Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
MICROSOFT Entra ID mendukung berbagai alur autentikasi dan otorisasi untuk memberikan pengalaman yang mulus di semua jenis aplikasi dan perangkat. Beberapa alur autentikasi berisiko lebih tinggi daripada yang lain. Untuk memberi Anda kontrol lebih besar mengenai sikap keamanan Anda, Conditional Access memungkinkan Anda mengontrol alur autentikasi tertentu. Kontrol ini dimulai dengan menargetkan alur kode perangkat secara eksplisit.
Aliran kode perangkat
Alur kode perangkat memungkinkan Anda masuk ke perangkat yang tidak memiliki perangkat input lokal, seperti perangkat bersama atau signage digital. Alur kode perangkat adalah metode autentikasi berisiko tinggi yang dapat menjadi bagian dari serangan phishing atau digunakan untuk mengakses sumber daya perusahaan pada perangkat yang tidak dikelola. Konfigurasikan kontrol alur kode perangkat bersamaan dengan kontrol lain dalam kebijakan Akses Bersyarat. Misalnya, jika alur kode perangkat digunakan untuk perangkat ruang konferensi berbasis Android, blokir alur kode perangkat di mana-mana kecuali untuk perangkat Android di lokasi jaringan tertentu.
Izinkan alur kode perangkat hanya jika perlu. Microsoft merekomendasikan pemblokiran alur kode perangkat sedapat mungkin.
Pemindahan Otorisasi
Transfer autentikasi adalah alur yang memungkinkan pengguna mentransfer status terautentikasi dengan mulus dari satu perangkat ke perangkat lain. Misalnya, pengguna mungkin melihat kode QR di Outlook versi desktop yang, ketika dipindai di perangkat seluler mereka, mentransfer status terautentikasi mereka ke perangkat seluler. Kemampuan ini memberikan pengalaman sederhana dan intuitif yang mengurangi gesekan bagi pengguna.
Pelacakan protokol
Untuk memastikan kebijakan Akses Bersyarat diberlakukan secara akurat pada alur autentikasi tertentu, kami menggunakan fungsionalitas yang disebut pelacakan protokol. Pelacakan ini diterapkan ke sesi menggunakan alur kode perangkat atau transfer autentikasi. Dalam kasus ini, sesi dianggap tercatat sesuai protokol. Sesi yang terlacak oleh protokol apa pun akan tunduk pada penegakan kebijakan jika kebijakan tersebut ada. Status pelacakan protokol dipertahankan melalui refresh berikutnya, yang berarti dimungkinkan bagi alur kode non perangkat atau alur transfer autentikasi untuk tunduk pada penegakan kebijakan alur autentikasi.
Contohnya:
- Anda mengonfigurasi kebijakan untuk memblokir alur kode perangkat di mana saja kecuali untuk SharePoint.
- Anda menggunakan alur kode perangkat untuk masuk ke SharePoint, seperti yang diizinkan oleh kebijakan yang dikonfigurasi. Pada titik ini, sesi dianggap berada dalam pemantauan protokol.
- Anda mencoba masuk ke Exchange dalam konteks sesi yang sama menggunakan alur autentikasi apa pun bukan hanya alur kode perangkat.
- Anda diblokir oleh kebijakan yang dikonfigurasi karena status sesi yang dilacak protokol.
Log riwayat masuk
Saat mengonfigurasi kebijakan untuk membatasi atau memblokir alur kode perangkat, penting untuk memahami apakah dan bagaimana alur kode perangkat digunakan di organisasi Anda. Membuat kebijakan Akses Bersyarat dalam mode hanya lapor atau memfilter catatan masuk untuk peristiwa aliran kode perangkat dengan filter protokol autentikasi dapat membantu.
Untuk membantu memecahkan masalah protokol yang melacak kesalahan terkait, kami telah menambahkan properti baru yang disebut metode transfer asli ke bagian detail aktivitas dari log masuk Akses Bersyarat. Properti ini menampilkan status pelacakan protokol permintaan yang dimaksud. Misalnya, untuk sesi di mana alur kode perangkat dilakukan sebelumnya metode transfer asli diatur ke Alur kode perangkat.
Penegakan kebijakan Alur Otentikasi pada sumber daya Layanan Pendaftaran Perangkat
Mulai awal September 2024, Microsoft mulai memberlakukan kebijakan alur autentikasi pada Device Registration Service. Ini hanya berlaku untuk kebijakan yang menargetkan semua sumber daya di pemilih sumber daya. Jika organisasi Anda saat ini menggunakan Alur Kode Perangkat untuk tujuan pendaftaran perangkat, dan Anda memiliki kebijakan alur autentikasi yang menargetkan semua sumber daya, Anda perlu membebaskan Sumber Daya Pendaftaran Perangkat dari cakupan kebijakan Akses Bersyariah Anda untuk menghindari dampak. Anda dapat menemukan sumber daya Layanan Registrasi Perangkat di opsi Sumber Daya Target yang ada dalam pengalaman konfigurasi kebijakan Akses Bersyarat. Untuk mengecualikan Layanan Pendaftaran Perangkat melalui UX Akses Bersyar, Anda harus membuka Sumber Daya> TargetKecualikan>Pilih aplikasi> cloud yang dikecualikanDevice Registration Service. Untuk API, Anda perlu memperbarui kebijakan Anda dengan mengecualikan ID Klien untuk Layanan Pendaftaran Perangkat: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Jika Anda tidak yakin apakah organisasi Anda menggunakan Device Code Flow terhadap Layanan Pendaftaran Perangkat, Anda dapat menggunakan Microsoft Entra Log Masuk untuk memeriksanya. Di sana, Anda dapat memfilter ID klien Device Registration Service di filter ID Sumber Daya , dan mempersempitnya ke penggunaan Aliran Kode Perangkat dengan menggunakan opsi Kode perangkat dalam filter Protokol Autentikasi .
Pemecahan masalah hambatan tak terduga
Jika Anda memiliki rincian masuk yang tiba-tiba diblokir oleh kebijakan Akses Bersyarat, atau Anda secara tak terduga keluar dari perangkat, Anda harus mengonfirmasi apakah akar penyebabnya adalah kebijakan alur autentikasi. Anda dapat melakukan konfirmasi ini dengan masuk ke log masuk, mengklik masuk yang diblokir, lalu menavigasi ke tab Akses Bersyarat di panel Detail aktivitas: masuk . Jika kebijakan yang diberlakukan adalah kebijakan alur autentikasi, pilih kebijakan untuk menentukan alur autentikasi mana yang cocok.
Jika alur kode perangkat telah cocok tetapi alur kode perangkat bukan alur yang diterapkan untuk masuk tersebut, token refresh telah dicatat oleh protokol. Anda dapat memverifikasi kasus ini dengan mengklik tanda masuk yang diblokir dan mencari properti Metode transfer asli di bagian Info dasar dari panel Detail aktivitas: masuk. Jika kebijakan yang dikonfigurasi diterapkan ke semua aplikasi, Anda juga dapat menentukan kesalahan terkait pelacakan protokol dengan mencari kode kesalahan dan pesan berikut: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted..
Catatan
Pemblokiran karena sesi yang terlacak oleh protokol adalah perilaku yang diantisipasi untuk kebijakan ini. Kemungkinan dampak dapat mencakup hal-hal seperti tidak dapat mengakses sumber daya tertentu, atau keluar dari perangkat. Tidak ada remediasi yang disarankan saat kebijakan berada dalam status enabled. Jika kebijakan telah diatur ke disabled atau report-only, Anda mungkin perlu mendapatkan token baru untuk menggunakan perangkat lagi.