Akses Bersyar: Alur autentikasi (Pratinjau)
MICROSOFT Entra ID mendukung berbagai alur autentikasi dan otorisasi untuk memberikan pengalaman yang mulus di semua jenis aplikasi dan perangkat. Beberapa alur autentikasi ini, berisiko lebih tinggi daripada yang lain. Untuk memberikan kontrol lebih atas postur keamanan Anda, kami menambahkan kemampuan untuk mengontrol alur autentikasi tertentu ke Akses Bersyar. Kontrol ini dimulai dengan kemampuan untuk secara eksplisit menargetkan alur kode perangkat.
Aliran kode perangkat
Alur kode perangkat digunakan saat masuk ke perangkat yang mungkin tidak memiliki perangkat input lokal seperti perangkat bersama atau signage digital. Alur kode perangkat adalah alur autentikasi berisiko tinggi yang mungkin digunakan sebagai bagian dari serangan phishing atau untuk mengakses sumber daya perusahaan pada perangkat yang tidak dikelola. Anda dapat mengonfigurasi kontrol alur kode perangkat bersama dengan kontrol lain dalam kebijakan Akses Bersyar Anda. Misalnya, jika alur kode perangkat digunakan untuk perangkat ruang konferensi berbasis android, Anda dapat memilih untuk memblokir aliran kode perangkat di mana-mana kecuali untuk perangkat android di lokasi jaringan tertentu.
Anda seharusnya hanya mengizinkan alur kode perangkat jika diperlukan. Microsoft merekomendasikan pemblokiran alur kode perangkat sedapat mungkin.
Transfer autentikasi
Transfer autentikasi adalah alur baru yang menawarkan cara mulus untuk mentransfer status terautentikasi dari satu perangkat ke perangkat lain. Misalnya, pengguna dapat disajikan dengan kode QR dalam versi desktop Outlook yang, ketika dipindai di perangkat seluler mereka, mentransfer status terautentikasi mereka ke perangkat seluler. Kemampuan ini memberikan pengalaman pengguna yang sederhana dan intuitif yang mengurangi tingkat gesekan keseluruhan bagi pengguna.
Kemampuan untuk mengontrol transfer autentikasi dalam pratinjau menggunakan kondisi Alur autentikasi di Akses Bersyarah untuk mengelola fitur.
Pelacakan protokol
Untuk memastikan kebijakan Akses Bersyarat diberlakukan secara akurat pada alur autentikasi tertentu, kami menggunakan fungsionalitas yang disebut pelacakan protokol. Pelacakan ini diterapkan ke sesi menggunakan alur kode perangkat atau transfer autentikasi. Dalam kasus ini, sesi dianggap sebagai protokol yang dilacak. Sesi terlacak protokol apa pun tunduk pada penegakan kebijakan jika ada kebijakan. Status pelacakan protokol dipertahankan melalui refresh berikutnya. Alur kode nondevice atau alur transfer autentikasi dapat tunduk pada penegakan kebijakan alur autentikasi jika sesi dilacak protokol.
Contohnya:
- Anda mengonfigurasi kebijakan untuk memblokir alur kode perangkat di mana saja kecuali untuk SharePoint.
- Anda menggunakan alur kode perangkat untuk masuk ke SharePoint, seperti yang diizinkan oleh kebijakan yang dikonfigurasi. Pada titik ini, sesi dianggap sebagai protokol yang dilacak
- Anda mencoba masuk ke Exchange dalam konteks sesi yang sama menggunakan alur autentikasi apa pun bukan hanya alur kode perangkat.
- Anda diblokir oleh kebijakan yang dikonfigurasi karena status sesi yang dilacak protokol
Log rincian masuk
Saat mengonfigurasi kebijakan untuk membatasi atau memblokir alur kode perangkat, penting untuk memahami apakah dan bagaimana alur kode perangkat digunakan di organisasi Anda. Membuat kebijakan Akses Bersyarat dalam mode khusus laporan atau memfilter log masuk untuk peristiwa alur kode perangkat dengan filter protokol autentikasi dapat membantu.
Untuk membantu memecahkan masalah protokol yang melacak kesalahan terkait, kami telah menambahkan properti baru yang disebut metode transfer asli ke bagian detail aktivitas dari log masuk Akses Bersyarat. Properti ini menampilkan status pelacakan protokol permintaan yang dimaksud. Misalnya, untuk sesi di mana alur kode perangkat dilakukan sebelumnya metode transfer asli diatur ke Alur kode perangkat.
Penegakan kebijakan Alur Autentikasi pada sumber daya Device Registration Service
Mulai awal September 2024, Microsoft akan mulai memberlakukan kebijakan alur autentikasi pada Device Registration Service. Ini hanya akan berlaku untuk kebijakan yang menargetkan semua sumber daya di pemilih sumber daya. Jika organisasi Anda saat ini menggunakan Alur Kode Perangkat untuk tujuan pendaftaran perangkat, dan Anda memiliki kebijakan alur autentikasi yang menargetkan semua sumber daya, Anda harus membebaskan Sumber Daya Pendaftaran Perangkat dari cakupan kebijakan akses bersyarat Anda untuk menghindari dampak. Anda dapat menemukan sumber daya Layanan Pendaftaran Perangkat di opsi Sumber Daya Target yang ada dalam pengalaman konfigurasi kebijakan Akses Bersyar. Untuk mengecualikan Layanan Pendaftaran Perangkat melalui UX Akses Bersyarat, Anda harus membuka Sumber Daya Target ->Kecualikan ->Pilih aplikasi cloud yang dikecualikan ->Device Registration Service. Untuk API, Anda harus memperbarui kebijakan Anda dengan mengecualikan ID Klien untuk Layanan Pendaftaran Perangkat: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Jika Anda tidak yakin apakah organisasi Anda menggunakan Alur Kode Perangkat terhadap Layanan Pendaftaran Perangkat, Anda dapat menggunakan log Masuk Microsoft Entra untuk menentukan hal ini. Di sana, Anda dapat memfilter ID klien Device Registration Service di filter ID Sumber Daya, dan mempersempitnya ke penggunaan Aliran Kode Perangkat dengan menggunakan opsi Kode perangkat dalam filter Protokol Autentikasi.
Pemecahan masalah blok tak terduga
Jika Anda memiliki rincian masuk yang tiba-tiba diblokir oleh kebijakan Akses Bersyarat, Anda harus mengonfirmasi apakah kebijakan tersebut adalah kebijakan alur autentikasi. Anda dapat melakukan konfirmasi ini dengan masuk ke log masuk, mengklik masuk yang diblokir, lalu menavigasi ke tab Akses Bersyarat di panel Detail aktivitas: masuk. Jika kebijakan yang diberlakukan adalah kebijakan alur autentikasi, pilih kebijakan untuk menentukan alur autentikasi mana yang cocok.
Jika alur kode perangkat cocok tetapi alur kode perangkat bukan alur yang dilakukan untuk masuk tersebut, itu berarti token refresh dilacak protokol. Anda dapat memverifikasi kasus ini dengan mengklik masuk yang diblokir dan mencari properti Metode transfer asli di bagian Info dasar dari panel Detail aktivitas: masuk.
Catatan
Blokir karena sesi terlacak protokol adalah perilaku yang diharapkan untuk kebijakan ini. Tidak ada remediasi yang direkomendasikan.