Villkorsstyrd åtkomst: Autentiseringsflöden (förhandsversion)
Microsoft Entra-ID stöder en mängd olika autentiserings- och auktoriseringsflöden för att ge en sömlös upplevelse för alla program- och enhetstyper. Vissa av dessa autentiseringsflöden är högre risk än andra. För att ge mer kontroll över din säkerhetsstatus lägger vi till möjligheten att styra vissa autentiseringsflöden till villkorsstyrd åtkomst. Den här kontrollen börjar med möjligheten att uttryckligen rikta in sig på enhetskodflödet.
Enhetskodflöde
Enhetskodflöde används när du loggar in på enheter som kanske saknar lokala indataenheter som delade enheter eller digital signering. Enhetskodflöde är ett autentiseringsflöde med hög risk som kan användas som en del av en nätfiskeattack eller för att komma åt företagsresurser på ohanterade enheter. Du kan konfigurera flödeskontrollen för enhetskod tillsammans med andra kontroller i dina principer för villkorsstyrd åtkomst. Om enhetskodflödet till exempel används för Android-baserade konferensrumsenheter kan du välja att blockera enhetskodflödet överallt förutom android-enheter på en specifik nätverksplats.
Du bör endast tillåta enhetskodflöde där det behövs. Microsoft rekommenderar att du blockerar enhetskodflödet där det är möjligt.
Autentiseringsöverföring
Autentiseringsöverföring är ett nytt flöde som ger ett smidigt sätt att överföra autentiserat tillstånd från en enhet till en annan. Användare kan till exempel få en QR-kod i skrivbordsversionen av Outlook som, när de genomsöks på sin mobila enhet, överför sitt autentiserade tillstånd till den mobila enheten. Den här funktionen ger en enkel och intuitiv användarupplevelse som minskar den övergripande friktionsnivån för användare.
Möjligheten att styra autentiseringsöverföring är i förhandsversion med villkoret Autentiseringsflöden i villkorsstyrd åtkomst för att hantera funktionen.
Protokollspårning
För att säkerställa att principer för villkorsstyrd åtkomst tillämpas korrekt på angivna autentiseringsflöden använder vi funktioner som kallas protokollspårning. Den här spårningen tillämpas på sessionen med hjälp av enhetskodflöde eller autentiseringsöverföring. I dessa fall betraktas sessionerna som protokollspårade. Protokollspårade sessioner omfattas av principtillämpning om det finns en princip. Protokollspårningstillståndet upprätthålls genom efterföljande uppdateringar. Nondevice-kodflöde eller autentiseringsöverföringsflöden kan omfattas av tillämpning av principer för autentiseringsflöden om sessionen är protokollspårad.
Till exempel:
- Du konfigurerar en princip för att blockera enhetskodflöde överallt förutom SharePoint.
- Du använder enhetskodflödet för att logga in på SharePoint, vilket tillåts av den konfigurerade principen. Nu betraktas sessionen som protokollspårad
- Du försöker logga in på Exchange inom ramen för samma session med alla autentiseringsflöden, inte bara enhetskodflödet.
- Du blockeras av den konfigurerade principen på grund av sessionens protokollspårade tillstånd
Inloggningsloggar
När du konfigurerar en princip för att begränsa eller blockera enhetskodflöde är det viktigt att förstå om och hur enhetskodflödet används i din organisation. Det kan vara till hjälp att skapa en princip för villkorsstyrd åtkomst i rapportläge eller filtrera inloggningsloggarna för enhetskodflödeshändelser med autentiseringsprotokollfiltret.
För att underlätta felsökning av protokollspårningsrelaterade fel har vi lagt till en ny egenskap som kallas ursprunglig överföringsmetod i avsnittet aktivitetsinformation i inloggningsloggarna för villkorsstyrd åtkomst. Den här egenskapen visar protokollspårningstillståndet för begäran i fråga. För en session där enhetskodflödet utfördes tidigare är till exempel den ursprungliga överföringsmetoden inställd på Enhetskodflöde.
Tillämpning av principer för autentiseringsflöden på enhetsregistreringstjänstens resurs
Från och med början av september 2024 börjar Microsoft tillämpa principer för autentiseringsflöden i enhetsregistreringstjänsten. Detta gäller endast för principer som riktar sig till alla resurser i resursväljaren. Om din organisation för närvarande använder Enhetskodflöde för enhetsregistrering och du har en princip för autentiseringsflöden som riktar sig till alla resurser, måste du undanta enhetsregistreringsresursen från omfånget för principen för villkorlig åtkomst för att undvika påverkan. Du hittar resursen Enhetsregistreringstjänst i alternativet Målresurser som finns i konfigurationsmiljön för principer för villkorsstyrd åtkomst. Om du vill undanta enhetsregistreringstjänsten via UX för villkorsstyrd åtkomst måste du gå till Målresurser –>Exkludera –>Välj exkluderade molnappar –> Enhetsregistreringstjänst. För API måste du uppdatera din princip genom att exkludera klient-ID:t för enhetsregistreringstjänsten: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Om du är osäker på om din organisation använder Enhetskodflöde mot enhetsregistreringstjänsten kan du använda Inloggningsloggarna för Microsoft Entra för att fastställa detta. Där kan du filtrera efter klient-ID:t för enhetsregistreringstjänsten i resurs-ID-filtret och begränsa det till Användning av enhetskodflöde genom att använda alternativet Enhetskod i filtret Autentiseringsprotokoll.
Felsöka oväntade block
Om du har en inloggning som oväntat blockeras av en princip för villkorsstyrd åtkomst bör du bekräfta om principen var en princip för autentiseringsflöden. Du kan göra den här bekräftelsen genom att gå till inloggningsloggar, klicka på den blockerade inloggningen och sedan navigera till fliken Villkorsstyrd åtkomst i fönstret Aktivitetsinformation: inloggningar . Om principen som tillämpades var en princip för autentiseringsflöden väljer du principen för att avgöra vilket autentiseringsflöde som matchades.
Om enhetskodflödet matchades men enhetskodflödet inte utfördes för inloggningen innebär det att uppdateringstoken spårades. Du kan kontrollera det här fallet genom att klicka på den blockerade inloggningen och söka efter egenskapen Ursprunglig överföringsmetod i den grundläggande informationsdelen i fönstret Aktivitetsinformation: inloggningar .
Kommentar
Block på grund av protokollspårade sessioner är förväntat beteende för den här principen. Det finns ingen rekommenderad reparation.