條件式存取:驗證流程 (預覽)
Microsoft Entra ID 支援各種不同的驗證和授權流程,以在所有應用程式和裝置類型之間提供順暢的體驗。 其中有些驗證流程的風險比其他流程高。 為了更充分掌控您的安全性狀態,我們會將控制特定驗證流程的能力新增至條件式存取。 此控制項首先能夠明確鎖定裝置程式碼流程。
裝置代碼流程
登入的裝置可能缺少共用裝置或數位看板等本機輸入裝置時,會使用裝置程式碼流程。 裝置程式碼流程是高風險的驗證流程,可用來作為網路釣魚攻擊的一部分,或存取非受控裝置上的公司資源。 您可以在條件式存取原則中設定裝置程式碼流程控制項,以及其他控制項。 例如,若裝置程式碼流程用於 Android 型會議室裝置,您可以選擇在特定網路位置中,封鎖 Android 以外裝置的裝置程式碼流程。
您應該只在必要的位置中允許裝置程式碼流程。 Microsoft 建議盡可能封鎖裝置程式碼流程。
驗證傳輸
驗證傳輸是新的流程,提供順暢的方式,將已驗證狀態從一部裝置傳輸到另一部裝置。 例如,在電腦版 Outlook 內向使用者顯示 QR 代碼時,若使用者在行動裝置上掃描該 QR 代碼,其已驗證狀態會傳輸至行動裝置。 這項功能提供簡單且直覺的使用者體驗,可降低使用者的整體摩擦等級。
控制驗證傳輸的功能處於預覽狀態,請使用條件式存取中的驗證流程條件來管理此功能。
通訊協定追蹤
為了確保在指定的驗證流程上正確強制執行條件式存取原則,我們使用稱為通訊協定追蹤的功能。 此追蹤會套用至使用裝置程式碼流程或驗證傳輸的工作階段。 在這些情況下,會將該工作階段視為已追蹤通訊協定。 如果原則存在,則所有已追蹤通訊協定的工作階段都會受限於原則的強制執行。 通訊協定追蹤狀態透過後續重新整理來維持。 如果工作階段已追蹤通訊協定,則非裝置程式碼流程或驗證傳輸流程可能會受限於驗證流程原則的強制執行。
例如:
- 您可以設定原則來封鎖 SharePoint 以外裝置的裝置程式碼流程。
- 您可以根據已設定原則,允許使用裝置程式碼流程來登入 SharePoint。 此時,會將工作階段視為已追蹤通訊協定
- 您嘗試在相同工作階段的內容中使用任何驗證流程登入 Exchange,而不只是裝置程式碼流程。
- 因為工作階段處於已追蹤通訊協定的狀態,所以已設定的原則會封鎖您
登入記錄
設定原則以限制或封鎖裝置程式碼流程時,請務必了解貴組織是否使用裝置程式碼流程以及如何使用。 下列方法可幫助了解:在報告專用模式中建立條件式存取原則,或使用驗證通訊協定來篩選裝置程式碼流程事件的登入記錄。
為了協助疑難排解通訊協定追蹤相關錯誤,我們已將稱為原始傳輸方法的新屬性,新增至條件式存取登入記錄的活動詳細資料區段中。 這個屬性會顯示有問題的要求的通訊協定追蹤狀態。 例如,若工作階段先前執行裝置程式碼流程,則原始傳輸方法會設定為裝置程式碼流程。
在裝置註冊服務資源上強制執行驗證流程原則
從 2024 年 9 月初開始,Microsoft開始在裝置註冊服務上強制執行驗證流程原則。 這隻適用於以資源選擇器中的所有資源為目標的原則。 如果您的組織目前使用裝置程式代碼流程進行裝置註冊,而且您擁有以所有資源為目標的驗證流程原則,您必須從條件式存取原則的範圍豁免裝置註冊資源,以避免造成影響。 您可以在 [條件式存取原則設定] 體驗中出現的 [目標資源] 選項中找到裝置註冊服務資源。 若要透過條件式存取 UX 豁免裝置註冊服務,您必須移至 [目標資源] -[排除] ->[選取排除的雲端應用程式] ->>[裝置註冊服務]。 針對 API,您必須排除裝置註冊服務的用戶端識別碼:01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 來更新原則。
如果您不確定您的組織是否針對裝置註冊服務使用裝置程序代碼流程,則可以利用Microsoft Entra 登入記錄 來判斷這一點。 您可以在該處篩選 [資源標識符] 篩選中的 [裝置註冊服務用戶端標識符],並利用 [驗證通訊協定] 篩選內的 [裝置程式代碼] 選項,將其縮小為 [裝置程式代碼流程] 使用量。
疑難排解非預期的封鎖
如果條件式存取原則意外封鎖登入,您應該確認原則是否為驗證流程原則。 您可以移至登入記錄,按一下封鎖的登入,然後瀏覽至 [活動詳細資料:登入] 窗格中的 [條件式存取] 索引標籤,以執行此確認。 如果強制執行的原則是驗證流程原則,請選取原則以判斷符合的驗證流程。
如果裝置程式碼流程符合,但裝置程式碼流程不是對該登入而執行的流程,這表示已對重新整理權杖追蹤通訊協定。 按一下封鎖的登入,並在 [活動詳細資料:登入] 窗格的 [基本資訊] 部分中搜尋 [原始傳輸方法] 屬性,即可驗證此案例。
注意
因為工作階段已追蹤通訊協定而進行封鎖是此原則的預期行為。 沒有建議的補救方案。