Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Entra-ID stöder olika autentiserings- och auktoriseringsflöden för att ge en sömlös upplevelse för alla program- och enhetstyper. Vissa autentiseringsflöden är högre risk än andra. För att ge dig mer kontroll över din säkerhetsstatus kan du med villkorsstyrd åtkomst styra vissa autentiseringsflöden. Den här kontrollen börjar med att uttryckligen rikta in sig på enhetskodflödet.
Enhetskodflöde
Med enhetskodflöde kan du logga in på enheter som saknar lokala indataenheter, till exempel delade enheter eller digital signering. Enhetskodflöde är en högriskautentiseringsmetod som kan ingå i en nätfiskeattack eller användas för att komma åt företagsresurser på ohanterade enheter. Konfigurera flödeskontroll för enhetskod tillsammans med andra kontroller i principer för villkorsstyrd åtkomst. Om enhetskodflödet till exempel används för Android-baserade konferensrumsenheter blockerar du enhetskodflödet överallt förutom Android-enheter på en specifik nätverksplats.
Tillåt endast enhetskodflöde om det behövs. Microsoft rekommenderar att du blockerar enhetskodflödet där det är möjligt.
Autentiseringsöverföring
Autentiseringsöverföring är ett flöde som låter användare sömlöst överföra autentiserat tillstånd från en enhet till en annan. Användare kan till exempel se en QR-kod i skrivbordsversionen av Outlook som, när den skannas på deras mobila enhet, överför deras autentisering till den mobila enheten. Den här funktionen ger en enkel, intuitiv upplevelse som minskar friktionen för användarna.
Protokollspårning
För att säkerställa att principer för villkorsstyrd åtkomst tillämpas korrekt på angivna autentiseringsflöden använder vi funktioner som kallas protokollspårning. Den här spårningen tillämpas på sessionen med hjälp av enhetskodflöde eller autentiseringsöverföring. I dessa fall betraktas sessionerna som protokollspårade. Sessioner som övervakas av protokoll omfattas av policytillämpning om det finns någon policy. Protokollspårningstillståndet upprätthålls genom efterföljande uppdateringar, vilket innebär att det är möjligt att icke-enhetskodflöde och autentiseringsöverföringsflöden kan bli föremål för efterlevnad av policyer för autentiseringsflöden.
Till exempel:
- Du konfigurerar en princip för att blockera enhetskodflöde överallt förutom SharePoint.
- Du använder enhetskodflödet för att logga in på SharePoint, vilket tillåts av den konfigurerade principen. Nu betraktas sessionen som protokollspårad.
- Du försöker logga in på Exchange inom ramen för samma session med alla autentiseringsflöden, inte bara enhetskodflödet.
- Du är blockerad av den konfigurerade policyn på grund av sessionens protokollspårade tillstånd.
Inloggningsloggar
När du konfigurerar en princip för att begränsa eller blockera enhetskodflöde är det viktigt att förstå om och hur enhetskodflödet används i din organisation. Det kan vara till hjälp att skapa en princip för villkorsstyrd åtkomst i rapportläge eller filtrera inloggningsloggarna för enhetskodflödeshändelser med autentiseringsprotokollfiltret.
För att underlätta felsökning av protokollspårningsrelaterade fel har vi lagt till en ny egenskap som kallas ursprunglig överföringsmetod i avsnittet aktivitetsinformation i inloggningsloggarna för villkorsstyrd åtkomst. Den här egenskapen visar protokollspårningstillståndet för begäran i fråga. För en session där enhetskodflödet utfördes tidigare är till exempel den ursprungliga överföringsmetoden inställd på Enhetskodflöde.
Tillämpning av principer för autentiseringsflöden på enhetsregistreringstjänstens resurs
Från och med början av september 2024 började Microsoft tillämpa principer för autentiseringsflöden i enhetsregistreringstjänsten. Detta gäller endast för principer som riktar sig till alla resurser i resursväljaren. Om din organisation för närvarande använder Enhetskodflöde för enhetsregistrering och du har en princip för autentiseringsflöden som riktar sig till alla resurser, måste du undanta enhetsregistreringsresursen från omfånget för principen för villkorsstyrd åtkomst för att undvika påverkan. Du hittar resursen Enhetsregistreringstjänst i alternativet Målresurser som finns i konfigurationsmiljön för principer för villkorsstyrd åtkomst. Om du vill undanta enhetsregistreringstjänsten via UX för villkorlig åtkomst måste du gå till Målresurser>Exkludera>Välj undantagna molnappar>Enhetsregistreringstjänst. För API måste du uppdatera din princip genom att exkludera klient-ID:t för enhetsregistreringstjänsten: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Om du är osäker på om din organisation använder Enhetskodflöde mot enhetsregistreringstjänsten kan du använda Inloggningsloggarna för Microsoft Entra för att kontrollera. Där kan du filtrera efter klient-ID:t för enhetsregistreringstjänsten i resurs-ID-filtret och begränsa det till Användning av enhetskodflöde genom att använda alternativet Enhetskod i filtret Autentiseringsprotokoll.
Problem med att felsöka oväntade block
Om du har en inloggning som oväntat blockeras av en princip för villkorsstyrd åtkomst eller om du oväntat loggas ut från en enhet bör du bekräfta om rotorsaken var en princip för autentiseringsflöden. Du kan göra den här bekräftelsen genom att gå till inloggningsloggar, klicka på den blockerade inloggningen och sedan navigera till fliken Villkorsstyrd åtkomst i fönstret Aktivitetsinformation: inloggningar . Om principen som tillämpades var en princip för autentiseringsflöden väljer du principen för att avgöra vilket autentiseringsflöde som matchades.
Om enhetskodflödet matchades men inte var flödet som användes för den inloggningen, spårades uppdateringstoken genom protokollet. Du kan kontrollera det här fallet genom att klicka på den blockerade inloggningen och söka efter egenskapen Ursprunglig överföringsmetod i den grundläggande informationsdelen i fönstret Aktivitetsinformation: inloggningar . Om den konfigurerade principen tillämpas på alla program kan du även fastställa ett protokollspårningsrelaterat fel genom att söka efter följande felkod och meddelande: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted..
Anteckning
Blockeringar på grund av sessions spårade av protokoll är ett förväntat beteende för den här policyn. Möjliga effekter kan vara att inte kunna få åtkomst till vissa resurser eller fullständig utloggning av enheter. Det finns ingen rekommenderad åtgärd när policyn är i enabled-tillstånd. Om principen har angetts till disabled eller report-onlykan du behöva hämta en ny token för att kunna använda enheten igen.