Voorwaardelijke toegang: verificatiestromen (preview)

Microsoft Entra ID ondersteunt een groot aantal verificatie- en autorisatiestromen om een naadloze ervaring te bieden voor alle toepassings- en apparaattypen. Sommige van deze verificatiestromen vormen een hoger risico dan andere stromen. Om meer controle over uw beveiligingspostuur te bieden, voegen we de mogelijkheid toe om bepaalde verificatiestromen te beheren voor voorwaardelijke toegang. Dit besturingselement begint met de mogelijkheid om expliciet de apparaatcodestroom te richten.

Stroom voor apparaatcode

De apparaatcodestroom wordt gebruikt bij het aanmelden bij apparaten die mogelijk geen lokale invoerapparaten hebben, zoals gedeelde apparaten of digitale signage. Apparaatcodestroom is een verificatiestroom met een hoog risico die kan worden gebruikt als onderdeel van een phishing-aanval of om toegang te krijgen tot bedrijfsbronnen op onbeheerde apparaten. U kunt het apparaatcodestroombeheer configureren samen met andere besturingselementen in uw beleid voor voorwaardelijke toegang. Als de apparaatcodestroom bijvoorbeeld wordt gebruikt voor android-apparaten in vergaderruimten, kunt u ervoor kiezen om de apparaatcodestroom overal te blokkeren, met uitzondering van Android-apparaten op een specifieke netwerklocatie.

U moet alleen apparaatcodestroom toestaan indien nodig. Microsoft raadt aan om de apparaatcodestroom waar mogelijk te blokkeren.

Verificatieoverdracht

Verificatieoverdracht is een nieuwe stroom die een naadloze manier biedt om de geverifieerde status van het ene apparaat naar het andere over te dragen. Gebruikers kunnen bijvoorbeeld een QR-code zien in de bureaubladversie van Outlook die, wanneer ze op hun mobiele apparaat worden gescand, hun geverifieerde status overdraagt naar het mobiele apparaat. Deze mogelijkheid biedt een eenvoudige en intuïtieve gebruikerservaring die het algehele wrijvingsniveau voor gebruikers vermindert.

De mogelijkheid om verificatieoverdracht te beheren, is in preview de voorwaarde Verificatiestromen in voorwaardelijke toegang gebruiken om de functie te beheren.

Protocoltracking

Om ervoor te zorgen dat beleid voor voorwaardelijke toegang nauwkeurig wordt afgedwongen voor opgegeven verificatiestromen, gebruiken we functionaliteit genaamd protocoltracking. Deze tracering wordt toegepast op de sessie met behulp van apparaatcodestroom of verificatieoverdracht. In deze gevallen worden de sessies beschouwd als protocol bijgehouden. Alle bijgehouden protocolsessies zijn onderworpen aan het afdwingen van beleid als er een beleid bestaat. De status van het bijhouden van protocollen wordt voortgezet door de volgende vernieuwingen. Niet-verwijderbare codestroom- of verificatieoverdrachtstromen kunnen onderhevig zijn aan het afdwingen van verificatiestromenbeleid als de sessie wordt bijgehouden.

Voorbeeld:

1. U configureert een beleid om de apparaatcodestroom overal te blokkeren, met uitzondering van SharePoint.
2. U gebruikt de apparaatcodestroom om u aan te melden bij SharePoint, zoals toegestaan door het geconfigureerde beleid. Op dit moment wordt de sessie beschouwd als protocol bijgehouden
3. U probeert u aan te melden bij Exchange binnen de context van dezelfde sessie met behulp van een verificatiestroom, niet alleen apparaatcodestroom.
4. U wordt geblokkeerd door het geconfigureerde beleid vanwege de bijgehouden protocolstatus van de sessie

Aanmeldingslogboeken

Wanneer u een beleid configureert om de stroom van apparaatcode te beperken of te blokkeren, is het belangrijk om te begrijpen of en hoe de apparaatcodestroom wordt gebruikt in uw organisatie. Het maken van beleid voor voorwaardelijke toegang in de modus Alleen-rapport of het filteren van de aanmeldingslogboeken voor apparaatcodestroomgebeurtenissen met het verificatieprotocolfilter kan helpen.

Voor hulp bij het oplossen van problemen met betrekking tot het traceren van protocollen hebben we een nieuwe eigenschap met de naam oorspronkelijke overdrachtsmethode toegevoegd aan de sectie met activiteitsgegevens van de aanmeldingslogboeken voor voorwaardelijke toegang. Met deze eigenschap wordt de status van het bijhouden van protocollen van de betreffende aanvraag weergegeven. Voor een sessie waarin de apparaatcodestroom eerder is uitgevoerd, wordt de oorspronkelijke overdrachtsmethode bijvoorbeeld ingesteld op apparaatcodestroom.

Het afdwingen van beleid voor verificatiestromen op device registration service-resource

Vanaf begin september 2024 begint Microsoft met het afdwingen van beleidsregels voor verificatiestromen op Device Registration Service. Dit geldt alleen voor beleidsregels die gericht zijn op alle resources in de resourcekiezer. Als uw organisatie momenteel apparaatcodestroom gebruikt voor apparaatregistratiedoeleinden en u een beleid voor verificatiestromen hebt dat is gericht op alle resources, moet u de resource voor apparaatregistratie uitsluiten van het bereik van uw beleid voor voorwaardelijke toegang om impact te voorkomen. U vindt de Device Registration Service-resource in de optie Doelresources die aanwezig is in de configuratie van het beleid voor voorwaardelijke toegang. Als u Device Registration Service wilt uitsluiten via UX voor voorwaardelijke toegang, gaat u naar Doelresources -Exclude ->>Selectd cloud-apps ->Device Registration Service. Voor API moet u uw beleid bijwerken door de client-id voor apparaatregistratieservice uit te sluiten: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.

Als u niet zeker weet of uw organisatie Gebruikmaakt van Device Code Flow voor Device Registration Service, kunt u de aanmeldingslogboeken van Microsoft Entra gebruiken om dit te bepalen. Daar kunt u filteren op de client-id van de Device Registration Service in het resource-id-filter en deze beperken tot apparaatcodestroomgebruik door gebruik te maken van de optie Apparaatcode in het filter Authentication Protocol.

Problemen met onverwachte blokken oplossen

Als u een aanmelding onverwacht hebt geblokkeerd door beleid voor voorwaardelijke toegang, moet u controleren of het beleid een verificatiestromenbeleid was. U kunt deze bevestiging doen door naar aanmeldingslogboeken te gaan, op de geblokkeerde aanmelding te klikken en vervolgens naar het tabblad Voorwaardelijke toegang te gaan in het deelvenster Activiteitsgegevens: aanmeldingen. Als het afgedwongen beleid een beleid voor verificatiestromen was, selecteert u het beleid om te bepalen welke verificatiestroom overeenkomt.

Als de apparaatcodestroom overeenkomt, maar de apparaatcodestroom niet is uitgevoerd voor die aanmelding, betekent dit dat het vernieuwingstoken is bijgehouden. U kunt dit geval controleren door op de geblokkeerde aanmelding te klikken en te zoeken naar de eigenschap Oorspronkelijke overdrachtsmethode in het gedeelte Basisgegevens van het deelvenster Activiteitsgegevens: aanmeldingen .

Notitie

Blokken vanwege bijgehouden protocolsessies zijn verwacht gedrag voor dit beleid. Er is geen aanbevolen herstel.

Gerelateerde inhoud

• Verificatiestromen blokkeren met beleid voor voorwaardelijke toegang
• Voorwaardelijke toegang: voorwaarden