Условный доступ: потоки проверки подлинности
Идентификатор Microsoft Entra поддерживает широкий спектр потоков проверки подлинности и авторизации, чтобы обеспечить простой интерфейс для всех типов приложений и устройств. Некоторые из этих потоков проверки подлинности являются более высоким риском, чем другие. Чтобы обеспечить больший контроль над вашей позицией безопасности, мы добавляем возможность управлять определенными потоками проверки подлинности в Conditional Access. Этот элемент управления начинается с возможности явного целевого потока кода устройства.
Поток кода устройства
Аутентификация с использованием кода устройства применяется при входе на устройства, которые могут не иметь локальных устройств ввода, таких как общие устройства или цифровые вывески. Поток кода устройства — это поток проверки подлинности с высоким риском, который может использоваться в рамках фишинговой атаки или доступа к корпоративным ресурсам на неуправляемых устройствах. Вы можете настроить управление потоком кода устройства вместе с другими элементами управления в политиках условного доступа. Например, если поток кода устройства используется для устройств конференц-залов на базе Android, вы можете заблокировать поток кода устройства везде, кроме устройств Android в определенной сетевой локации.
Разрешать поток кода устройства нужно только там, где это необходимо. Корпорация Майкрософт рекомендует блокировать поток кода устройства везде, где это возможно.
Передача аутентификации
Передача аутентификации — это новый процесс, который предлагает бесшовный способ передачи аутентифицированного состояния с одного устройства на другое. Например, пользователям может быть показан QR-код в настольной версии Outlook, который при сканировании на мобильном устройстве передает их аутентифицированное состояние на мобильное устройство. Эта возможность обеспечивает простой и интуитивно понятный интерфейс пользователя, который снижает общий уровень трения для пользователей.
Отслеживание протокола
Чтобы обеспечить точное применение политик условного доступа для указанных потоков проверки подлинности, мы используем функции, называемые отслеживанием протоколов. Это отслеживание применяется к сеансу с помощью потока аутентификационного кода устройства или передачи аутентификации. В этих случаях сеансы считаются отслеживаемыми по протоколу. Любые сеансы, отслеживаемые протоколом, подлежат исполнению политики, если такая политика существует. Состояние отслеживания протокола поддерживается при последующих обновлениях. Потоки кода без устройства или потоки передачи аутентификации могут подпадать под принудительное применение политик аутентификационных потоков, если сеанс отслеживается по протоколу.
Например:
- Вы настраиваете политику для блокировки потока кода устройства везде, за исключением SharePoint.
- Вы используете поток кода устройства для входа в SharePoint в соответствии с настроенной политикой. На этом этапе сеанс считается отслеживаемым в соответствии с протоколом.
- Вы пытаетесь войти в Exchange в контексте того же сеанса, используя любой поток проверки подлинности, а не просто поток кода устройства.
- Вы заблокированы настроенной политикой из-за состояния сеанса, отслеживаемого протоколом.
Журналы входа
При настройке политики для ограничения или блокировки потока кода устройства важно понимать, используется ли поток кода устройства и как он используется в вашей организации. Создание политики условного доступа в режиме отчетности или фильтрация журналов входа для событий потока кодов устройств с помощью фильтра протокола проверки подлинности может помочь.
Чтобы помочь в устранении неполадок, связанных с отслеживанием протоколов, мы добавили новое свойство, называемое исходным методом передачи, в раздел сведений о действиях журналов входа условного доступа. Это свойство отображает состояние отслеживания протокола в рассматриваемом запросе. Например, для сеанса, в котором ранее был выполнен поток кода устройства, исходный метод передачи задан как поток кода устройства.
Применение политик потоков аутентификации к ресурсу Службы регистрации устройств
Начиная с начала сентября 2024 г. корпорация Майкрософт начнет применять политики потоков проверки подлинности в службе регистрации устройств. Это будет применяться только к политикам, предназначенным для всех ресурсов в средстве выбора ресурсов. Если в вашей организации в настоящее время используется поток кода устройства для регистрации устройств, и у вас есть политика потоков аутентификации, направленная на все ресурсы, необходимо исключить ресурс регистрации устройства из области действия политики условного доступа, чтобы избежать возможных последствий. Ресурс службы регистрации устройств можно найти в параметре "Целевые ресурсы ", который присутствует в конфигурации политики условного доступа. Чтобы исключить Службу регистрации устройств с помощью пользовательского интерфейса условного доступа, необходимо перейти к целевым ресурсам ->Исключить ->Выберите исключенные облачные приложения ->Служба регистрации устройств. Для API необходимо обновить политику, исключив идентификатор клиента для службы регистрации устройств: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Если вы не уверены, использует ли ваша организация поток кода устройства для службы регистрации устройств, вы можете использовать журналы входа Microsoft Entra для определения этого. Там можно отфильтровать идентификатор клиента службы регистрации устройств в фильтре идентификатора ресурса и сузить его до использования потока кода устройства, используя параметр кода устройства в фильтре протокола проверки подлинности.
Устранение неполадок с неожиданными блокировками
Если ваш вход неожиданно заблокирован политикой условного доступа, убедитесь, было ли это политика потоков аутентификации. Это подтверждение можно сделать, перейдя в журналы входов, щелкнув заблокированный вход, и затем перейти на вкладку "Условный доступ" в области сведений о действиях: входы. Если примененная политика была политикой аутентификационного потока, выберите ее, чтобы определить, какой поток аутентификации был сопоставлен.
Если поток кода устройства был сопоставлен, но поток кода устройства не был потоком, использованным для этого входа, это означает, что токен обновления был отслежен. Этот случай можно проверить, щелкнув заблокированный вход и ища свойство метода исходной передачи в разделе "Основные сведения"Сведения о действиях: вход в систему.
Примечание.
Блокировки, связанные с отслеживанием сеансов протокола, являются ожидаемым результатом в рамках этой политики. Не рекомендуется устранять неполадки.