Koşullu Erişim: Kimlik doğrulama akışları (Önizleme)
Microsoft Entra ID, tüm uygulama ve cihaz türlerinde sorunsuz bir deneyim sağlamak için çok çeşitli kimlik doğrulama ve yetkilendirme akışlarını destekler. Bu kimlik doğrulama akışlarından bazıları diğerlerinden daha yüksek risklidir. Güvenlik duruşunuz üzerinde daha fazla denetim sağlamak için Koşullu Erişim'e belirli kimlik doğrulama akışlarını denetleme özelliği ekliyoruz. Bu denetim, cihaz kodu akışını açıkça hedefleme özelliğiyle başlar.
Cihaz kodu akışı
Cihaz kodu akışı, paylaşılan cihazlar veya dijital tabela gibi yerel giriş cihazlarında eksik olabilecek cihazlarda oturum açarken kullanılır. Cihaz kodu akışı, bir kimlik avı saldırısının parçası olarak veya yönetilmeyen cihazlarda şirket kaynaklarına erişmek için kullanılabilecek yüksek riskli bir kimlik doğrulama akışıdır. Cihaz kodu akış denetimini, Koşullu Erişim ilkelerinizdeki diğer denetimlerle birlikte yapılandırabilirsiniz. Örneğin, android tabanlı konferans odası cihazları için cihaz kodu akışı kullanılıyorsa, belirli bir ağ konumundaki android cihazlar dışında her yerde cihaz kodu akışını engellemeyi seçebilirsiniz.
Cihaz kodu akışına yalnızca gerektiğinde izin vermelisiniz. Microsoft, mümkün olan her yerde cihaz kodu akışını engellemenizi önerir.
Kimlik doğrulama aktarımı
Kimlik doğrulama aktarımı, kimliği doğrulanmış durumu bir cihazdan diğerine aktarmanın sorunsuz bir yolunu sunan yeni bir akıştır. Örneğin, kullanıcılara Outlook'un masaüstü sürümünde mobil cihazlarında tarandığında kimliği doğrulanmış durumlarını mobil cihaza aktaran bir QR kodu sunulabilir. Bu özellik, kullanıcılar için genel uyuşma düzeyini azaltan basit ve sezgisel bir kullanıcı deneyimi sağlar.
Kimlik doğrulama aktarımını denetleme özelliği önizleme aşamasındadır ve özelliği yönetmek için Koşullu Erişim'deki Kimlik doğrulama akışları koşulu kullanılır.
Protokol izleme
Koşullu Erişim ilkelerinin belirtilen kimlik doğrulama akışlarında doğru bir şekilde uygulanmasını sağlamak için protokol izleme adı verilen işlevselliği kullanırız. Bu izleme, cihaz kodu akışı veya kimlik doğrulama aktarımı kullanılarak oturuma uygulanır. Bu gibi durumlarda oturumlar protokolün izlendiği kabul edilir. Bir ilke varsa, protokol tarafından izlenen tüm oturumlar ilke zorlamasına tabidir. Protokol izleme durumu, sonraki yenilemelerle devam eder. Oturum protokol izleniyorsa, nondevice kod akışı veya kimlik doğrulama aktarım akışları, kimlik doğrulama akışları ilkelerinin uygulanmasına tabi olabilir.
Örneğin:
- SharePoint dışında her yerde cihaz kodu akışını engellemek için bir ilke yapılandırabilirsiniz.
- Cihaz kodu akışını, yapılandırılan ilkenin izin verdiği şekilde SharePoint'te oturum açmak için kullanırsınız. Bu noktada oturum, izlenen protokol olarak kabul edilir
- Yalnızca cihaz kodu akışını değil, herhangi bir kimlik doğrulama akışını kullanarak aynı oturum bağlamında Exchange'de oturum açmaya çalışırsınız.
- Oturumun protokol tarafından izlenen durumundan dolayı yapılandırılan ilke tarafından engellendiniz
Oturum açma günlükleri
Cihaz kodu akışını kısıtlamak veya engellemek için bir ilke yapılandırırken, kuruluşunuzda cihaz kodu akışının kullanılıp kullanılmadiğini ve nasıl kullanıldığını anlamak önemlidir. Yalnızca rapor modunda Koşullu Erişim ilkesi oluşturmak veya kimlik doğrulama protokolü filtresiyle cihaz kodu akışı olayları için oturum açma günlüklerini filtrelemek yardımcı olabilir.
Protokol izlemeyle ilgili hataları gidermeye yardımcı olmak için Koşullu Erişim oturum açma günlüklerinin etkinlik ayrıntıları bölümüne özgün aktarım yöntemi adlı yeni bir özellik ekledik. Bu özellik, söz konusu isteğin protokol izleme durumunu görüntüler. Örneğin, cihaz kodu akışının daha önce gerçekleştirildiği bir oturum için özgün aktarım yöntemi Cihaz kodu akışı olarak ayarlanır.
Beklenmeyen bloklarda sorun giderme
Koşullu Erişim ilkesi tarafından beklenmedik bir şekilde engellenen bir oturum açma işleminiz varsa, ilkenin bir kimlik doğrulama akışları ilkesi olup olmadığını onaylamanız gerekir. Bu onayı, oturum açma günlüklerine gidip engellenen oturum açma işlemine tıklayarak ve ardından Etkinlik ayrıntıları: oturum açmalar bölmesinde koşullu erişim sekmesine giderek yapabilirsiniz. Uygulanan ilke bir kimlik doğrulama akışları ilkesiyse, hangi kimlik doğrulama akışının eşleştirildiğini belirlemek için ilkeyi seçin.
Cihaz kodu akışı eşleştirildiyse ancak cihaz kodu akışı bu oturum açma için gerçekleştirilen akış değilse, yenileme belirtecinin protokol izlendiği anlamına gelir. Engellenen oturum açma işlemine tıklayıp Etkinlik ayrıntıları: oturum açma işlemleri bölmesinin Temel bilgiler bölümünde Özgün aktarım yöntemi özelliğini arayarak bu durumu doğrulayabilirsiniz.
Not
Protokol tarafından izlenen oturumlardan kaynaklanan bloklar bu ilke için beklenen davranıştır. Önerilen bir düzeltme yoktur.