Feltételes hozzáférés: Hitelesítési folyamatok (előzetes verzió)
A Microsoft Entra ID számos hitelesítési és engedélyezési folyamatot támogat, hogy zökkenőmentes felhasználói élményt biztosítson az összes alkalmazás- és eszköztípushoz. Ezen hitelesítési folyamatok némelyike nagyobb kockázattal jár, mint mások. A biztonsági helyzet szabályozásának további biztosítása érdekében lehetővé tesszük bizonyos hitelesítési folyamatok szabályozását a feltételes hozzáféréshez. Ez a vezérlő azzal kezdődik, hogy explicit módon meg lehet célozni az eszköz kódfolyamatát.
Eszközkód-folyamat
Az eszközkód-folyamatot olyan eszközökre való bejelentkezéskor használják, amelyek nem rendelkeznek helyi beviteli eszközökkel, például megosztott eszközökkel vagy digitális aláírások használatával. Az eszközkód-folyamat egy magas kockázatú hitelesítési folyamat, amely adathalász támadás részeként vagy nem felügyelt eszközökön lévő vállalati erőforrások eléréséhez használható. A feltételes hozzáférési szabályzatokban konfigurálhatja az eszközkód folyamatvezérlését, valamint a többi vezérlőt is. Ha például az eszközkód-folyamatot Android-alapú konferenciatermi eszközökhöz használják, akkor dönthet úgy, hogy az adott hálózati helyen lévő androidos eszközök kivételével mindenhol letiltja az eszközkód-folyamatot.
Csak akkor engedélyezze az eszközkód-folyamatot, ha szükséges. A Microsoft azt javasolja, hogy lehetőség szerint tiltsa le az eszközkód-folyamatot.
Hitelesítés átadása
A hitelesítési átvitel egy új folyamat, amely zökkenőmentes módot kínál a hitelesített állapot átvitelére az egyik eszközről a másikra. A felhasználók például olyan QR-kódot láthatnak az Outlook asztali verziójában, amely a mobileszközön végzett ellenőrzéskor a hitelesített állapotukat a mobileszközre továbbítja. Ez a funkció egyszerű és intuitív felhasználói élményt nyújt, amely csökkenti a felhasználók általános súrlódási szintjét.
A hitelesítési átvitel vezérlésének lehetősége előzetes verzióban érhető el a feltételes hozzáférés hitelesítési folyamatainak feltételével a funkció kezeléséhez.
Protokollkövetés
Annak érdekében, hogy a feltételes hozzáférési szabályzatok pontosan kikényszeríthetők legyenek a megadott hitelesítési folyamatokon, protokollkövetés nevű funkciót használunk. Ez a nyomon követés eszközkód-forgalom vagy hitelesítési átvitel használatával lesz alkalmazva a munkamenetre. Ezekben az esetekben a munkamenetek protokoll által követettnek minősülnek. A protokoll által követett munkamenetek szabályzat-kényszerítés hatálya alá tartoznak, ha létezik szabályzat. A protokollkövetési állapot a későbbi frissítéseken keresztül tartható fenn. A nem kiürített kódfolyamatok vagy a hitelesítési átviteli folyamatok a hitelesítési folyamatok házirendjeinek érvényesítésére is vonatkozhatnak, ha a munkamenetet protokoll követi.
Példa:
- Olyan szabályzatot konfigurálhat, amely a SharePoint kivételével mindenhol letiltja az eszközkód-folyamatot.
- Az eszközkód-folyamattal bejelentkezhet a SharePointba a konfigurált szabályzat által megengedett módon. Ezen a ponton a munkamenet protokoll által követettnek minősül
- Megpróbál bejelentkezni az Exchange-be ugyanabban a munkamenetben, bármilyen hitelesítési folyamattal, nem csak az eszköz kódfolyamatával.
- A konfigurált szabályzat letiltja a munkamenet protokoll által nyomon követett állapota miatt
Bejelentkezési naplók
Amikor egy szabályzatot úgy konfigurál, hogy korlátozza vagy letiltsa az eszközkód-folyamatot, fontos tisztában lenni azzal, hogy az eszközkód-folyamatot a szervezet használja-e és hogyan. A feltételes hozzáférési szabályzatok csak jelentés módban történő létrehozása vagy az eszközkód-folyamatok eseményeinek bejelentkezési naplóinak szűrése a hitelesítési protokoll szűrőjével segíthet.
A protokollkövetéssel kapcsolatos hibák elhárításához hozzáadtunk egy új, eredeti átviteli metódus nevű tulajdonságot a feltételes hozzáférés bejelentkezési naplóinak tevékenység részletei szakaszához. Ez a tulajdonság a szóban forgó kérés protokollkövetési állapotát jeleníti meg. Például egy olyan munkamenet esetében, amelyben korábban eszközkódfolyamatot hajtottak végre, az eredeti átviteli módszer eszközkód-folyamatra van állítva.
Hitelesítési folyamatokra vonatkozó szabályzatok kényszerítése az eszközregisztrációs szolgáltatás erőforrásán
2024. szeptember elejétől a Microsoft megkezdi a hitelesítési folyamatokra vonatkozó szabályzatok kikényszerítését az eszközregisztrációs szolgáltatásban. Ez csak azokra a szabályzatokra vonatkozik, amelyek az erőforrásválasztó összes erőforrását célba veik. Ha a szervezet jelenleg eszközregisztrációs célokra használja az Eszközkód-folyamatot, és rendelkezik az összes erőforrást célzó hitelesítési folyamatokra vonatkozó szabályzattal, a hatás elkerülése érdekében fel kell vennie az eszközregisztrációs erőforrást a feltételes hozzáférési szabályzat hatóköréből. Az eszközregisztrációs szolgáltatás erőforrását a Feltételes hozzáférési szabályzat konfigurációs felületén található Célerőforrások beállításban találja. Az eszközregisztrációs szolgáltatás feltételes hozzáférési UX-val történő kivételéhez a célerőforrásokra kell lépnie –Kizárás –>>Kizárt felhőalkalmazások kiválasztása –>Eszközregisztrációs szolgáltatás. AZ API-hoz frissítenie kell a szabályzatot az eszközregisztrációs szolgáltatás ügyfélazonosítójának kizárásával: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Ha nem biztos abban, hogy a szervezete eszközkód-folyamatot használ-e az eszközregisztrációs szolgáltatáson, a Microsoft Entra bejelentkezési naplóiból állapíthatja meg ezt. Itt szűrheti az Eszközregisztrációs szolgáltatás ügyfélazonosítóját az Erőforrás-azonosító szűrőben, és az Eszközkód-folyamat használatára szűkítheti le a hitelesítési protokoll szűrő eszközkódbeállításának használatával.
Váratlan blokkok hibaelhárítása
Ha egy feltételes hozzáférési szabályzat váratlanul letiltotta a bejelentkezést, győződjön meg arról, hogy a szabályzat hitelesítési folyamatokra vonatkozó szabályzat volt-e. Ezt a megerősítést úgy teheti meg, hogy bejelentkezik a naplókba, rákattint a letiltott bejelentkezésre, majd navigál a Feltételes hozzáférés lapra a Tevékenység részletei: bejelentkezések panelen. Ha a házirend kényszerítése hitelesítési folyamatokra vonatkozó szabályzat volt, válassza ki a szabályzatot annak megállapításához, hogy melyik hitelesítési folyamat felelt meg.
Ha az eszközkód-folyamat megfelelt, de az eszköz kódfolyamata nem az adott bejelentkezéshez végrehajtott folyamat volt, az azt jelenti, hogy a frissítési jogkivonat protokollt követett. Ezt az esetet úgy ellenőrizheti, hogy a letiltott bejelentkezésre kattint, és megkeresi az Eredeti átviteli módszer tulajdonságot a Tevékenység részletei: bejelentkezések panel Alapadatok részén.
Feljegyzés
A protokoll által nyomon követett munkamenetek miatti blokkok viselkedése várható a szabályzatban. Nincs javasolt szervizelés.