Dostęp warunkowy: przepływy uwierzytelniania (wersja zapoznawcza)

Identyfikator Entra firmy Microsoft obsługuje szeroką gamę przepływów uwierzytelniania i autoryzacji w celu zapewnienia bezproblemowego środowiska we wszystkich typach aplikacji i urządzeń. Niektóre z tych przepływów uwierzytelniania są wyższe niż inne. Aby zapewnić większą kontrolę nad stanem zabezpieczeń, dodamy możliwość kontrolowania niektórych przepływów uwierzytelniania do dostępu warunkowego. Ta kontrolka rozpoczyna się od możliwości jawnego kierowania przepływu kodu urządzenia.

Przepływ kodu urządzenia

Przepływ kodu urządzenia jest używany podczas logowania się do urządzeń, które mogą nie mieć lokalnych urządzeń wejściowych, takich jak urządzenia udostępnione lub znakowania cyfrowego. Przepływ kodu urządzenia to przepływ uwierzytelniania wysokiego ryzyka, który może być używany w ramach ataku wyłudzania informacji lub uzyskiwania dostępu do zasobów firmy na urządzeniach niezarządzanych. Kontrolkę przepływu kodu urządzenia można skonfigurować wraz z innymi kontrolkami w zasadach dostępu warunkowego. Jeśli na przykład przepływ kodu urządzenia jest używany dla urządzeń z salą konferencyjną z systemem Android, możesz zablokować przepływ kodu urządzenia wszędzie z wyjątkiem urządzeń z systemem Android w określonej lokalizacji sieciowej.

W razie potrzeby należy zezwolić na przepływ kodu urządzenia. Firma Microsoft zaleca blokowanie przepływu kodu urządzenia wszędzie tam, gdzie to możliwe.

Transfer uwierzytelniania

Transfer uwierzytelniania to nowy przepływ, który oferuje bezproblemowy sposób transferu stanu uwierzytelnionego z jednego urządzenia do innego. Na przykład użytkownicy mogą być prezentowani za pomocą kodu QR w wersji klasycznej programu Outlook, który podczas skanowania na urządzeniu przenośnym przesyła swój stan uwierzytelniony na urządzenie przenośne. Ta funkcja zapewnia proste i intuicyjne środowisko użytkownika, które zmniejsza ogólny poziom tarć dla użytkowników.

Możliwość kontrolowania transferu uwierzytelniania jest w wersji zapoznawczej przy użyciu warunku Przepływy uwierzytelniania w dostępie warunkowym do zarządzania funkcją.

Śledzenie protokołów

Aby upewnić się, że zasady dostępu warunkowego są dokładnie wymuszane w określonych przepływach uwierzytelniania, używamy funkcji nazywanych śledzeniem protokołów. To śledzenie jest stosowane do sesji przy użyciu przepływu kodu urządzenia lub transferu uwierzytelniania. W takich przypadkach sesje są traktowane jako śledzone protokoły. Wszelkie śledzone sesje protokołu podlegają wymuszania zasad, jeśli istnieją zasady. Stan śledzenia protokołu jest trwały przez kolejne odświeżenia. Przepływ kodu nieurządzenia lub przepływy transferu uwierzytelniania mogą podlegać wymuszaniu zasad przepływów uwierzytelniania, jeśli sesja jest śledzona.

Na przykład:

1. Zasady są konfigurowane tak, aby blokowały przepływ kodu urządzenia wszędzie z wyjątkiem programu SharePoint.
2. Przepływ kodu urządzenia służy do logowania się do programu SharePoint zgodnie ze skonfigurowanymi zasadami. W tym momencie sesja jest traktowana jako śledzona protokół
3. Próbujesz zalogować się do programu Exchange w kontekście tej samej sesji przy użyciu dowolnego przepływu uwierzytelniania, a nie tylko przepływu kodu urządzenia.
4. Skonfigurowane zasady są blokowane z powodu stanu śledzonego protokołu sesji

Dzienniki logowania

Podczas konfigurowania zasad w celu ograniczenia lub zablokowania przepływu kodu urządzenia ważne jest, aby zrozumieć, czy i jak przepływ kodu urządzenia jest używany w organizacji. Utworzenie zasad dostępu warunkowego w trybie tylko do raportu lub filtrowanie dzienników logowania dla zdarzeń przepływu kodu urządzenia za pomocą filtru protokołu uwierzytelniania może pomóc.

Aby ułatwić rozwiązywanie problemów z błędami śledzenia protokołów, dodaliśmy nową właściwość o nazwie oryginalną metodę transferu do sekcji szczegółów działania w dziennikach logowania dostępu warunkowego. Ta właściwość wyświetla stan śledzenia protokołu dla danego żądania. Na przykład w przypadku sesji, w której przepływ kodu urządzenia został wykonany wcześniej, oryginalna metoda transferu jest ustawiona na przepływ kodu urządzenia.

Rozwiązywanie problemów z nieoczekiwanymi blokami

Jeśli logowanie zostało nieoczekiwanie zablokowane przez zasady dostępu warunkowego, należy potwierdzić, czy zasady były zasadami przepływów uwierzytelniania. Możesz to potwierdzić, przechodząc do dzienników logowania, klikając zablokowane logowanie, a następnie przechodząc do karty Dostęp warunkowy w okienku Szczegóły działania: logowania . Jeśli zasady wymuszane były zasadami przepływów uwierzytelniania, wybierz zasady, aby określić, który przepływ uwierzytelniania został dopasowany.

Jeśli przepływ kodu urządzenia był zgodny, ale przepływ kodu urządzenia nie był przepływem wykonanym dla tego logowania, oznacza to, że token odświeżania został śledzony przez protokół. Ten przypadek można sprawdzić, klikając zablokowane logowanie i wyszukując właściwość Oryginalna metoda transferu w części Podstawowe informacje w okienku Szczegóły działania: logowania .

Uwaga

Bloki z powodu śledzonych sesji protokołu są oczekiwane dla tych zasad. Nie ma zalecanego korygowania.

Powiązana zawartość

• Blokuj przepływy uwierzytelniania przy użyciu zasad dostępu warunkowego
• Warunki w dostępie warunkowym