Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra поддерживает различные потоки проверки подлинности и авторизации, чтобы обеспечить простой интерфейс для всех типов приложений и устройств. Некоторые потоки проверки подлинности являются более высоким риском, чем другие. Чтобы обеспечить более контроль над состоянием безопасности, условный доступ позволяет управлять определенными потоками проверки подлинности. Этот элемент управления нацелен на поток кода устройства.
Поток кода устройства
Поток кода устройства позволяет входить на устройства, которые не имеют локальных устройств ввода, такие как совместно используемые устройства или цифровые вывески. Поток кода устройства — это метод проверки подлинности с высоким риском, который может быть частью фишинговой атаки или используется для доступа к корпоративным ресурсам на неуправляемых устройствах. Настройте управление потоком кода устройства вместе с другими элементами управления в политиках условного доступа. Например, если используется поток кода устройств для конференц-устройств на Android, заблокируйте его везде, кроме устройств Android в определенном сетевом расположении.
Разрешать поток кода устройства только при необходимости. Корпорация Майкрософт рекомендует блокировать поток кода устройства везде, где это возможно.
Передача аутентификации
Передача проверки подлинности — это поток, который позволяет пользователям легко передавать состояние проверки подлинности с одного устройства на другое. Например, пользователи могут видеть QR-код в классической версии Outlook, которая при сканировании на мобильном устройстве передает свое состояние, прошедшее проверку подлинности, на мобильное устройство. Эта возможность обеспечивает простой и интуитивно понятный интерфейс, который снижает трение для пользователей.
Отслеживание протокола
Чтобы обеспечить точное применение политик условного доступа для указанных потоков проверки подлинности, мы используем функции, называемые отслеживанием протоколов. Это отслеживание применяется к сеансу с помощью потока аутентификационного кода устройства или передачи аутентификации. В этих случаях сеансы считаются отслеживаемыми по протоколу. Любые сеансы, отслеживаемые протоколом, подлежат исполнению политики, если такая политика существует. Состояние отслеживания протоколов поддерживается через последующие обновления, что означает, что потоки, не связанные с кодом устройства, или потоки передачи аутентификации могут быть подвержены применению политик строгой аутентификации.
Например:
- Вы настраиваете политику для блокировки потока кода устройства везде, за исключением SharePoint.
- Вы используете поток кода устройства для входа в SharePoint в соответствии с настроенной политикой. На этом этапе сеанс считается отслеживаемым по протоколу.
- Вы пытаетесь войти в Exchange в контексте того же сеанса, используя любой поток проверки подлинности, а не просто поток кода устройства.
- Вы заблокированы настроенной политикой из-за отслеживаемого состояния сеанса протокола.
Журналы входа
При настройке политики для ограничения или блокировки потока кода устройства важно понимать, используется ли поток кода устройства и как он используется в вашей организации. Создание политики условного доступа в режиме отчетности или фильтрация журналов входа для событий потока кодов устройств с помощью фильтра протокола проверки подлинности может помочь.
Чтобы помочь в устранении неполадок, связанных с отслеживанием протоколов, мы добавили новое свойство, называемое исходным методом передачи, в раздел сведений о действиях журналов входа условного доступа. Это свойство отображает состояние отслеживания протокола в рассматриваемом запросе. Например, для сеанса, в котором ранее был выполнен поток кода устройства, исходный метод передачи задан как поток кода устройства.
Применение политик потоков аутентификации к ресурсу Службы регистрации устройств
Начиная с сентября 2024 года корпорация Майкрософт начала применять политики потоков проверки подлинности в службе регистрации устройств. Это относится только к политикам, направленным на все ресурсы в инструменте выбора ресурсов. Если в настоящее время в вашей организации используется поток кода устройства для регистрации устройств, и у вас есть политика потоков проверки подлинности, предназначенная для всех ресурсов, необходимо исключить ресурс регистрации устройств из области политики условного доступа, чтобы избежать влияния. Ресурс службы регистрации устройств можно найти в параметре "Целевые ресурсы ", который присутствует в конфигурации политики условного доступа. Чтобы исключить службу регистрации устройств через пользовательский интерфейс условного доступа, необходимо перейти к целевым ресурсам>, затем выбрать исключить>, далее выберите исключаемые облачные приложения>, и службу регистрации устройств. Для API необходимо обновить политику, исключив идентификатор клиента для службы регистрации устройств: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Если вы не уверены, использует ли ваша организация поток кода устройства для службы регистрации устройств, вы можете использовать журналы входа Microsoft Entra для проверки. Там можно отфильтровать идентификатор клиента службы регистрации устройств в фильтре идентификатора ресурса и сузить его до использования потока кода устройства, используя параметр кода устройства в фильтре протокола проверки подлинности.
Устранение неполадок с неожиданными блокировками
Если у вас вход был неожиданно заблокирован политикой условного доступа или вы неожиданно вышли из устройства, убедитесь, является ли основной причиной политика потоков аутентификации. Это подтверждение можно сделать, перейдя в журналы входов, щелкнув заблокированный вход, и затем перейти на вкладку "Условный доступ" в области сведений о действиях: входы. Если примененная политика была политикой аутентификационного потока, выберите ее, чтобы определить, какой поток аутентификации был сопоставлен.
Если поток кода устройства был сопоставлен, но не был потоком, выполняемым для этого входа, токен обновления протокольно отслеживался. Этот случай можно проверить, щелкнув заблокированный вход и ища свойство метода исходной передачи в разделе "Основные сведения"Сведения о действиях: вход в систему. Если настроенная политика применяется ко всем приложениям, можно также определить связанную ошибку отслеживания протокола, выполнив поиск следующего кода ошибки и сообщения: AADSTS530036: The refresh token is invalid due to authentication flow checks by Conditional Access. Additionally, since the authentication flows policy applies to all applications, the token will never be usable and should be deleted.
Примечание.
Блокировки, связанные с отслеживанием сеансов протокола, являются ожидаемым результатом в рамках этой политики. Возможное влияние может включать такие проблемы, как невозможность доступа к определенным ресурсам или невозможность завершить выход из устройства. Когда политика находится в состоянии enabled, не рекомендуется устранять неполадки. Если для политики установлено disabled или report-only, возможно, потребуется получить новый токен, чтобы снова использовать устройство.