Podmíněný přístup: Toky ověřování (Preview)
Microsoft Entra ID podporuje širokou škálu toků ověřování a autorizace, které poskytují bezproblémové prostředí pro všechny typy aplikací a zařízení. Některé z těchto toků ověřování představují vyšší riziko než jiné. Abychom zajistili větší kontrolu nad stavem zabezpečení, přidáváme možnost řídit určité toky ověřování do podmíněného přístupu. Tento ovládací prvek začíná schopností explicitně cílit na tok kódu zařízení.
Tok kódu zařízení
Tok kódu zařízení se používá při přihlašování k zařízením, která nemusí obsahovat místní vstupní zařízení, jako jsou sdílená zařízení nebo digitální podpis. Tok kódu zařízení je vysoce rizikový tok ověřování, který se může použít jako součást útoku phishing nebo pro přístup k podnikovým prostředkům na nespravovaných zařízeních. Řízení toku kódu zařízení můžete nakonfigurovat spolu s dalšími ovládacími prvky v zásadách podmíněného přístupu. Pokud se například tok kódu zařízení používá pro zařízení konferenční místnosti založené na Androidu, můžete se rozhodnout blokovat tok kódu zařízení všude s výjimkou zařízení s Androidem v určitém síťovém umístění.
V případě potřeby byste měli povolit tok kódu zařízení. Microsoft doporučuje blokovat tok kódu zařízení všude, kde je to možné.
Přenos ověřování
Přenos ověřování je nový tok, který nabízí bezproblémový způsob přenosu ověřeného stavu z jednoho zařízení do druhého. Uživatelé můžou být například prezentováni s kódem QR v desktopové verzi Outlooku, která při kontrole na mobilním zařízení přenese ověřený stav na mobilní zařízení. Tato funkce poskytuje jednoduché a intuitivní uživatelské prostředí, které snižuje celkovou úroveň tření pro uživatele.
Možnost řídit přenos ověřování je ve verzi Preview pomocí podmínky toků ověřování v podmíněném přístupu ke správě této funkce.
Sledování protokolů
Abychom zajistili přesné vynucení zásad podmíněného přístupu u zadaných toků ověřování, používáme funkce označované jako sledování protokolu. Toto sledování se použije u relace pomocí toku kódu zařízení nebo přenosu ověřování. V těchto případech se relace považují za sledované protokoly. Všechny sledované relace protokolu podléhají vynucení zásad, pokud zásada existuje. Stav sledování protokolu se udržuje prostřednictvím následných aktualizací. Tok jiného kódu nebo toky přenosu ověřování můžou podléhat vynucení zásad toků ověřování, pokud je relace sledována.
Příklad:
- Zásady nakonfigurujete tak, aby blokovaly tok kódu zařízení všude kromě SharePointu.
- Tok kódu zařízení se používá k přihlášení k SharePointu, jak to povoluje nakonfigurovaná zásada. V tomto okamžiku se relace považuje za protokol sledovaný.
- Pokusíte se přihlásit k Exchangi v kontextu stejné relace pomocí toku ověřování, nejen toku kódu zařízení.
- Nakonfigurované zásady jsou blokované kvůli stavu sledovaného protokolu relace.
Protokoly přihlašování
Při konfiguraci zásady pro omezení nebo blokování toku kódu zařízení je důležité pochopit, jestli a jak se ve vaší organizaci používá tok kódu zařízení. Vytvoření zásad podmíněného přístupu v režimu jen pro sestavy nebo filtrování protokolů přihlašování pro události toku kódu zařízení pomocí filtru ověřovacího protokolu může pomoct.
Abychom vám pomohli při řešení chyb souvisejících se sledováním protokolu, přidali jsme do části podrobnosti o aktivitě protokolů přihlašování k podmíněnému přístupu novou vlastnost s názvem původní způsobpřenosu. Tato vlastnost zobrazuje stav sledování protokolu daného požadavku. Například u relace, ve které byl tok kódu zařízení proveden dříve , je původní metoda přenosu nastavena na tok kódu zařízení.
Řešení potíží s neočekávanými bloky
Pokud zásady podmíněného přístupu neočekávaně blokují přihlášení, měli byste ověřit, jestli se jedná o zásady toků ověřování. Toto potvrzení můžete provést tak, že přejdete do protokolů přihlášení, kliknete na blokované přihlášení a pak přejdete na kartu Podmíněný přístup v podokně Aktivity: přihlášení . Pokud se zásada vynucovala jako zásada toků ověřování, vyberte zásadu, abyste zjistili, který tok ověřování se shodoval.
Pokud byl tok kódu zařízení spárovaný, ale tok kódu zařízení nebyl tok provedený pro toto přihlášení, znamená to, že token aktualizace byl sledován protokolem. Tento případ můžete ověřit tak, že kliknete na zablokované přihlášení a vyhledáte vlastnost Metody původního převodu v části Základní informace podrobností o aktivitě: podokno přihlášení.
Poznámka:
Bloky kvůli relacím sledovaným protokolem jsou pro tuto zásadu očekávané chování. Neexistuje žádná doporučená náprava.
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro