Bagikan melalui

Microsoft Entra Akses Bersyarat: Perlindungan Token (Pratinjau)

  • Artikel

Perlindungan token (terkadang disebut sebagai pengikatan token di industri) mencoba mengurangi serangan menggunakan pencurian token dengan memastikan token hanya dapat digunakan dari perangkat yang dimaksudkan. Ketika penyerang dapat mencuri token melalui pembajakan atau pemutaran ulang, mereka dapat menyamar sebagai korban mereka sampai token kedaluwarsa atau dicabut. Pencurian token dianggap sebagai peristiwa yang relatif jarang terjadi, tetapi kerusakan darinya bisa signifikan.

Perlindungan token menciptakan ikatan yang aman secara kriptografis antara token dan perangkat (rahasia klien) yang dikeluarkannya. Tanpa rahasia klien, token terikat tidak berguna. Saat pengguna mendaftarkan perangkat Windows 10 atau yang lebih baru di ID Microsoft Entra, identitas utama mereka terikat ke perangkat. Apa artinya: Kebijakan dapat memastikan bahwa hanya token sesi masuk yang terikat (atau diperbarui), yang dikenal sebagai Token Refresh Utama (PRT), digunakan oleh aplikasi saat meminta akses ke sumber daya.

Penting

Perlindungan token sedang dalam pratinjau umum. Untuk informasi lebih lanjut tentang pratinjau, lihat Ketentuan Lisensi Universal Untuk Layanan Online. Dengan pratinjau ini, kami memberi Anda kemampuan untuk membuat kebijakan Akses Bersyarat untuk memerlukan perlindungan token untuk token masuk (token refresh) untuk layanan tertentu. Kami mendukung perlindungan token untuk token masuk di Akses Bersyarat untuk aplikasi desktop yang mengakses Exchange Online dan SharePoint Online di perangkat Windows.

Penting

Sejak rilis pratinjau publik awal, perubahan berikut telah diterapkan pada Pelindungan Token:

  • Log Masuk keluaran: Nilai string yang digunakan dalam enforcedSessionControls dan sessionControlsNotSatisfied berubah dari Pengikatan menjadi SignInTokenProtection pada akhir Juni 2023. Kueri pada data Log Masuk harus diperbarui untuk mencerminkan perubahan ini.
  • Perangkat yang digabungkan ke Microsoft Entra menggunakan metode tertentu tidak lagi didukung. Lihat bagian batasan yang diketahui untuk daftar lengkap.
  • Perubahan kode kesalahan: Kode kesalahan kebijakan Akses Bersyar perlindungan token berubah dari 53003 menjadi 530084 untuk mengidentifikasi kesalahan yang terkait dengan perlindungan token dengan lebih baik.
  • Perlindungan token sekarang mendukung Aplikasi Windows, memperluas perlindungan ke Windows 365 dan Azure Virtual Desktop.

Cuplikan layar kebijakan Akses Bersyarat yang memerlukan perlindungan token sebagai kontrol sesi.

Persyaratan

Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P2. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur ID Microsoft Entra yang tersedia secara umum.

Catatan

Penegakan perlindungan token adalah bagian dari Microsoft Entra ID Protection dan memerlukan lisensi Microsoft Entra ID P2 pada ketersediaan umum.

Perangkat dan aplikasi berikut mendukung mengakses sumber daya yang menerapkan kebijakan Akses Bersyarat perlindungan token:

Perangkat yang didukung:

  • Windows 10 atau perangkat yang lebih baru yang terhubung dengan Microsoft Entra, Microsoft Entra terhubung hybrid, atau Microsoft Entra terdaftar. Lihat bagian batasan yang diketahui untuk jenis perangkat yang tidak didukung.
  • Windows Server 2019 atau yang lebih baru yang terhubung ke Microsoft Entra secara hybrid.

Aplikasi yang didukung:

  • Klien sinkronisasi OneDrive versi 22.217 atau yang lebih baru
  • Klien asli Teams versi 1.6.00.1331 atau yang lebih baru
  • Power BI desktop versi 2.117.841.0 (Mei 2023) atau yang lebih baru
  • Modul Exchange PowerShell versi 3.7.0 atau yang lebih baru
  • Microsoft Graph PowerShell versi 2.0.0 atau yang lebih baru dengan opsi EnableLoginByWAM
  • Visual Studio 2022 atau versi lebih baru saat menggunakan opsi Masuk 'penyedia layanan autentikasi Windows'
  • Aplikasi Windows versi 2.0.379.0 atau yang lebih baru

Pembatasan yang diketahui

  • Klien abadi Office tidak didukung.
  • Aplikasi berikut ini tidak mendukung masuk menggunakan alur token yang dilindungi dan pengguna diblokir saat mengakses Exchange dan SharePoint:
    • Modul PowerShell mengakses SharePoint
    • Ekstensi PowerQuery untuk Excel
    • Ekstensi ke Visual Studio Code yang mengakses Exchange atau SharePoint
  • Perangkat klien Windows berikut ini tidak didukung:
    • Surface Hub
    • Sistem Ruang Microsoft Teams berbasis Windows (MTR)
  • Pengguna eksternal yang memenuhi persyaratan pendaftaran perangkat perlindungan token di penyewa rumah mereka didukung. Namun, pengguna yang tidak memenuhi persyaratan ini melihat pesan kesalahan yang tidak jelas tanpa indikasi akar penyebabnya.
  • Perangkat yang terdaftar dengan MICROSOFT Entra ID menggunakan metode berikut tidak didukung:
    • Microsoft Entra bergabung dengan host sesi Azure Virtual Desktop .
    • Perangkat Windows yang disebarkan menggunakan pendaftaran massal.
    • PC Cloud yang dikembangkan oleh Windows 365 dan terhubung dengan Microsoft Entra.
    • Grup mesin yang dihosting Power Automate yang telah terhubung ke Microsoft Entra.
    • Perangkat Windows Autopilot yang disebarkan menggunakan mode penyebaran mandiri .
    • Komputer virtual Windows yang disebarkan di Azure menggunakan ekstensi komputer virtual (VM) yang diaktifkan untuk autentikasi ID Microsoft Entra.
  • Perangkat terdaftar Microsoft Entra baru pada versi Windows sebelum 24H2 mungkin diblokir jika pengguna tidak melakukan proses masuk baru selama pendaftaran. Jika diblokir, pengguna harus mendaftarkan ulang perangkat.

Untuk mengidentifikasi perangkat yang terkena dampak karena jenis pendaftaran yang tidak didukung yang tercantum sebelumnya, periksa atribut tokenProtectionStatusDetails di log Masuk. Permintaan token yang diblokir karena jenis pendaftaran perangkat yang tidak didukung, dapat diidentifikasi dengan nilai signInSessionStatusCode 1003.

Untuk mencegah gangguan selama proses onboard baru, Anda dapat mengubah kebijakan Akses Kondisional perlindungan token dengan menambahkan kondisi filter perangkat yang mengecualikan perangkat apa pun yang termasuk dalam kategori penyebaran yang telah dijelaskan sebelumnya. Misalnya, untuk mengecualikan:

  • Untuk PC cloud yang terhubung dengan Microsoft Entra, Anda dapat menggunakan systemLabels -eq "CloudPC" and trustType -eq "AzureAD".
  • Azure Virtual Desktops yang terhubung dengan Microsoft Entra, Anda dapat menggunakan systemLabels -eq "AzureVirtualDesktop" and trustType -eq "AzureAD".
  • Anda dapat menggunakan systemLabels -eq "MicrosoftPowerAutomate" and trustType -eq "AzureAD"pada grup komputer yang dihosting Power Automate yang bergabung dengan Microsoft Entra.
  • Anda dapat menggunakan systemLabels -eq "AzureResource" and trustType -eq "AzureAD"pada mesin virtual Windows di Azure yang bergabung dengan Microsoft Entra.

Penyebaran

Bagi pengguna, penyebaran kebijakan Akses Bersyarkat untuk memberlakukan perlindungan token harus tidak terlihat saat menggunakan platform klien yang kompatibel pada perangkat terdaftar dan aplikasi yang kompatibel.

Untuk meminimalkan kemungkinan gangguan pengguna karena ketidaksesuaian aplikasi atau perangkat, kami sangat menyarankan:

  • Mulailah dengan grup pilot pengguna, dan perluas dari waktu ke waktu.
  • Buat kebijakan Akses Kondisional dalam mode hanya laporan sebelum beralih ke penegakan perlindungan token.
  • Rekam log masuk Interaktif dan Non-interaktif.
  • Analisislah log ini selama cukup lama untuk mencakup penggunaan aplikasi normal.
  • Tambahkan pengguna baik yang diketahui ke kebijakan penegakan.

Proses ini membantu menilai kompatibilitas klien dan aplikasi pengguna Anda untuk penegakan perlindungan token.

Membuat kebijakan Akses Bersyarat

Pengguna yang melakukan peran khusus seperti yang dijelaskan dalam Tingkat keamanan akses istimewa adalah target yang mungkin untuk fungsionalitas ini. Sebaiknya uji coba dengan subset kecil sebagai langkah awal.

Langkah-langkah berikut membantu membuat kebijakan Akses Bersyarat untuk memerlukan perlindungan token untuk Exchange Online dan SharePoint Online di perangkat Windows.

  1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri ke Entra ID>Akses Bersyarat>Kebijakan.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
    1. Di bawah Sertakan, pilih pengguna atau grup yang menguji kebijakan ini.
    2. Di bawah Kecualikan, pilih Pengguna dan kelompok dan pilih akun akses darurat organisasi Anda.
  6. Di bawah Sumber Daya target>Sumber Daya (sebelumnya aplikasi cloud)>Sertakan>Pilih sumber daya

    1. Di bawah Pilih, pilih aplikasi berikut yang didukung oleh pratinjau:

      1. Office 365 Exchange Online
      2. Office 365 SharePoint Online
      3. Jika Anda menyebarkan Aplikasi Windows di lingkungan Anda, sertakan:
        1. Azure Virtual Desktop
        2. Windows 365
        3. Masuk Windows Cloud

      Peringatan

      Kebijakan Akses Bersyarat Anda sebaiknya hanya dikonfigurasi untuk aplikasi-aplikasi ini. Memilih grup aplikasi Office 365 mungkin mengakibatkan kegagalan yang tidak diinginkan. Perubahan ini adalah pengecualian untuk aturan umum bahwa grup aplikasi Office 365 harus dipilih dalam kebijakan Akses Bersyariah.

    2. Pilih Pilih.

  7. Di bawah Kondisi:
    1. Di bawah Platform perangkat:
      1. Atur Konfigurasi ke Ya.
      2. Sertakan>Pilih platform perangkat>Windows.
      3. Pilih Selesai.
    2. Di bawah Aplikasi klien:

      1. Atur Konfigurasi ke Ya.

        Peringatan

        Tidak mengonfigurasi kondisi Aplikasi Klien , atau membiarkan Browser dipilih dapat menyebabkan aplikasi yang menggunakan MSAL.js, seperti Teams Web diblokir.

      2. Di bawah Klien autentikasi modern, hanya pilih Aplikasi seluler dan klien desktop. Biarkan item lain tidak dicentang.

      3. Pilih Selesai.

  8. Di bawah kontrol akses>Sesi, pilih Perlu perlindungan token untuk sesi masuk dan pilih Pilih.
  9. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
  10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengevaluasi pengaturan kebijakan menggunakan dampak kebijakan atau mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Petunjuk / Saran

Karena kebijakan Akses Bersyarat yang memerlukan perlindungan token saat ini hanya tersedia untuk perangkat Windows, perlu untuk mengamankan lingkungan Anda dari potensi bypass kebijakan ketika penyerang mungkin tampak berasal dari platform yang berbeda.

Selain itu, Anda harus mengonfigurasi kebijakan berikut:

Mengambil log dan menganalisis

Pantau penerapan Akses Bersyarat perlindungan token sebelum dan sesudah pemberlakuan menggunakan fitur seperti Dampak kebijakan (Pratinjau), Log masuk, atau Analitik Log.

Log Masuk

Gunakan log masuk Microsoft Entra untuk memverifikasi hasil kebijakan penegakan perlindungan token dalam mode hanya laporan atau dalam mode diaktifkan.

Cuplikan layar memperlihatkan contoh kebijakan yang tidak terpenuhi.

  1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri ke Entra IDPemantauan & kesehatanlog Masuk.
  3. Pilih permintaan tertentu untuk menentukan apakah kebijakan diterapkan atau tidak.
  4. Buka panel Akses Bersyarat atau Khusus Laporan bergantung pada statusnya dan pilih nama kebijakan Anda yang memerlukan perlindungan token.
  5. Di bawah Kontrol Sesi , periksa untuk melihat apakah persyaratan kebijakan terpenuhi atau tidak.
  6. Untuk menemukan detail selengkapnya tentang status pengikatan permintaan, pilih panel Info Dasar dan lihat bidang Perlindungan Token - Sesi Masuk. Nilai yang mungkin adalah:
    1. Terikat: permintaan menggunakan protokol terikat. Beberapa masuk mungkin melibatkan beberapa permintaan, dan semua permintaan harus mematuhi kebijakan perlindungan token. Bahkan jika permintaan individu tampaknya terikat, permintaan tersebut tidak memastikan kepatuhan terhadap kebijakan jika permintaan lain tidak terikat. Untuk melihat semua permintaan untuk masuk, Anda dapat memfilter semua permintaan untuk pengguna tertentu atau melihat berdasarkan corelationid.
    2. Tidak terikat: permintaan tidak menggunakan protokol terikat. Kemungkinan statusCodes ketika permintaan tidak dibatasi adalah:
      1. 1002: Permintaan tidak terikat karena kurangnya status perangkat ID Microsoft Entra.
      2. 1003: Permintaan tidak terkait karena status ID perangkat Microsoft Entra tidak memenuhi persyaratan kebijakan Akses Bersyarat untuk perlindungan token. Kesalahan ini bisa disebabkan oleh jenis pendaftaran perangkat yang tidak didukung, atau perangkat tidak terdaftar menggunakan kredensial masuk baru.
      3. 1005: Permintaan tidak terikat karena alasan lain yang tidak ditentukan.
      4. 1006: Permintaan tidak terikat karena versi OS tidak didukung.
      5. 1008: Permintaan tidak terikat karena klien tidak terintegrasi dengan broker platform, seperti Windows Account Manager (WAM).

Cuplikan layar memperlihatkan contoh masuk dengan atribut Token Protection - Sesi Masuk disorot.

Log Analitik

Anda juga dapat menggunakan Analitik Log untuk mengkueri log masuk (interaktif dan non-interaktif) untuk permintaan yang diblokir karena kegagalan penegakan perlindungan token.

Berikut adalah contoh kueri Analitik Log yang mencari log masuk non-interaktif selama tujuh hari terakhir, menyoroti Permintaan yang Diblokir versus Diizinkan oleh Aplikasi. Kueri ini hanya sampel dan dapat berubah.

Catatan

Log Masuk output: Nilai string yang dipakai pada "enforcedSessionControls" dan "sessionControlsNotSatisfied" diubah dari "Pengikatan" ke "SignInTokenProtection" pada akhir Juni 2023. Kueri pada data Log Masuk harus diperbarui untuk mencerminkan perubahan ini. Contoh mencakup kedua nilai dan menyertakan data historis.

//Per Apps query 
// Select the log you want to query (SigninLogs or AADNonInteractiveUserSignInLogs ) 
//SigninLogs 
AADNonInteractiveUserSignInLogs 
// Adjust the time range below 
| where TimeGenerated > ago(7d) 
| project Id,ConditionalAccessPolicies, Status,UserPrincipalName, AppDisplayName, ResourceDisplayName 
| where ConditionalAccessPolicies != "[]" 
| where ResourceDisplayName == "Office 365 Exchange Online" or ResourceDisplayName =="Office 365 SharePoint Online" or ResourceDisplayName =="Azure Virtual Desktop" or ResourceDisplayName =="Windows 365" or ResourceDisplayName =="Windows Cloud Login"
| where ResourceDisplayName == "Office 365 Exchange Online" or ResourceDisplayName =="Office 365 SharePoint Online" 
//Add userPrincipalName if you want to filter  
// | where UserPrincipalName =="<user_principal_Name>" 
| mv-expand todynamic(ConditionalAccessPolicies) 
| where ConditionalAccessPolicies ["enforcedSessionControls"] contains '["Binding"]' or ConditionalAccessPolicies ["enforcedSessionControls"] contains '["SignInTokenProtection"]' 
| where ConditionalAccessPolicies.result !="reportOnlyNotApplied" and ConditionalAccessPolicies.result !="notApplied" 
| extend SessionNotSatisfyResult = ConditionalAccessPolicies["sessionControlsNotSatisfied"] 
| extend Result = case (SessionNotSatisfyResult contains 'SignInTokenProtection' or SessionNotSatisfyResult contains 'SignInTokenProtection', 'Block','Allow')
| summarize by Id,UserPrincipalName, AppDisplayName, Result 
| summarize Requests = count(), Users = dcount(UserPrincipalName), Block = countif(Result == "Block"), Allow = countif(Result == "Allow"), BlockedUsers = dcountif(UserPrincipalName, Result == "Block") by AppDisplayName 
| extend PctAllowed = round(100.0 * Allow/(Allow+Block), 2) 
| sort by Requests desc

Hasil kueri sebelumnya harus mirip dengan cuplikan layar berikut:

Cuplikan layar memperlihatkan contoh hasil kueri Analitik Log yang mencari kebijakan perlindungan token

Contoh kueri berikut melihat log masuk non-interaktif selama tujuh hari terakhir, menyoroti Permintaan yang Diblokir versus Diizinkan oleh Pengguna.

//Per users query 
// Select the log you want to query (SigninLogs or AADNonInteractiveUserSignInLogs ) 
//SigninLogs 
AADNonInteractiveUserSignInLogs 
// Adjust the time range below 
| where TimeGenerated > ago(7d) 
| project Id,ConditionalAccessPolicies, UserPrincipalName, AppDisplayName, ResourceDisplayName 
| where ConditionalAccessPolicies != "[]" 
| where ResourceDisplayName == "Office 365 Exchange Online" or ResourceDisplayName =="Office 365 SharePoint Online" or ResourceDisplayName =="Azure Virtual Desktop" or ResourceDisplayName =="Windows 365" or ResourceDisplayName =="Windows Cloud Login"
| where ResourceDisplayName == "Office 365 Exchange Online" or ResourceDisplayName =="Office 365 SharePoint Online" 
//Add userPrincipalName if you want to filter  
// | where UserPrincipalName =="<user_principal_Name>" 
| mv-expand todynamic(ConditionalAccessPolicies) 
| where ConditionalAccessPolicies ["enforcedSessionControls"] contains '["Binding"]' or ConditionalAccessPolicies ["enforcedSessionControls"] contains '["SignInTokenProtection"]'
| where ConditionalAccessPolicies.result !="reportOnlyNotApplied" and ConditionalAccessPolicies.result !="notApplied" 
| extend SessionNotSatisfyResult = ConditionalAccessPolicies.sessionControlsNotSatisfied 
| extend Result = case (SessionNotSatisfyResult contains 'SignInTokenProtection' or SessionNotSatisfyResult contains 'SignInTokenProtection', 'Block','Allow')
| summarize by Id, UserPrincipalName, AppDisplayName, ResourceDisplayName,Result  
| summarize Requests = count(),Block = countif(Result == "Block"), Allow = countif(Result == "Allow") by UserPrincipalName, AppDisplayName,ResourceDisplayName 
| extend PctAllowed = round(100.0 * Allow/(Allow+Block), 2) 
| sort by UserPrincipalName asc

Contoh kueri berikut melihat log masuk non-interaktif selama tujuh hari terakhir, menyoroti pengguna yang menggunakan perangkat, di mana status perangkat ID Microsoft Entra tidak memenuhi persyaratan kebijakan CA perlindungan token.

AADNonInteractiveUserSignInLogs 
// Adjust the time range below 
| where TimeGenerated > ago(7d) 
| where TokenProtectionStatusDetails!= "" 
| extend parsedBindingDetails = parse_json(TokenProtectionStatusDetails) 
| extend bindingStatus = tostring(parsedBindingDetails["signInSessionStatus"]) 
| extend bindingStatusCode = tostring(parsedBindingDetails["signInSessionStatusCode"]) 
| where bindingStatusCode == 1003 
| summarize count() by UserPrincipalName

Pengalaman Pengguna akhir

Pengguna yang mendaftarkan atau mendaftarkan perangkat mereka tidak mengalami perbedaan apa pun dalam pengalaman masuk pada aplikasi yang didukung perlindungan token saat persyaratan perlindungan token diaktifkan.

Pengguna yang belum mendaftarkan atau mendaftarkan perangkat mereka, atau saat menggunakan aplikasi yang tidak didukung ketika persyaratan perlindungan token diaktifkan akan melihat cuplikan layar berikut setelah mengautentikasi.

Cuplikan layar pesan kesalahan perlindungan token ketika perangkat Anda tidak terdaftar atau terdaftar.

Pengguna yang tidak menggunakan aplikasi yang didukung saat persyaratan perlindungan token diaktifkan akan melihat cuplikan layar berikut setelah mengautentikasi.

Cuplikan layar pesan kesalahan saat kebijakan perlindungan token memblokir akses.

Konten terkait

Apa itu Token Refresh Utama?