Microsoft Entra ID 支援各種驗證和授權流程,以在所有應用程式和裝置類型之間提供順暢的體驗。 某些驗證流程的風險比其他驗證流程高。 為了讓您更充分掌控安全性狀態,條件式存取可讓您控制特定驗證流程。 此控件的開頭是明確以 裝置程式代碼流程為目標。
裝置代碼流程
裝置程式代碼流程可讓您登入缺少本機輸入裝置的裝置,例如共用裝置或數位招牌。 裝置程式代碼流程是高風險的驗證方法,可以是網路釣魚攻擊的一部分,或用來存取非受控裝置上的公司資源。 設定裝置程式代碼流程控制以及條件式存取原則中的其他控制件。 例如,如果裝置程式代碼流程用於 Android 型會議室裝置,則封鎖裝置程式代碼流程,但特定網路位置中的 Android 裝置除外。
僅在必要時允許裝置程式代碼流程。 Microsoft 建議盡可能封鎖裝置程式碼流程。
認證轉移
驗證傳輸是一種流程,可讓用戶順暢地將已驗證狀態從一部裝置傳輸到另一部裝置。 例如,使用者可能會在 Outlook 桌面版本中看到 QR 代碼,在行動裝置上掃描時,會將其已驗證狀態傳輸到行動裝置。 這項功能提供簡單的直覺式體驗,可減少使用者的摩擦。
通訊協定追蹤
為了確保在指定的驗證流程上正確強制執行條件式存取原則,我們使用稱為通訊協定追蹤的功能。 此追蹤會套用於使用裝置碼流程或認證傳輸的會話。 在這些情況下,這些工作階段被視為遵循協議進行追蹤。 如果有原則存在,則任何被追蹤的通訊協定工作階段都需遵循原則執行。 通訊協定追蹤狀態透過後續重新整理來維持。 如果工作階段已追蹤通訊協定,則非裝置程式碼流程或驗證傳輸流程可能會受限於驗證流程原則的強制執行。
例如:
- 您設定的原則是封鎖除 SharePoint 以外所有地方的裝置程式碼流程。
- 根據已設定的原則,您可以使用裝置程式碼流程來登入 SharePoint。 此時,會議已被視為通訊協定追蹤狀態。
- 您嘗試在同一工作階段中使用任何驗證流程登入 Exchange,而不僅僅是裝置程式碼流程。
- 由於會話的通訊協定狀態已被追蹤設定,因此您被封鎖。
登入記錄
設定原則以限制或封鎖裝置程式碼流程時,請務必了解貴組織是否使用裝置程式碼流程以及如何使用。 在僅報表模式中建立條件式存取政策,或使用驗證通訊協定篩選登入記錄以查看裝置代碼流程事件,是有幫助的。
為了協助針對通訊協定追蹤相關錯誤進行疑難解答,我們已將稱為原始傳輸方法的新屬性新增至條件式存取登入記錄的活動詳細數據區段。 這個屬性顯示所述請求的協議追蹤狀態。 例如,針對先前執行裝置程式代碼流程的會話, 原始傳輸方法 會設定為 裝置程式代碼流程。
在裝置註冊服務資源上強制執行身份驗證流程政策
從 2024 年 9 月初開始,Microsoft開始在裝置註冊服務上強制執行驗證流程原則。 這隻適用於以資源選擇器 中的所有資源 為目標的原則。 如果您的組織目前使用裝置程式代碼流程進行裝置註冊,而且您擁有以 所有資源為目標的驗證流程原則,您必須從條件式存取原則的範圍豁免裝置註冊資源,以避免造成影響。 您可以在 [條件式存取原則設定] 體驗中出現的 [ 目標資源 ] 選項中找到裝置註冊服務資源。 若要使用條件存取 UX 豁免裝置註冊服務,您必須移至 [目標資源>排除>選取排除的雲端應用程式>裝置註冊服務]。 對於 API,您需要更新原則,排除裝置註冊服務的客戶端 ID:01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9。
如果您不確定貴組織是否對裝置註冊服務使用裝置程式代碼流程,您可以使用 Microsoft Entra 登入記錄 來檢查。 在那裡,您可以篩選 資源標識符篩選中的「裝置註冊服務用戶端標識符」,並利用 驗證協議篩選中的「裝置代碼」選項,將其縮小為「裝置代碼流程」的使用量。
解決非預期的障礙
如果條件式存取原則意外封鎖登入,您應該確認原則是否為驗證流程原則。 您可以移至登入記錄,點擊被封鎖的登入,然後進入 [活動詳細數據:登入] 窗格下的 [條件式存取] 標籤,以執行此確認。 如果強制執行的原則是驗證流程原則,請選取原則以判斷符合的驗證流程。
如果符合裝置程式代碼流程,但裝置程式代碼流程不是針對該登入執行的流程,則會追蹤重新整理令牌。 按一下封鎖的登入,並在 [活動詳細資料:登入] 窗格的 [基本資訊] 部分中搜尋 [原始傳輸方法] 屬性,即可驗證此案例。
注意
因通訊協定追蹤的會話引起的封鎖是此原則的預期行為。 沒有建議的補救。