Villkorsstyrd åtkomst: Autentiseringsflöden (förhandsversion)

Microsoft Entra-ID stöder en mängd olika autentiserings- och auktoriseringsflöden för att ge en sömlös upplevelse för alla program- och enhetstyper. Vissa av dessa autentiseringsflöden är högre risk än andra. För att ge mer kontroll över din säkerhetsstatus lägger vi till möjligheten att styra vissa autentiseringsflöden till villkorsstyrd åtkomst. Den här kontrollen börjar med möjligheten att uttryckligen rikta in sig på enhetskodflödet.

Enhetskodflöde

Enhetskodflöde används när du loggar in på enheter som kanske saknar lokala indataenheter som delade enheter eller digital signering. Enhetskodflöde är ett autentiseringsflöde med hög risk som kan användas som en del av en nätfiskeattack eller för att komma åt företagsresurser på ohanterade enheter. Du kan konfigurera flödeskontrollen för enhetskod tillsammans med andra kontroller i dina principer för villkorsstyrd åtkomst. Om enhetskodflödet till exempel används för Android-baserade konferensrumsenheter kan du välja att blockera enhetskodflödet överallt förutom android-enheter på en specifik nätverksplats.

Du bör endast tillåta enhetskodflöde där det behövs. Microsoft rekommenderar att du blockerar enhetskodflödet där det är möjligt.

Autentiseringsöverföring

Autentiseringsöverföring är ett nytt flöde som ger ett smidigt sätt att överföra autentiserat tillstånd från en enhet till en annan. Användare kan till exempel få en QR-kod i skrivbordsversionen av Outlook som, när de genomsöks på sin mobila enhet, överför sitt autentiserade tillstånd till den mobila enheten. Den här funktionen ger en enkel och intuitiv användarupplevelse som minskar den övergripande friktionsnivån för användare.

Möjligheten att styra autentiseringsöverföring är i förhandsversion med villkoret Autentiseringsflöden i villkorsstyrd åtkomst för att hantera funktionen.

Protokollspårning

För att säkerställa att principer för villkorsstyrd åtkomst tillämpas korrekt på angivna autentiseringsflöden använder vi funktioner som kallas protokollspårning. Den här spårningen tillämpas på sessionen med hjälp av enhetskodflöde eller autentiseringsöverföring. I dessa fall betraktas sessionerna som protokollspårade. Protokollspårade sessioner omfattas av principtillämpning om det finns en princip. Protokollspårningstillståndet upprätthålls genom efterföljande uppdateringar. Nondevice-kodflöde eller autentiseringsöverföringsflöden kan omfattas av tillämpning av principer för autentiseringsflöden om sessionen är protokollspårad.

Till exempel:

1. Du konfigurerar en princip för att blockera enhetskodflöde överallt förutom SharePoint.
2. Du använder enhetskodflödet för att logga in på SharePoint, vilket tillåts av den konfigurerade principen. Nu betraktas sessionen som protokollspårad
3. Du försöker logga in på Exchange inom ramen för samma session med alla autentiseringsflöden, inte bara enhetskodflödet.
4. Du blockeras av den konfigurerade principen på grund av sessionens protokollspårade tillstånd

Inloggningsloggar

När du konfigurerar en princip för att begränsa eller blockera enhetskodflöde är det viktigt att förstå om och hur enhetskodflödet används i din organisation. Det kan vara till hjälp att skapa en princip för villkorsstyrd åtkomst i rapportläge eller filtrera inloggningsloggarna för enhetskodflödeshändelser med autentiseringsprotokollfiltret.

För att underlätta felsökning av protokollspårningsrelaterade fel har vi lagt till en ny egenskap som kallas ursprunglig överföringsmetod i avsnittet aktivitetsinformation i inloggningsloggarna för villkorsstyrd åtkomst. Den här egenskapen visar protokollspårningstillståndet för begäran i fråga. För en session där enhetskodflödet utfördes tidigare är till exempel den ursprungliga överföringsmetoden inställd på Enhetskodflöde.

Felsöka oväntade block

Om du har en inloggning som oväntat blockeras av en princip för villkorsstyrd åtkomst bör du bekräfta om principen var en princip för autentiseringsflöden. Du kan göra den här bekräftelsen genom att gå till inloggningsloggar, klicka på den blockerade inloggningen och sedan navigera till fliken Villkorsstyrd åtkomst i fönstret Aktivitetsinformation: inloggningar . Om principen som tillämpades var en princip för autentiseringsflöden väljer du principen för att avgöra vilket autentiseringsflöde som matchades.

Om enhetskodflödet matchades men enhetskodflödet inte utfördes för inloggningen innebär det att uppdateringstoken spårades. Du kan kontrollera det här fallet genom att klicka på den blockerade inloggningen och söka efter egenskapen Ursprunglig överföringsmetod i den grundläggande informationsdelen i fönstret Aktivitetsinformation: inloggningar .

Kommentar

Block på grund av protokollspårade sessioner är förväntat beteende för den här principen. Det finns ingen rekommenderad reparation.

Relaterat innehåll

• Blockera autentiseringsflöden med princip för villkorsstyrd åtkomst
• Villkor för villkorsstyrd åtkomst