledzony przez protokół. Ten przypadek można sprawdzić, klikając zablokowane logowanie i wyszukując właściwość Oryginalna metoda transferu w części Podstawowe informacje w okienku Szczegóły działania: logowania .
Uwaga
Bloki z powodu śledzonych sesji protokołu są oczekiwane dla tych zasad. Nie ma zalecanego korygowania.