Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Entra ID podporuje různé toky ověřování a autorizace, které poskytují bezproblémové prostředí pro všechny typy aplikací a zařízení. Některé toky ověřování představují vyšší riziko než jiné. Pokud chcete mít větší kontrolu nad stavem zabezpečení, podmíněný přístup umožňuje řídit určité toky ověřování. Tento ovládací prvek začíná explicitně cílením na tok kódu zařízení.
Tok kódu zařízení
Tok kódu zařízení umožňuje přihlásit se k zařízením, která nemají místní vstupní zařízení, jako jsou sdílená zařízení nebo digitální podpis. Tok kódu zařízení je vysoce riziková metoda ověřování, která může být součástí útoku phishing nebo slouží k přístupu k podnikovým prostředkům na nespravovaných zařízeních. Nakonfigurujte řízení toku kódu zařízení spolu s dalšími ovládacími prvky v zásadách podmíněného přístupu. Pokud se například tok kódu zařízení používá pro zařízení konferenční místnosti založené na Androidu, blokujte tok kódu zařízení všude s výjimkou zařízení s Androidem v určitém síťovém umístění.
Povolte tok kódu zařízení jenom v případě potřeby. Microsoft doporučuje blokovat tok kódu zařízení všude, kde je to možné.
Přenos autentizace
Přenos ověřování je tok, který umožňuje uživatelům bezproblémově přenášet ověřený stav z jednoho zařízení do druhého. Uživatelé můžou například vidět kód QR v desktopové verzi Outlooku, který při kontrole na mobilním zařízení přenese ověřený stav do mobilního zařízení. Tato funkce poskytuje jednoduché a intuitivní prostředí, které snižuje tření pro uživatele.
Sledování protokolů
Abychom zajistili přesné vynucení zásad podmíněného přístupu u zadaných toků ověřování, používáme funkce označované jako sledování protokolu. Toto sledování se použije u relace pomocí způsobu ověřování pomocí kódu zařízení nebo přenosu autentizace. V těchto případech se relace považují za sledované v rámci protokolu. Všechny sledované relace protokolu podléhají vynucování zásad, pokud existují. Stav sledování protokolu se udržuje prostřednictvím následných aktualizací, což znamená, že tok kódu zařízení nebo toky přenosu ověřování mohou podléhat vynucení zásad toků ověřování.
Příklad:
- Zásady nakonfigurujete tak, aby blokovaly tok kódu zařízení všude kromě SharePointu.
- K přihlášení k SharePointu používáte tok kódu zařízení, jak to dovoluje nakonfigurovaná zásada. V tomto okamžiku se relace považuje za sledovanou protokolem.
- Pokusíte se přihlásit k Exchangi v rámci stejné relace pomocí jakéhokoli toku ověřování, nejen toku kódu zařízení.
- Jste zablokováni nakonfigurovanou zásadou kvůli stavu sledovaného protokolu relace.
Protokoly přihlášení
Při konfiguraci zásady pro omezení nebo blokování toku kódu zařízení je důležité pochopit, jestli a jak se ve vaší organizaci používá tok kódu zařízení. Vytvoření zásad podmíněného přístupu pouze v režimu sestav nebo filtrování protokolů přihlašování pro události toku kódu zařízení pomocí filtru ověřovacího protokolu může pomoci.
cs-CZ: Abychom vám pomohli při řešení chyb souvisejících se sledováním protokolu, přidali jsme do části podrobnosti o aktivitě v protokolech přihlašování podmíněného přístupu novou vlastnost s názvem původní způsob přenosu. Tato vlastnost zobrazuje stav sledování protokolu daného požadavku. Například u relace, ve které byl dříve proveden tok kódu zařízení, je původní metoda přenosu nastavena na tok kódu zařízení.
Vynucení zásad toků ověřování u prostředku služby Registrace zařízení
Od začátku září 2024 začal Microsoft vynucovat zásady toků ověřování ve službě Device Registration Service. To platí jenom pro zásady, které cílí na všechny prostředky ve výběru prostředků. Pokud vaše organizace aktuálně používá tok kódu zařízení pro účely registrace zařízení a máte zásady toků ověřování, které cílí na všechny prostředky, musíte prostředek registrace zařízení vyloučit z rozsahu zásad podmíněného přístupu, abyste se vyhnuli dopadu. Prostředek služby Device Registration Service najdete v možnosti Cílové prostředky v rámci konfigurace zásad podmíněného přístupu. Pokud chcete vyloučit Službu registrace zařízení prostřednictvím uživatelského rozhraní podmíněného přístupu, musíte přejít do části Cílové prostředky>Vyloučení>Vybrat vyloučené cloudové aplikace>Služba registrace zařízení. Pro rozhraní API je potřeba aktualizovat zásady vyloučením ID klienta pro službu Device Registration Service: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Pokud si nejste jistí, jestli vaše organizace používá tok kódu zařízení proti službě Device Registration Service, můžete zkontrolovat protokoly přihlášení Microsoft Entra. Tam můžete vyfiltrovat ID klienta služby Device Registration Service ve filtru ID prostředku a zúžit ho na využití toku kódu zařízení pomocí možnosti kódu zařízení ve filtru ověřovacího protokolu.
Řešení problémů s neočekávanými bloky
Pokud bylo vaše přihlášení neočekávaně zablokováno zásadou podmíněného přístupu nebo jste byli neočekávaně odhlášeni ze zařízení, měli byste ověřit, jestli příčinou byla zásada toků ověřování. Toto potvrzení můžete provést tak, že přejdete do protokolů přihlášení, kliknete na blokované přihlášení a pak přejdete na kartu Podmíněný přístup v podokně Aktivity: přihlášení . Pokud se zásada vynucovala jako zásada toků ověřování, vyberte zásadu, abyste zjistili, který tok ověřování se shodoval.
Pokud se tok kódu zařízení shodoval, ale tok kódu zařízení nebyl tok provedený pro toto přihlášení, byl token aktualizace sledován. Tento případ můžete ověřit tak, že kliknete na zablokované přihlášení a vyhledáte vlastnost Původní metoda přenosu v části Základní informace podokna Podrobnosti aktivit: přihlášení. Pokud se nakonfigurované zásady použijí pro všechny aplikace, můžete také určit chybu související se sledováním protokolu vyhledáním následujícího kódu chyby a zprávy: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted.
Poznámka:
Blokování relací sledovaných podle protokolu je pro tuto zásadu očekávané chování. Možné následky mohou zahrnovat například nemožnost přístupu k určitým prostředkům nebo problémy s odhlášením zařízení. Pokud je zásada ve stavu enabled, není doporučena žádná náprava. Pokud je zásada nastavená disabled nebo report-only, možná budete muset získat nový token, aby bylo možné zařízení znovu použít.