Bedingter Zugriff: Authentifizierungsflows (Vorschau)
Microsoft Entra ID unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsflows, um für alle Anwendungs- und Gerätetypen eine nahtlose Erfahrung zu bieten. Einige dieser Authentifizierungsflows sind mit einem höheren Risiko verbunden als andere. Um Ihnen mehr Kontrolle über Ihren Sicherheitsstatus zu bieten, haben wir eine Funktion hinzugefügt, mit der Sie bestimmte Authentifizierungsflows für bedingten Zugriff steuern können. Diese Kontrolle beginnt mit der Möglichkeit, den Gerätecodeflow explizit als Ziel festzulegen.
Gerätecodefluss
Der Gerätecodeflow wird bei der Anmeldung bei Geräten verwendet, die möglicherweise nicht über lokale Eingabegeräte wie gemeinsam genutzte Geräte oder digitale Beschilderung verfügen. Der Gerätecodeflow ist ein Authentifizierungsflow mit hohem Risiko, der im Rahmen eines Phishingangriffs oder für den Zugriff auf Unternehmensressourcen auf nicht verwalteten Geräten verwendet werden kann. Sie können die Steuerung des Gerätecodeflows zusammen mit anderen Kontrollen in Ihren Richtlinien für bedingten Zugriff konfigurieren. Wenn der Gerätecodeflow beispielsweise für Android-basierte Konferenzraumgeräte verwendet wird, können Sie den Gerätecodeflow mit Ausnahme von Android-Geräten an einer bestimmten Netzwerkadresse überall blockieren.
Sie sollten den Gerätecodeflow nur bei Bedarf zulassen. Microsoft empfiehlt, den Gerätecodeflow nach Möglichkeit zu blockieren.
Authentifizierungsübertragung
Die Authentifizierungsübertragung ist ein neuer Flow, der die nahtlose Übertragung des authentifizierten Zustands von einem Gerät auf ein anderes ermöglicht. Beispielsweise kann in der Desktopversion von Outlook ein QR-Code für Benutzer angezeigt werden, der ihren authentifizierten Zustand auf das mobile Gerät überträgt, wenn er auf dem mobilen Gerät gescannt wird. Diese Funktion bietet eine einfache und intuitive Benutzererfahrung, die die Probleme für Benutzer insgesamt reduziert.
Die Funktion zum Steuern der Authentifizierungsübertragung befindet sich in der Vorschau. Verwenden Sie die Bedingung Authentifizierungsflows unter „Bedingter Zugriff“, um das Feature zu verwalten.
Protokollnachverfolgung
Um sicherzustellen, dass Richtlinien für bedingten Zugriff bei bestimmten Authentifizierungsflows korrekt erzwungen werden, verwenden wir eine Funktion, die als Protokollnachverfolgung bezeichnet wird. Diese Nachverfolgung wird auf die Sitzung mit Gerätecodeflow oder Authentifizierungsübertragung angewendet. In diesen Fällen gelten die Sitzungen als im Protokoll nachverfolgt. Alle im Protokoll nachverfolgten Sitzungen unterliegen der Richtlinienerzwingung, sofern eine Richtlinie vorhanden ist. Der Protokollnachverfolgungsstatus wird über nachfolgende Aktualisierungen hinweg aufrechterhalten. Nicht-Gerätecodeflows oder Authentifizierungsübertragungsflows können der Erzwingung von Richtlinien für Authentifizierungsflows unterliegen, wenn die Sitzung im Protokoll nachverfolgt wird.
Beispiel:
- Sie konfigurieren eine Richtlinie, um den Gerätecodeflow mit Ausnahme von SharePoint überall zu blockieren.
- Sie verwenden den Gerätecodeflow, um sich bei SharePoint anzumelden (wie gemäß der konfigurierten Richtlinie zulässig). An diesem Punkt gilt die Sitzung als im Protokoll nachverfolgt.
- Sie versuchen, sich im Kontext derselben Sitzung bei Exchange anzumelden, indem Sie einen beliebigen Authentifizierungsflow verwenden, nicht nur den Gerätecodeflow.
- Sie werden aufgrund des im Protokoll nachverfolgten Status der Sitzung durch die konfigurierte Richtlinie blockiert.
Anmeldeprotokolle
Beim Konfigurieren einer Richtlinie zum Einschränken oder Blockieren des Gerätecodeflows müssen Sie wissen, ob und wie der Gerätecodeflow in Ihrer Organisation verwendet wird. Es kann hilfreich sein, eine Richtlinie für bedingten Zugriff im Modus „Nur melden“ zu erstellen oder die Anmeldeprotokolle mit dem Filter Authentifizierungsprotokoll nach Gerätecodeflow-Ereignissen zu filtern.
Um die Problembehandlung von Fehlern im Zusammenhang mit der Protokollnachverfolgung zu erleichtern, haben wir dem Abschnitt Aktivitätsdetails der Anmeldeprotokolle für bedingten Zugriff eine neue Eigenschaft namens Ursprüngliche Übertragungsmethode hinzugefügt. Diese Eigenschaft zeigt den Protokollnachverfolgungsstatus der jeweiligen Anforderung. Für eine Sitzung, in der der Gerätecodeflow zuvor ausgeführt wurde, ist Ursprüngliche Übertragungsmethode beispielsweise auf Gerätecodeflow festgelegt.
Erzwingen von Authentifizierungsflussrichtlinien für die Geräteregistrierungsdienstressource
Ab Anfang September 2024 wird Microsoft mit der Erzwingung von Authentifizierungsflussrichtlinien für den Geräteregistrierungsdienst beginnen. Dies gilt nur für Richtlinien, die auf alle Ressourcen in der Ressourcenauswahl abzielen. Wenn Ihre Organisation zurzeit den Gerätecodefluss für Geräteregistrierungszwecke verwendet, und Sie über eine Richtlinie für Authentifizierungsflüsse für alle Ressourcen verfügen, müssen Sie die Geräteregistrierungsressource aus dem Bereich Ihrer Richtlinie für bedingten Zugriff ausnehmen, um Auswirkungen zu vermeiden. Sie finden die Device Registration Service-Ressource in der Option "Zielressourcen", die in der Konfigurationsumgebung für den bedingten Zugriff vorhanden ist. Um den Geräteregistrierungsdienst über die UX für bedingten Zugriff auszunehmen, müssen Sie zu "Zielressourcen - Ausschließen ->>Auswahl ausgeschlossener Cloud-Apps ->Geräteregistrierungsdienst" wechseln. Für die API müssen Sie Ihre Richtlinie aktualisieren, indem Sie die Client-ID für den Geräteregistrierungsdienst ausschließen: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Wenn Sie nicht sicher sind, ob Ihre Organisation den Gerätecodefluss für den Geräteregistrierungsdienst verwendet, können Sie die Microsoft Entra-Anmeldeprotokolle verwenden, um dies zu ermitteln. Dort können Sie nach der Client-ID des Geräteregistrierungsdiensts im Ressourcen-ID-Filter filtern und auf die Verwendung des Gerätecodeflusses einschränken, indem Sie die Gerätecodeoption im Authentifizierungsprotokollfilter verwenden.
Problembehandlung bei unerwarteten Blockierungen
Wenn eine Anmeldung unerwartet durch eine Richtlinie für bedingten Zugriff blockiert wird, sollten Sie überprüfen, ob es sich bei der Richtlinie um eine Richtlinie für Authentifizierungsflows handelt. Sie können dies überprüfen, indem Sie zu Anmeldeprotokolle wechseln, die blockierte Anmeldung auswählen und dann im Bereich Aktivitätsdetails: Anmeldungen zur Registerkarte Bedingter Zugriff navigieren. Wenn es sich bei der erzwungenen Richtlinie um eine Richtlinie für Authentifizierungsflows handelt, wählen Sie die Richtlinie aus, um festzustellen, welcher Authentifizierungsflow abgeglichen wurde.
Wenn der Gerätecodeflow abgeglichen wurde, jedoch nicht der für diese Anmeldung ausgeführte Flow war, bedeutet dies, dass das Aktualisierungstoken nachverfolgt wurde. Sie können dies überprüfen, indem Sie die blockierte Anmeldung auswählen und im Bereich Aktivitätsdetails: Anmeldungen unter Grundlegende Informationen nach der Eigenschaft Ursprüngliche Übertragungsmethode suchen.
Hinweis
Blockierungen aufgrund der Nachverfolgung von Sitzungen im Protokoll gehören bei dieser Richtlinie zum erwarteten Verhalten. Es gibt keine empfohlene Wartungs- bzw. Abhilfemaßnahme.