Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra ID ondersteunt verschillende verificatie- en autorisatiestromen om een naadloze ervaring te bieden voor alle toepassings- en apparaattypen. Sommige verificatiestromen lopen een hoger risico dan andere stromen. Om u meer controle te geven over uw beveiligingspostuur, kunt u met voorwaardelijke toegang bepaalde verificatiestromen beheren. Dit element begint met het expliciet richten op apparaatcodestroom.
Proces voor apparaatcode
Met apparaatcodestroom kunt u zich aanmelden bij apparaten die geen lokale invoerapparaten hebben, zoals gedeelde apparaten of digitale borden. Apparaatcodestroom is een verificatiemethode met een hoog risico die deel kan uitmaken van een phishing-aanval of die kan worden gebruikt voor toegang tot bedrijfsbronnen op onbeheerde apparaten. Configureer apparaatcodestroombeheer samen met andere besturingselementen in beleid voor voorwaardelijke toegang. Als de apparaatcodestroom bijvoorbeeld wordt gebruikt voor android-apparaten in vergaderruimten, blokkeert u de stroom van apparaatcode overal, met uitzondering van Android-apparaten op een specifieke netwerklocatie.
Sta apparaatcodestroom alleen toe indien nodig. Microsoft raadt aan om de apparaatcodestroom waar mogelijk te blokkeren.
Authenticatieoverdracht
Verificatieoverdracht is een stroom waarmee gebruikers de geverifieerde status naadloos van het ene apparaat naar het andere kunnen overdragen. Gebruikers kunnen bijvoorbeeld een QR-code zien in de bureaubladversie van Outlook die, wanneer ze op hun mobiele apparaat worden gescand, hun geverifieerde status overdraagt naar het mobiele apparaat. Deze mogelijkheid biedt een eenvoudige, intuïtieve ervaring die wrijving voor gebruikers vermindert.
Protocoltracking
Om ervoor te zorgen dat beleid voor voorwaardelijke toegang nauwkeurig wordt afgedwongen voor opgegeven verificatiestromen, gebruiken we functionaliteit genaamd protocol-tracking. Deze tracering wordt toegepast op de sessie met behulp van apparaatcodestroom of verificatieoverdracht. In deze gevallen worden de sessies beschouwd als volgens protocol gevolgd. Alle sessies met protocolbewaking zijn onderworpen aan beleidsafhandeling indien een beleid bestaat. De status van protocoltracking wordt behouden tijdens latere vernieuwingen, wat betekent dat niet-apparaatcodeflows of verificatieoverdrachtsflows onderhevig kunnen zijn aan naleving van de beleidsregels voor verificatiestromen.
Voorbeeld:
- U configureert een beleid om de apparaatcodestroom overal te blokkeren, met uitzondering van SharePoint.
- U gebruikt de apparaatcodestroom om u aan te melden bij SharePoint, zoals toegestaan door het geconfigureerde beleid. Op dit moment wordt de sessie protocolmatig gevolgd.
- U probeert u aan te melden bij Exchange in dezelfde sessiecontext met behulp van elke willekeurige verificatiestroom, niet alleen met apparaatcodestroom.
- U wordt geblokkeerd door het geconfigureerde beleid vanwege de bijgehouden protocolstatus van de sessie.
Aanmeldingslogboeken
Wanneer u een beleid configureert om de stroom van apparaatcode te beperken of te blokkeren, is het belangrijk om te begrijpen of en hoe de apparaatcodestroom wordt gebruikt in uw organisatie. Het maken van beleid voor voorwaardelijke toegang in de modus Alleen-rapport of het filteren van de aanmeldingslogboeken voor apparaatcodestroomgebeurtenissen met het verificatieprotocolfilter kan helpen.
Voor hulp bij het oplossen van problemen met betrekking tot het traceren van protocollen hebben we een nieuwe eigenschap met de naam oorspronkelijke overdrachtsmethode toegevoegd aan de sectie met activiteitsgegevens van de aanmeldingslogboeken voor voorwaardelijke toegang. Met deze eigenschap wordt de status van het bijhouden van protocollen van de betreffende aanvraag weergegeven. Voor een sessie waarin de apparaatcodestroom eerder is uitgevoerd, wordt de oorspronkelijke overdrachtsmethode bijvoorbeeld ingesteld op apparaatcodestroom.
Het afdwingen van beleid voor authenticatieprocessen op de apparaatregistratieservice-bron
Vanaf begin september 2024 is Microsoft begonnen met het handhaven van beleid voor authenticatiestromen voor Device Registration Service. Dit geldt alleen voor beleidsregels die gericht zijn op alle resources in de resourceselector. Als uw organisatie momenteel apparaatcodestroom gebruikt voor apparaatregistratiedoeleinden en u een beleid voor verificatiestromen hebt dat is gericht op alle resources, moet u de resource voor apparaatregistratie uitsluiten van het bereik van uw beleid voor voorwaardelijke toegang om impact te voorkomen. U vindt de Device Registration Service-resource in de optie Doelresources die aanwezig is in de configuratie van het beleid voor voorwaardelijke toegang. Als u Device Registration Service wilt uitsluiten via UX voor voorwaardelijke toegang, gaat u naar Doelresources>uitsluiten>Selecteer uitgesloten cloud-apps>Device Registration Service. Voor API moet u uw beleid bijwerken door de client-id voor Device Registration Service uit te sluiten: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Als u niet zeker weet of uw organisatie Gebruikmaakt van Device Code Flow voor Device Registration Service, kunt u de aanmeldingslogboeken van Microsoft Entra gebruiken om dit te controleren. Daar kunt u filteren op de client-id van de Device Registration Service in het resource-id-filter en deze beperken tot apparaatcodestroomgebruik door gebruik te maken van de optie Apparaatcode in het filter Authentication Protocol.
Onverwachte blokkeringen oplossen
Als uw inloggen onverwacht werd geblokkeerd door een beleid voor voorwaardelijke toegang of als u onverwacht bent uitgelogd op een apparaat, moet u bevestigen of de hoofdoorzaak bij de verificatierichtlijnen lag. U kunt deze bevestiging doen door naar aanmeldingslogboeken te gaan, op de geblokkeerde aanmelding te klikken en vervolgens naar het tabblad Voorwaardelijke toegang te gaan in het deelvenster Activiteitsgegevens: aanmeldingen. Als het afgedwongen beleid een beleid voor verificatiestromen was, selecteert u het beleid om te bepalen welke verificatiestroom overeenkomt.
Als de apparaatcodestroom overeenkwam maar niet de stroom was die voor die aanmelding werd uitgevoerd, werd het refresh token protocol getraceerd. U kunt dit geval controleren door op de geblokkeerde aanmelding te klikken en te zoeken naar de eigenschap Oorspronkelijke overdrachtsmethode in het gedeelte Basisgegevens van het deelvenster Activiteitsgegevens: aanmeldingen . Als uw geconfigureerde beleid wordt toegepast op alle toepassingen, kunt u ook een fout met betrekking tot het bijhouden van protocollen bepalen door te zoeken naar de volgende foutcode en het volgende bericht: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted.
Notitie
Blokken vanwege bijgehouden protocolsessies zijn verwacht gedrag voor dit beleid. Mogelijke gevolgen kunnen zaken zijn, zoals het niet kunnen openen van bepaalde resources of het volledige afmelden van het apparaat. Er is geen aanbevolen herstel wanneer het beleid de enabled status heeft. Als het beleid is ingesteld op disabled of report-only, moet u mogelijk een nieuw token verkrijgen om het apparaat opnieuw te kunnen gebruiken.