Условный доступ: потоки проверки подлинности (предварительная версия)
Идентификатор Microsoft Entra поддерживает широкий спектр потоков проверки подлинности и авторизации, чтобы обеспечить простой интерфейс для всех типов приложений и устройств. Некоторые из этих потоков проверки подлинности являются более высоким риском, чем другие. Чтобы обеспечить более контроль над состоянием безопасности, мы добавляем возможность управлять определенными потоками проверки подлинности в условный доступ. Этот элемент управления начинается с возможности явного целевого потока кода устройства.
Поток кода устройства
Поток кода устройства используется при входе на устройства, которые могут не использовать локальные устройства ввода, такие как общие устройства или цифровые подписи. Поток кода устройства — это поток проверки подлинности с высоким риском, который может использоваться в рамках фишинговой атаки или доступа к корпоративным ресурсам на неуправляемых устройствах. Вы можете настроить управление потоком кода устройства вместе с другими элементами управления в политиках условного доступа. Например, если поток кода устройства используется для устройств конференц-зала android, вы можете заблокировать поток кода устройства везде, кроме устройств Android в определенном сетевом расположении.
При необходимости следует разрешить только поток кода устройства. Корпорация Майкрософт рекомендует блокировать поток кода устройства везде, где это возможно.
Передача проверки подлинности
Передача проверки подлинности — это новый поток, который предлагает простой способ передачи аутентифицированного состояния с одного устройства на другое. Например, пользователи могут быть представлены QR-кодом в классической версии Outlook, которая при сканировании на мобильном устройстве передает свое состояние, прошедшее проверку подлинности, на мобильное устройство. Эта возможность обеспечивает простой и интуитивно понятный интерфейс пользователя, который снижает общий уровень трения для пользователей.
Возможность управления передачей проверки подлинности в предварительной версии использует условие потоков проверки подлинности в условном доступе для управления функцией.
Отслеживание протокола
Чтобы обеспечить точное применение политик условного доступа для указанных потоков проверки подлинности, мы используем функции, называемые отслеживанием протоколов. Это отслеживание применяется к сеансу с помощью потока кода устройства или передачи проверки подлинности. В этих случаях сеансы считаются протоколом отслеживания. Любые отслеживаемые протоколы сеансы применяются к политике, если политика существует. Состояние отслеживания протокола поддерживается при последующих обновлениях. Поток кода недевис или потоки передачи проверки подлинности могут быть подвержены принудительному применению политик потоков проверки подлинности, если сеанс отслеживается протоколом.
Например:
- Вы настраиваете политику для блокировки потока кода устройства везде, за исключением SharePoint.
- Поток кода устройства используется для входа в SharePoint, как разрешено настроенной политикой. На этом этапе сеанс считается протоколом отслеживания
- Вы пытаетесь войти в Exchange в контексте того же сеанса, используя любой поток проверки подлинности, а не просто поток кода устройства.
- Вы заблокированы настроенной политикой из-за отслеживаемого протокола сеанса
Журналы входа
При настройке политики для ограничения или блокировки потока кода устройства важно понимать, используется ли поток кода устройства и как он используется в вашей организации. Создание политики условного доступа в режиме только для отчетов или фильтрация журналов входа для событий потока кода устройства с помощью фильтра протокола проверки подлинности может помочь.
Чтобы помочь в устранении неполадок, связанных с отслеживанием протоколов, мы добавили новое свойство, называемое исходным методом передачи, в раздел сведений о действиях журналов входа условного доступа. Это свойство отображает состояние отслеживания протокола в запросе. Например, для сеанса, в котором поток кода устройства был выполнен ранее, для исходного метода передачи задан поток кода устройства.
Применение политик потоков проверки подлинности в ресурсе службы регистрации устройств
Начиная с начала сентября 2024 г. корпорация Майкрософт начнет применять политики потоков проверки подлинности в службе регистрации устройств. Это будет применяться только к политикам, предназначенным для всех ресурсов в средстве выбора ресурсов. Если в настоящее время в вашей организации используется поток кода устройства для регистрации устройств, и у вас есть политика потоков проверки подлинности, предназначенная для всех ресурсов, необходимо исключить ресурс регистрации устройства из области политики условного доступа, чтобы избежать влияния. Ресурс службы регистрации устройств можно найти в параметре "Целевые ресурсы ", который присутствует в конфигурации политики условного доступа. Чтобы исключить службу регистрации устройств с помощью пользовательского интерфейса условного доступа, необходимо перейти к целевым ресурсам ->Исключить ->Select excludeed cloud apps ->Device Registration Service. Для API необходимо обновить политику, исключив идентификатор клиента для службы регистрации устройств: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Если вы не уверены, использует ли ваша организация поток кода устройства для службы регистрации устройств, вы можете использовать журналы входа Microsoft Entra для определения этого. Там можно отфильтровать идентификатор клиента службы регистрации устройств в фильтре идентификатора ресурса и сузить его до использования потока кода устройства, используя параметр кода устройства в фильтре протокола проверки подлинности.
Устранение неполадок с непредвиденными блоками
Если вы неожиданно заблокировали вход политикой условного доступа, убедитесь, что политика была политикой потоков проверки подлинности. Это подтверждение можно сделать, перейдя в журналы входа, щелкнув заблокированный вход, а затем перейдите на вкладку "Условный доступ" в области сведений о действии . Если примененная политика была политикой потоков проверки подлинности, выберите политику, чтобы определить, какой поток проверки подлинности был сопоставлен.
Если поток кода устройства был сопоставлен, но поток кода устройства не был потоком, выполняемым для этого входа, это означает, что маркер обновления был отслеживаем. Этот случай можно проверить, щелкнув заблокированный вход и найдите свойство метода исходной передачи в разделе "Основные сведения" сведений о действии : область входа.
Примечание.
Блоки из-за отслеживаемых сеансов протокола являются ожидаемым поведением для этой политики. Не рекомендуется устранять неполадки.