Voorwaardelijke toegang: verificatiestromen (preview)

Microsoft Entra ID ondersteunt een groot aantal verificatie- en autorisatiestromen om een naadloze ervaring te bieden voor alle toepassings- en apparaattypen. Sommige van deze verificatiestromen vormen een hoger risico dan andere stromen. Om meer controle over uw beveiligingspostuur te bieden, voegen we de mogelijkheid toe om bepaalde verificatiestromen te beheren voor voorwaardelijke toegang. Dit besturingselement begint met de mogelijkheid om expliciet de apparaatcodestroom te richten.

Stroom voor apparaatcode

De apparaatcodestroom wordt gebruikt bij het aanmelden bij apparaten die mogelijk geen lokale invoerapparaten hebben, zoals gedeelde apparaten of digitale signage. Apparaatcodestroom is een verificatiestroom met een hoog risico die kan worden gebruikt als onderdeel van een phishing-aanval of om toegang te krijgen tot bedrijfsbronnen op onbeheerde apparaten. U kunt het apparaatcodestroombeheer configureren samen met andere besturingselementen in uw beleid voor voorwaardelijke toegang. Als de apparaatcodestroom bijvoorbeeld wordt gebruikt voor android-apparaten in vergaderruimten, kunt u ervoor kiezen om de apparaatcodestroom overal te blokkeren, met uitzondering van Android-apparaten op een specifieke netwerklocatie.

U moet alleen apparaatcodestroom toestaan indien nodig. Microsoft raadt aan om de apparaatcodestroom waar mogelijk te blokkeren.

Verificatieoverdracht

Verificatieoverdracht is een nieuwe stroom die een naadloze manier biedt om de geverifieerde status van het ene apparaat naar het andere over te dragen. Gebruikers kunnen bijvoorbeeld een QR-code zien in de bureaubladversie van Outlook die, wanneer ze op hun mobiele apparaat worden gescand, hun geverifieerde status overdraagt naar het mobiele apparaat. Deze mogelijkheid biedt een eenvoudige en intuïtieve gebruikerservaring die het algehele wrijvingsniveau voor gebruikers vermindert.

De mogelijkheid om verificatieoverdracht te beheren, is in preview de voorwaarde Verificatiestromen in voorwaardelijke toegang gebruiken om de functie te beheren.

Protocoltracking

Om ervoor te zorgen dat beleid voor voorwaardelijke toegang nauwkeurig wordt afgedwongen voor opgegeven verificatiestromen, gebruiken we functionaliteit genaamd protocoltracking. Deze tracering wordt toegepast op de sessie met behulp van apparaatcodestroom of verificatieoverdracht. In deze gevallen worden de sessies beschouwd als protocol bijgehouden. Alle bijgehouden protocolsessies zijn onderworpen aan het afdwingen van beleid als er een beleid bestaat. De status van het bijhouden van protocollen wordt voortgezet door de volgende vernieuwingen. Niet-verwijderbare codestroom- of verificatieoverdrachtstromen kunnen onderhevig zijn aan het afdwingen van verificatiestromenbeleid als de sessie wordt bijgehouden.

Voorbeeld:

1. U configureert een beleid om de apparaatcodestroom overal te blokkeren, met uitzondering van SharePoint.
2. U gebruikt de apparaatcodestroom om u aan te melden bij SharePoint, zoals toegestaan door het geconfigureerde beleid. Op dit moment wordt de sessie beschouwd als protocol bijgehouden
3. U probeert u aan te melden bij Exchange binnen de context van dezelfde sessie met behulp van een verificatiestroom, niet alleen apparaatcodestroom.
4. U wordt geblokkeerd door het geconfigureerde beleid vanwege de bijgehouden protocolstatus van de sessie

Aanmeldingslogboeken

Wanneer u een beleid configureert om de stroom van apparaatcode te beperken of te blokkeren, is het belangrijk om te begrijpen of en hoe de apparaatcodestroom wordt gebruikt in uw organisatie. Het maken van beleid voor voorwaardelijke toegang in de modus Alleen-rapport of het filteren van de aanmeldingslogboeken voor apparaatcodestroomgebeurtenissen met het verificatieprotocolfilter kan helpen.

Voor hulp bij het oplossen van problemen met betrekking tot het traceren van protocollen hebben we een nieuwe eigenschap met de naam oorspronkelijke overdrachtsmethode toegevoegd aan de sectie met activiteitsgegevens van de aanmeldingslogboeken voor voorwaardelijke toegang. Met deze eigenschap wordt de status van het bijhouden van protocollen van de betreffende aanvraag weergegeven. Voor een sessie waarin de apparaatcodestroom eerder is uitgevoerd, wordt de oorspronkelijke overdrachtsmethode bijvoorbeeld ingesteld op apparaatcodestroom.

Problemen met onverwachte blokken oplossen

Als u een aanmelding onverwacht hebt geblokkeerd door beleid voor voorwaardelijke toegang, moet u controleren of het beleid een verificatiestromenbeleid was. U kunt deze bevestiging doen door naar aanmeldingslogboeken te gaan, op de geblokkeerde aanmelding te klikken en vervolgens naar het tabblad Voorwaardelijke toegang te gaan in het deelvenster Activiteitsgegevens: aanmeldingen. Als het afgedwongen beleid een beleid voor verificatiestromen was, selecteert u het beleid om te bepalen welke verificatiestroom overeenkomt.

Als de apparaatcodestroom overeenkomt, maar de apparaatcodestroom niet is uitgevoerd voor die aanmelding, betekent dit dat het vernieuwingstoken is bijgehouden. U kunt dit geval controleren door op de geblokkeerde aanmelding te klikken en te zoeken naar de eigenschap Oorspronkelijke overdrachtsmethode in het gedeelte Basisgegevens van het deelvenster Activiteitsgegevens: aanmeldingen .

Notitie

Blokken vanwege bijgehouden protocolsessies zijn verwacht gedrag voor dit beleid. Er is geen aanbevolen herstel.

Gerelateerde inhoud

• Verificatiestromen blokkeren met beleid voor voorwaardelijke toegang
• Voorwaardelijke toegang: voorwaarden