事件
4月9日 下午3時 - 4月10日 下午12時
Code the Future with AI and connect with Java peers and experts at JDConf 2025.
Register NowMicrosoft Entra ID 支援各種不同的驗證和授權流程,以在所有應用程式和裝置類型之間提供順暢的體驗。 其中有些驗證流程的風險比其他流程高。 為了更充分掌控您的安全性狀態,我們會將控制特定驗證流程的能力新增至條件式存取。 此控制項首先能夠明確鎖定裝置程式碼流程。
在需要登入缺乏本機輸入設備的裝置時,例如共用設備或數位看板,會使用設備代碼流程。 裝置程式碼流程是高風險的驗證流程,可用來作為網路釣魚攻擊的一部分,或存取非受控裝置上的公司資源。 您可以在條件式存取原則中設定裝置程式碼流程控制項,以及其他控制項。 例如,若裝置程式碼流程用於 Android 型會議室裝置,您可以選擇在特定網路位置中,封鎖 Android 以外裝置的裝置程式碼流程。
您應該只在必要的位置中允許裝置程式碼流程。 Microsoft 建議盡可能封鎖裝置程式碼流程。
驗證傳輸是新的流程,提供順暢的方式,將已驗證狀態從一部裝置傳輸到另一部裝置。 例如,在電腦版 Outlook 內向使用者顯示 QR 代碼時,若使用者在行動裝置上掃描該 QR 代碼,其已驗證狀態會傳輸至行動裝置。 這項功能提供簡單且直覺的使用者體驗,可降低使用者的整體摩擦等級。
為了確保在指定的驗證流程上正確強制執行條件式存取原則,我們使用稱為通訊協定追蹤的功能。 此追蹤會套用於使用裝置碼流程或認證傳輸的會話。 在這些情況下,這些工作階段被視為遵循協議進行追蹤。 如果有原則存在,則任何被追蹤的通訊協定工作階段都需遵循原則執行。 通訊協定追蹤狀態透過後續重新整理來維持。 如果工作階段已追蹤通訊協定,則非裝置程式碼流程或驗證傳輸流程可能會受限於驗證流程原則的強制執行。
例如:
- 您設定的原則是封鎖除 SharePoint 以外所有地方的裝置程式碼流程。
- 根據已設定的原則,您可以使用裝置程式碼流程來登入 SharePoint。 此時,會議已被視為通訊協定追蹤狀態。
- 您嘗試在同一工作階段中使用任何驗證流程登入 Exchange,而不僅僅是裝置程式碼流程。
- 由於會話的通訊協定狀態已被追蹤設定,因此您被封鎖。
設定原則以限制或封鎖裝置程式碼流程時,請務必了解貴組織是否使用裝置程式碼流程以及如何使用。 下列方法可幫助了解:在報告專用模式中建立條件式存取原則,或使用驗證通訊協定來篩選裝置程式碼流程事件的登入記錄。
為了協助疑難排解通訊協定追蹤相關錯誤,我們已將稱為原始傳輸方法的新屬性,新增至條件式存取登入記錄的活動詳細資料區段中。 這個屬性顯示所述請求的協議追蹤狀態。 例如,若工作階段先前執行裝置程式碼流程,則原始傳輸方法會設定為裝置程式碼流程。
從 2024 年 9 月初開始,Microsoft開始在裝置註冊服務上強制執行驗證流程原則。 這只適用於以資源選擇器中所有資源為目標的策略。 如果您的組織目前使用裝置代碼流程進行裝置註冊,而且您有一個以 所有資源為目標的驗證流程原則,您必須將裝置註冊資源從條件式存取政策的範圍中排除,以避免造成影響。 您可以在 [條件式存取原則設定] 體驗中出現的 [目標資源] 選項中找到裝置註冊服務資源。 若要透過條件式存取 UX 豁免裝置註冊服務,您必須移至 [目標資源] -[排除] ->[選取排除的雲端應用程式] ->>[裝置註冊服務]。 針對 API,您需要更新策略,以排除裝置註冊服務的客戶端 ID:01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9。
如果您不確定您的組織是否針對裝置註冊服務使用裝置程序代碼流程,則可以利用Microsoft Entra 登入記錄 來判斷這一點。 在此處,您可以在 資源 ID 篩選器中篩選裝置註冊服務用戶端 ID,並在 驗證通訊協定 篩選器中使用 裝置程式碼 選項,將其縮小至裝置程式碼流程的使用量。
如果條件式存取原則意外封鎖登入,您應該確認原則是否為驗證流程原則。 您可以移至登入記錄,按一下封鎖的登入,然後瀏覽至 [活動詳細資料:登入] 窗格中的 [條件式存取] 索引標籤,以執行此確認。 如果強制執行的原則是驗證流程原則,請選取原則以判斷符合的驗證流程。
如果裝置代碼流程符合,但該裝置代碼流程並不是該次登入所使用的流程,這表示刷新權杖的協定已被追蹤。 按一下封鎖的登入,並在 [活動詳細資料:登入] 窗格的 [基本資訊] 部分中搜尋 [原始傳輸方法] 屬性,即可驗證此案例。
注意
因通訊協定追蹤的會話引起的封鎖是此原則的預期行為。 沒有建議的補救方案。