Bedingter Zugriff: Authentifizierungsflows (Vorschau)
Microsoft Entra ID unterstützt eine Vielzahl von Authentifizierungs- und Autorisierungsflows, um für alle Anwendungs- und Gerätetypen eine nahtlose Erfahrung zu bieten. Einige dieser Authentifizierungsflows sind mit einem höheren Risiko verbunden als andere. Um Ihnen mehr Kontrolle über Ihren Sicherheitsstatus zu bieten, haben wir eine Funktion hinzugefügt, mit der Sie bestimmte Authentifizierungsflows für bedingten Zugriff steuern können. Diese Kontrolle beginnt mit der Möglichkeit, den Gerätecodeflow explizit als Ziel festzulegen.
Gerätecodefluss
Der Gerätecodeflow wird bei der Anmeldung bei Geräten verwendet, die möglicherweise nicht über lokale Eingabegeräte wie gemeinsam genutzte Geräte oder digitale Beschilderung verfügen. Der Gerätecodeflow ist ein Authentifizierungsflow mit hohem Risiko, der im Rahmen eines Phishingangriffs oder für den Zugriff auf Unternehmensressourcen auf nicht verwalteten Geräten verwendet werden kann. Sie können die Steuerung des Gerätecodeflows zusammen mit anderen Kontrollen in Ihren Richtlinien für bedingten Zugriff konfigurieren. Wenn der Gerätecodeflow beispielsweise für Android-basierte Konferenzraumgeräte verwendet wird, können Sie den Gerätecodeflow mit Ausnahme von Android-Geräten an einer bestimmten Netzwerkadresse überall blockieren.
Sie sollten den Gerätecodeflow nur bei Bedarf zulassen. Microsoft empfiehlt, den Gerätecodeflow nach Möglichkeit zu blockieren.
Authentifizierungsübertragung
Die Authentifizierungsübertragung ist ein neuer Flow, der die nahtlose Übertragung des authentifizierten Zustands von einem Gerät auf ein anderes ermöglicht. Beispielsweise kann in der Desktopversion von Outlook ein QR-Code für Benutzer angezeigt werden, der ihren authentifizierten Zustand auf das mobile Gerät überträgt, wenn er auf dem mobilen Gerät gescannt wird. Diese Funktion bietet eine einfache und intuitive Benutzererfahrung, die die Probleme für Benutzer insgesamt reduziert.
Die Funktion zum Steuern der Authentifizierungsübertragung befindet sich in der Vorschau. Verwenden Sie die Bedingung Authentifizierungsflows unter „Bedingter Zugriff“, um das Feature zu verwalten.
Protokollnachverfolgung
Um sicherzustellen, dass Richtlinien für bedingten Zugriff bei bestimmten Authentifizierungsflows korrekt erzwungen werden, verwenden wir eine Funktion, die als Protokollnachverfolgung bezeichnet wird. Diese Nachverfolgung wird auf die Sitzung mit Gerätecodeflow oder Authentifizierungsübertragung angewendet. In diesen Fällen gelten die Sitzungen als im Protokoll nachverfolgt. Alle im Protokoll nachverfolgten Sitzungen unterliegen der Richtlinienerzwingung, sofern eine Richtlinie vorhanden ist. Der Protokollnachverfolgungsstatus wird über nachfolgende Aktualisierungen hinweg aufrechterhalten. Nicht-Gerätecodeflows oder Authentifizierungsübertragungsflows können der Erzwingung von Richtlinien für Authentifizierungsflows unterliegen, wenn die Sitzung im Protokoll nachverfolgt wird.
Beispiel:
- Sie konfigurieren eine Richtlinie, um den Gerätecodeflow mit Ausnahme von SharePoint überall zu blockieren.
- Sie verwenden den Gerätecodeflow, um sich bei SharePoint anzumelden (wie gemäß der konfigurierten Richtlinie zulässig). An diesem Punkt gilt die Sitzung als im Protokoll nachverfolgt.
- Sie versuchen, sich im Kontext derselben Sitzung bei Exchange anzumelden, indem Sie einen beliebigen Authentifizierungsflow verwenden, nicht nur den Gerätecodeflow.
- Sie werden aufgrund des im Protokoll nachverfolgten Status der Sitzung durch die konfigurierte Richtlinie blockiert.
Anmeldeprotokolle
Beim Konfigurieren einer Richtlinie zum Einschränken oder Blockieren des Gerätecodeflows müssen Sie wissen, ob und wie der Gerätecodeflow in Ihrer Organisation verwendet wird. Es kann hilfreich sein, eine Richtlinie für bedingten Zugriff im Modus „Nur melden“ zu erstellen oder die Anmeldeprotokolle mit dem Filter Authentifizierungsprotokoll nach Gerätecodeflow-Ereignissen zu filtern.
Um die Problembehandlung von Fehlern im Zusammenhang mit der Protokollnachverfolgung zu erleichtern, haben wir dem Abschnitt Aktivitätsdetails der Anmeldeprotokolle für bedingten Zugriff eine neue Eigenschaft namens Ursprüngliche Übertragungsmethode hinzugefügt. Diese Eigenschaft zeigt den Protokollnachverfolgungsstatus der jeweiligen Anforderung. Für eine Sitzung, in der der Gerätecodeflow zuvor ausgeführt wurde, ist Ursprüngliche Übertragungsmethode beispielsweise auf Gerätecodeflow festgelegt.
Problembehandlung bei unerwarteten Blockierungen
Wenn eine Anmeldung unerwartet durch eine Richtlinie für bedingten Zugriff blockiert wird, sollten Sie überprüfen, ob es sich bei der Richtlinie um eine Richtlinie für Authentifizierungsflows handelt. Sie können dies überprüfen, indem Sie zu Anmeldeprotokolle wechseln, die blockierte Anmeldung auswählen und dann im Bereich Aktivitätsdetails: Anmeldungen zur Registerkarte Bedingter Zugriff navigieren. Wenn es sich bei der erzwungenen Richtlinie um eine Richtlinie für Authentifizierungsflows handelt, wählen Sie die Richtlinie aus, um festzustellen, welcher Authentifizierungsflow abgeglichen wurde.
Wenn der Gerätecodeflow abgeglichen wurde, jedoch nicht der für diese Anmeldung ausgeführte Flow war, bedeutet dies, dass das Aktualisierungstoken nachverfolgt wurde. Sie können dies überprüfen, indem Sie die blockierte Anmeldung auswählen und im Bereich Aktivitätsdetails: Anmeldungen unter Grundlegende Informationen nach der Eigenschaft Ursprüngliche Übertragungsmethode suchen.
Hinweis
Blockierungen aufgrund der Nachverfolgung von Sitzungen im Protokoll gehören bei dieser Richtlinie zum erwarteten Verhalten. Es gibt keine empfohlene Wartungs- bzw. Abhilfemaßnahme.
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für