Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra ID támogatja a különböző hitelesítési és engedélyezési folyamatokat, hogy zökkenőmentes felhasználói élményt nyújtson az összes alkalmazás- és eszköztípushoz. Egyes hitelesítési folyamatok nagyobb kockázatot jelentenek, mint mások. A biztonsági helyzet feletti nagyobb szabályozás érdekében a feltételes hozzáférés lehetővé teszi bizonyos hitelesítési folyamatok vezérlését. Ez a vezérlő az eszköz kódfolyamatának explicit megcélzásával kezdődik.
Az eszközkód beolvasási folyamata
Az eszközkód-folyamat lehetővé teszi, hogy olyan eszközökre jelentkezzen be, amelyek nem rendelkeznek helyi bemeneti eszközökkel, például megosztott eszközökkel vagy digitális aláírással. Az eszközkód-folyamat egy magas kockázatú hitelesítési módszer, amely egy adathalász támadás része lehet, vagy a nem felügyelt eszközökön lévő vállalati erőforrások eléréséhez használható. Konfigurálja az eszközkód-folyamatvezérlést a feltételes hozzáférési szabályzatok egyéb vezérlőivel együtt. Ha például az eszközkód-folyamatot Android-alapú konferenciatermi eszközökhöz használják, tiltsa le az eszközkód-folyamatot mindenhol, kivéve az androidos eszközöket egy adott hálózati helyen.
Engedélyezze az eszközkód-folyamatot csak akkor, amikor feltétlenül szükséges. A Microsoft azt javasolja, hogy lehetőség szerint tiltsa le az eszközkód-folyamatot.
Hitelesítés átadása
A hitelesítési átvitel olyan folyamat, amellyel a felhasználók zökkenőmentesen továbbíthatják a hitelesített állapotot az egyik eszközről a másikra. Előfordulhat például, hogy a felhasználók egy QR-kódot látnak az Outlook asztali verziójában, amely a mobileszközön végzett ellenőrzéskor a hitelesített állapotukat a mobileszközre továbbítja. Ez a funkció egyszerű, intuitív élményt nyújt, amely csökkenti a felhasználók súrlódását.
Protokollkövetés
Annak érdekében, hogy a feltételes hozzáférési szabályzatok pontosan kikényszeríthetők legyenek a megadott hitelesítési folyamatokon, protokollkövetés nevű funkciót használunk. Ez a nyomon követés eszközkód-forgalom vagy hitelesítési átvitel használatával lesz alkalmazva a munkamenetre. Ezekben az esetekben a munkamenetek protokoll által követettnek minősülnek. A protokoll által követett munkamenetek szabályzat-kényszerítés hatálya alá tartoznak, ha létezik szabályzat. A protokollkövetési állapot a későbbi frissítések révén marad fenn, ami azt jelenti, hogy a nem eszközkód- vagy hitelesítési átviteli folyamatokra a hitelesítési folyamatok szabályzatainak kényszerítése vonatkozhat.
Példa:
- Olyan szabályzatot konfigurálhat, amely a SharePoint kivételével mindenhol letiltja az eszközkód-folyamatot.
- Az eszközkód-folyamattal bejelentkezhet a SharePointba a konfigurált szabályzat által megengedett módon. Ezen a ponton a munkamenet protokoll által követettnek minősül.
- Megpróbál bejelentkezni az Exchange-be ugyanabban a munkamenetben, bármilyen hitelesítési folyamattal, nem csak az eszköz kódfolyamatával.
- A konfigurált szabályzat letiltja a munkamenetet a protokoll által nyomon követett állapota miatt.
Bejelentkezési naplók
Amikor egy szabályzatot úgy konfigurál, hogy korlátozza vagy letiltsa az eszközkód-folyamatot, fontos tisztában lenni azzal, hogy az eszközkód-folyamatot a szervezet használja-e és hogyan. A feltételes hozzáférési szabályzatok csak jelentés módban történő létrehozása vagy az eszközkód-folyamatok eseményeinek bejelentkezési naplóinak szűrése a hitelesítési protokoll szűrőjével segíthet.
A protokollkövetéssel kapcsolatos hibák elhárításához hozzáadtunk egy új, eredeti átviteli metódus nevű tulajdonságot a feltételes hozzáférés bejelentkezési naplóinak tevékenység részletei szakaszához. Ez a tulajdonság a szóban forgó kérés protokollkövetési állapotát jeleníti meg. Például egy olyan munkamenet esetében, amelyben korábban eszközkódfolyamatot hajtottak végre, az eredeti átviteli módszer eszközkód-folyamatra van állítva.
A hitelesítési folyamatokra vonatkozó szabályzatok érvényesítése az eszközregisztráció szolgáltatás erőforrásain
2024. szeptember elejétől a Microsoft megkezdte a hitelesítési folyamatokra vonatkozó szabályzatok kikényszerítését az Eszközregisztrációs szolgáltatásban. Ez csak azokra a szabályzatokra vonatkozik, amelyek az erőforrásválasztó összes erőforrását célba veik. Ha a szervezet jelenleg eszközregisztrációs célokra használja az Eszközkód-folyamatot, és rendelkezik az összes erőforrást célzó hitelesítési folyamatokkal, a hatás elkerülése érdekében fel kell vennie az eszközregisztrációs erőforrást a feltételes hozzáférési szabályzat hatóköréből. Az eszközregisztrációs szolgáltatás erőforrását a Feltételes hozzáférési szabályzat konfigurációs felületén található Célerőforrások beállításban találja. Az Eszközregisztrációs Szolgáltatás feltételes hozzáférési UX-on történő mentességéhez lépjen a Célerőforrások>, majd Kizárás> alatt Kizárt felhőalkalmazások kiválasztása>Eszközregisztrációs Szolgáltatás. AZ API-hoz frissítenie kell a szabályzatot az eszközregisztrációs szolgáltatás ügyfélazonosítójának kizárásával: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Ha nem biztos abban, hogy szervezete eszközkód-folyamatot használ-e az eszközregisztrációs szolgáltatáson, a Microsoft Entra bejelentkezési naplóit használhatja az ellenőrzéshez. Itt az Erőforrás-azonosító szűrőben szűrheti az Eszközregisztrációs szolgáltatás ügyfélazonosítóját, majd az Hitelesítési protokoll szűrő Eszközkód beállításának használatával az Eszközkód-folyamat használatára szűkítheti le.
Váratlan blokkok hibaelhárítása
Ha egy feltételes hozzáférési szabályzat váratlanul letiltotta a bejelentkezést, vagy váratlanul kijelentkezett egy eszközről, győződjön meg arról, hogy a fő ok egy hitelesítési folyamatokra vonatkozó szabályzat volt-e. Ezt a megerősítést úgy teheti meg, hogy bejelentkezik a naplókba, rákattint a letiltott bejelentkezésre, majd navigál a Feltételes hozzáférés lapra a Tevékenység részletei: bejelentkezések panelen. Ha az érvényesített szabályzat hitelesítési folyamatokra vonatkozott, válassza ki a szabályzatot annak meghatározásához, hogy melyik hitelesítési folyamat felelt meg.
Ha az eszközkód-folyamat megfelelő volt, de nem ezt a folyamatot hajtották végre az adott bejelentkezéshez, a frissítési jogkivonat protokoll alapján volt nyomon követve. Ezt az esetet úgy ellenőrizheti, hogy a letiltott bejelentkezésre kattint, és megkeresi az Eredeti átviteli módszer tulajdonságot a Tevékenység részletei: bejelentkezések panel Alapadatok részén. Ha a konfigurált szabályzatot minden alkalmazásra alkalmazza, a következő hibakód és üzenet keresésével is meghatározhatja a protokollkövetéssel kapcsolatos hibát: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted.
Megjegyzés
A protokoll által nyomon követett munkamenetek miatti blokkok várhatóak ebben a szabályzatban. A lehetséges következmények közé tartozhat például az, hogy nem lehet hozzáférni bizonyos erőforrásokhoz, vagy az eszköz kijelentkezése nem teljesülhet. Nincs javasolt megoldás, ha a szabályzat állapota enabled. Ha a szabályzat disabled vagy report-only értékre lett állítva, előfordulhat, hogy új jogkivonatot kell beszereznie az eszköz újbóli használatához.