Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra ID supporta vari flussi di autenticazione e autorizzazione per offrire un'esperienza uniforme in tutti i tipi di applicazioni e dispositivi. Alcuni flussi di autenticazione sono più rischiosi di altri. Per offrire maggiore controllo sul comportamento di sicurezza, l'accesso condizionale consente di controllare determinati flussi di autenticazione. Questo controllo inizia con il flusso di codice del dispositivo destinato in modo esplicito.
Flusso del codice del dispositivo
Il flusso di codice del dispositivo consente di accedere ai dispositivi che non dispongono di dispositivi di input locali, ad esempio dispositivi condivisi o segnaletica digitale. Il flusso di codice del dispositivo è un metodo di autenticazione ad alto rischio che può far parte di un attacco di phishing o usato per accedere alle risorse aziendali su dispositivi non gestiti. Configurare il controllo del flusso di codice del dispositivo insieme ad altri controlli nei criteri di accesso condizionale. Ad esempio, se il flusso di codice del dispositivo viene usato per dispositivi per sale riunioni basati su Android, bloccare il flusso di codice ovunque, tranne che per i dispositivi Android in una specifica località di rete.
Consenti il flusso del codice del dispositivo solo se necessario. Microsoft consiglia di bloccare il flusso del codice del dispositivo laddove possibile.
Trasferimento dell'autenticazione
Il trasferimento dell'autenticazione è un flusso che consente agli utenti di trasferire senza problemi lo stato autenticato da un dispositivo a un altro. Ad esempio, gli utenti potrebbero visualizzare un codice QR nella versione desktop di Outlook che, alla scansione sul dispositivo mobile, trasferisce lo stato autenticato al dispositivo mobile. Questa funzionalità offre un'esperienza semplice e intuitiva che riduce l'attrito per gli utenti.
Tracciamento dei protocolli
Per garantire che i criteri di accesso condizionale vengano applicati in modo accurato ai flussi di autenticazione specificati, viene usata la funzionalità denominata rilevamento dei protocolli. Questo rilevamento viene applicato alla sessione usando il flusso del codice del dispositivo o il trasferimento dell'autenticazione. In questi casi, le sessioni vengono considerate monitorate dal protocollo. Qualsiasi sessione tracciata dal protocollo è soggetta all'applicazione delle norme se esiste una norma. Lo stato di monitoraggio del protocollo viene sostenuto tramite i successivi aggiornamenti. I flussi di trasferimento del codice non dispositivo o di trasferimento dell'autenticazione possono essere soggetti all'applicazione dei criteri dei flussi di autenticazione se la sessione è monitorata dal protocollo.
Ad esempio:
- È possibile configurare un criterio per bloccare il flusso del codice del dispositivo ovunque, ad eccezione di SharePoint.
- Usi il flusso di codici del dispositivo per accedere a SharePoint, come previsto dalle politiche configurate. A questo punto, la sessione viene considerata monitorata dal protocollo
- Si tenta di accedere a Exchange all'interno del contesto della stessa sessione usando qualsiasi flusso di autenticazione e non solo tramite il flusso di codice del dispositivo.
- Sei bloccato dalla policy configurata a causa dello stato tracciato del protocollo della sessione.
Log di accesso
Quando si configura un criterio per limitare o bloccare il flusso del codice del dispositivo, è importante comprendere se e come viene usato il flusso del codice del dispositivo nell'organizzazione. La creazione di una politica di accesso condizionale in modalità di sola segnalazione o il filtraggio dei log di accesso per eventi di flusso del codice del dispositivo con il filtro del protocollo di autenticazione può aiutare.
Per facilitare la risoluzione dei problemi riguardanti errori correlati al tracciamento dei protocolli, è stata aggiunta una nuova proprietà denominata metodo di trasferimento originale alla sezione dei dettagli dell'attività dei log di accesso di Accesso Condizionale. Questa proprietà visualizza lo stato di rilevamento del protocollo della richiesta in questione. Ad esempio, per una sessione in cui il flusso del codice del dispositivo è stato eseguito in precedenza, il metodo di trasferimento originale è impostato su Flusso di codice del dispositivo.
Applicazione dei criteri sui flussi di autenticazione sulla risorsa del servizio di registrazione dispositivi
A partire dall'inizio di settembre 2024, Microsoft ha iniziato ad applicare i criteri dei flussi di autenticazione nel servizio Registrazione dispositivi. Questo vale solo per i criteri che mirano a tutte le risorse nel selettore di risorse. Se l'organizzazione usa attualmente Il flusso di codice del dispositivo a scopo di registrazione del dispositivo e si dispone di un criterio dei flussi di autenticazione destinati a tutte le risorse, è necessario esentare la risorsa di registrazione del dispositivo dall'ambito dei criteri di accesso condizionale per evitare effetti. È possibile trovare la risorsa Servizio registrazione dispositivi nell'opzione Risorse di destinazione presente nell'esperienza di configurazione dei criteri di accesso condizionale. Per esonerare il servizio Registrazione dispositivi tramite l'esperienza utente di Accesso Condizionale, è necessario andare a Risorse di destinazione>Escludi>Seleziona le app cloud escluse>Servizio registrazione dispositivi. Per l'API, è necessario aggiornare i criteri escludendo l'ID client per il servizio registrazione dispositivi: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se non sei sicuro se la tua organizzazione utilizza il flusso del codice dispositivo con il servizio di registrazione dei dispositivi, puoi utilizzare i log di accesso di Microsoft Entra per controllare. È possibile filtrare l'ID client per il servizio di registrazione dispositivi nel filtro ID risorsa e restringerlo all'utilizzo del flusso del codice del dispositivo usando l'opzione Codice dispositivo all'interno del filtro del protocollo di autenticazione.
Risoluzione dei problemi relativi ai blocchi imprevisti
Se si dispone di un accesso bloccato in modo imprevisto da un criterio di accesso condizionale, è necessario verificare se il criterio è un criterio dei flussi di autenticazione. Per eseguire questa conferma, passare ai log di accesso, fare clic sull'accesso bloccato e quindi passare alla scheda Accesso condizionale nel riquadro Dettagli attività: accessi . Se il criterio applicato è un criterio dei flussi di autenticazione, selezionare i criteri per determinare quale flusso di autenticazione è stato confrontato.
Se il flusso del codice del dispositivo è stato corrisposto ma non era il flusso eseguito per quell'accesso, il token di aggiornamento è stato monitorato tramite protocollo. È possibile verificare questo caso facendo clic sull'accesso bloccato e cercando la proprietà Metodo di trasferimento originale nella parte Informazioni di base del riquadro Dettagli attività: accessi .
Nota
I blocchi dovuti a sessioni tracciate dal protocollo sono un comportamento atteso per questa politica. Non esiste alcuna correzione consigliata.