Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Entra-ID unterstützt verschiedene Authentifizierungs- und Autorisierungsflüsse, um eine nahtlose Erfahrung für alle Anwendungs- und Gerätetypen zu bieten. Einige Authentifizierungsprozesse sind riskanter als andere. Um Ihnen mehr Kontrolle über Ihren Sicherheitsstatus zu geben, können Sie mit bedingtem Zugriff bestimmte Authentifizierungsflüsse steuern. Diese Steuerung beginnt damit, den Gerätecode-Flow gezielt anzusprechen.
Gerätecodefluss
Mit dem Gerätecode-Verfahren können Sie sich bei Geräten anmelden, auf denen lokale Eingabegeräte nicht vorhanden sind, z. B. geteilte Geräte oder digitale Anzeigetafeln. Der Gerätecodefluss ist eine Risikoauthentifizierungsmethode, die Teil eines Phishingangriffs sein kann oder für den Zugriff auf Unternehmensressourcen auf nicht verwalteten Geräten verwendet werden kann. Konfigurieren Sie die Steuerung des Gerätecodeflusses zusammen mit anderen Steuerelementen in Richtlinien für bedingten Zugriff. Wenn beispielsweise Gerätecodefluss für Android-basierte Konferenzraumgeräte verwendet wird, blockieren Sie den Gerätecodefluss überall, mit Ausnahme von Android-Geräten an einem bestimmten Netzwerkstandort.
Lassen Sie den Gerätecodefluss nur bei Bedarf zu. Microsoft empfiehlt, den Gerätecodeflow nach Möglichkeit zu blockieren.
Authentifizierungsübertragung
Die Authentifizierungsübertragung ist ein Fluss, mit dem Benutzer den authentifizierten Zustand nahtlos von einem Gerät zu einem anderen übertragen können. Benutzer sehen z. B. in der Desktopversion von Outlook einen QR-Code, der beim Scannen auf ihrem mobilen Gerät ihren authentifizierten Zustand an das mobile Gerät überträgt. Diese Funktion bietet eine einfache, intuitive Benutzeroberfläche, die die Reibung für Benutzer reduziert.
Protokollnachverfolgung
Um sicherzustellen, dass Richtlinien für bedingten Zugriff bei bestimmten Authentifizierungsflows korrekt erzwungen werden, verwenden wir eine Funktion, die als Protokollnachverfolgung bezeichnet wird. Diese Nachverfolgung wird auf die Sitzung mit Gerätecodeflow oder Authentifizierungsübertragung angewendet. In diesen Fällen gelten die Sitzungen als im Protokoll nachverfolgt. Alle im Protokoll nachverfolgten Sitzungen unterliegen der Richtlinienerzwingung, sofern eine Richtlinie vorhanden ist. Der Protokollnachverfolgungsstatus wird durch nachfolgende Aktualisierungen fortgesetzt, d. h. es ist möglich, dass nicht gerätefremde Codefluss- oder Authentifizierungsübertragungsflüsse der Durchsetzung von Authentifizierungsflussrichtlinien unterliegen.
Zum Beispiel:
- Sie konfigurieren eine Richtlinie, um den Gerätecodeflow mit Ausnahme von SharePoint überall zu blockieren.
- Sie verwenden den Gerätecodeflow, um sich bei SharePoint anzumelden (wie gemäß der konfigurierten Richtlinie zulässig). An diesem Punkt wird die Sitzung als protokolliert betrachtet.
- Sie versuchen, sich im Kontext derselben Sitzung bei Exchange anzumelden, indem Sie einen beliebigen Authentifizierungsflow verwenden, nicht nur den Gerätecodeflow.
- Sie werden durch die konfigurierte Richtlinie aufgrund des erfassten Protokollzustands der Sitzung blockiert.
Anmeldeprotokolle
Beim Konfigurieren einer Richtlinie zum Einschränken oder Blockieren des Gerätecodeflows müssen Sie wissen, ob und wie der Gerätecodeflow in Ihrer Organisation verwendet wird. Es kann hilfreich sein, eine Richtlinie für bedingten Zugriff im Modus „Nur melden“ zu erstellen oder die Anmeldeprotokolle mit dem Filter Authentifizierungsprotokoll nach Gerätecodeflow-Ereignissen zu filtern.
Zur Problembehandlung von Protokollverfolgungsfehlern haben wir eine neue Eigenschaft namens "Ursprüngliche Übertragungsmethode " zum Abschnitt "Aktivitätsdetails " der Anmeldeprotokolle für bedingten Zugriff hinzugefügt. Diese Eigenschaft zeigt den Protokollnachverfolgungsstatus der jeweiligen Anforderung. Beispielsweise wird für eine Sitzung, in der der Gerätecodefluss zuvor ausgeführt wurde, die ursprüngliche Übertragungsmethode auf den Gerätecodefluss festgelegt.
Durchsetzung von Richtlinien für Authentifizierungsflows für die Ressource des Geräteregistrierungsdiensts
Ab Anfang September 2024 begann Microsoft mit der Erzwingung von Authentifizierungsflussrichtlinien für den Geräteregistrierungsdienst. Dies gilt nur für Policies, die auf all resources In resource picker. Wenn Ihre Organisation zurzeit Gerätecodefluss für Geräteregistrierungszwecke verwendet, und Sie über eine Richtlinie für Authentifizierungsflüsse für alle Ressourcen verfügen, müssen Sie die Geräteregistrierungsressource aus dem Bereich Ihrer Richtlinie für bedingten Zugriff ausnehmen, um Auswirkungen zu vermeiden. Sie finden die Device Registration Service-Ressource in der Option "Zielressourcen ", die in der Konfigurationsumgebung für den bedingten Zugriff vorhanden ist. Um den Geräteregistrierungsdienst über die Benutzeroberfläche für bedingten Zugriff auszuschließen, gehen Sie zu Zielressourcen>, Ausschließen>, ausgeschlossene Cloud-Apps auswählen> und wählen Sie Geräteregistrierungsdienst. Für die API müssen Sie Ihre Richtlinie aktualisieren, indem Sie die Client-ID für den Geräteregistrierungsdienst ausschließen: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Wenn Sie nicht sicher sind, ob Ihre Organisation den Gerätecodefluss für den Geräteregistrierungsdienst verwendet, können Sie die Microsoft Entra-Anmeldeprotokolle verwenden, um dies zu überprüfen. Dort können Sie nach der Client-ID des Geräteregistrierungsdiensts im Ressourcen-ID-Filter filtern und auf die Verwendung des Gerätecodeflusses einschränken, indem Sie die Gerätecodeoption im Authentifizierungsprotokollfilter verwenden.
Problembehandlung bei unerwarteten Blockierungen
Wenn Sie eine Anmeldung unerwartet durch eine Richtlinie für bedingten Zugriff blockiert haben oder unerwartet von einem Gerät abgemeldet sind, sollten Sie bestätigen, ob die Ursache eine Richtlinie für Authentifizierungsflüsse war. Sie können diese Bestätigung durchführen, indem Sie zu Anmeldeprotokollen wechseln, auf die blockierte Anmeldung klicken und dann in der Registerkarte Bedingter Zugriff im Bereich Aktivitätsdetails: Anmeldungen navigieren. Wenn es sich bei der erzwungenen Richtlinie um eine Richtlinie für Authentifizierungsflows handelt, wählen Sie die Richtlinie aus, um festzustellen, welcher Authentifizierungsflow abgeglichen wurde.
Wenn der Gerätecodefluss übereinstimmte, aber der Gerätecodefluss nicht der für diese Anmeldung durchgeführte Fluss war, wurde das Aktualisierungs-Token protokolliert. Sie können diesen Fall überprüfen, indem Sie auf die blockierte Anmeldung klicken und im Abschnitt "Grundlegende Informationen" des Bereichs "Aktivitätsdetails: Anmeldungen" nach der Eigenschaft "Ursprüngliche Übertragungsmethode" suchen. Wenn Ihre konfigurierte Richtlinie auf alle Anwendungen angewendet wird, können Sie auch einen protokollbezogenen Fehler ermitteln, indem Sie nach dem folgenden Fehlercode und der folgenden Meldung suchen: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted.
Hinweis
Blockierungen aufgrund der Nachverfolgung von Sitzungen im Protokoll gehören bei dieser Richtlinie zum erwarteten Verhalten. Mögliche Auswirkungen können sein, dass der Zugriff auf bestimmte Ressourcen nicht möglich ist oder das Gerät komplett abgemeldet wird. Es gibt keine empfohlenen Abhilfemaßnahmen, wenn sich die Policy im Zustand enabled state. Wenn die Richtlinie auf disabled oder report-only festgelegt wurde, müssen Sie möglicherweise ein neues Token abholen, um das Gerät erneut zu verwenden.