Accesso condizionale: flussi di autenticazione (anteprima)
Microsoft Entra ID supporta un'ampia gamma di flussi di autenticazione e autorizzazione per offrire un'esperienza uniforme in tutti i tipi di applicazioni e dispositivi. Alcuni di questi flussi di autenticazione sono più rischiosi di altri. Per fornire un maggiore controllo sul comportamento di sicurezza, si aggiunge la possibilità di controllare determinati flussi di autenticazione all'accesso condizionale. Questo controllo inizia con la possibilità di indirizzare in modo esplicito il flusso del codice del dispositivo.
Flusso del codice del dispositivo
Il flusso di codice del dispositivo viene usato durante l'accesso ai dispositivi che potrebbero non avere dispositivi di input locali, ad esempio dispositivi condivisi o segnaletica digitale. Il flusso di codice del dispositivo è un flusso di autenticazione ad alto rischio che può essere usato come parte di un attacco di phishing o per accedere alle risorse aziendali su dispositivi non gestiti. È possibile configurare il controllo del flusso di codice del dispositivo insieme ad altri controlli nei criteri di accesso condizionale. Ad esempio, se il flusso di codice del dispositivo viene usato per i dispositivi della sala riunioni basati su Android, è possibile scegliere di bloccare il flusso del codice del dispositivo ovunque, ad eccezione dei dispositivi Android in un percorso di rete specifico.
È consigliabile consentire il flusso del codice del dispositivo solo se necessario. Microsoft consiglia di bloccare il flusso del codice del dispositivo laddove possibile.
Trasferimento dell'autenticazione
Il trasferimento dell'autenticazione è un nuovo flusso che offre un modo semplice per trasferire lo stato autenticato da un dispositivo a un altro. Ad esempio, gli utenti possono essere presentati con un codice a matrice all'interno della versione desktop di Outlook che, durante l'analisi sul dispositivo mobile, trasferisce lo stato autenticato al dispositivo mobile. Questa funzionalità offre un'esperienza utente semplice e intuitiva che riduce il livello di attrito complessivo per gli utenti.
La possibilità di controllare il trasferimento dell'autenticazione è in anteprima, usare la condizione Flussi di autenticazione nell'accesso condizionale per gestire la funzionalità.
Rilevamento dei protocolli
Per garantire che i criteri di accesso condizionale vengano applicati in modo accurato ai flussi di autenticazione specificati, viene usata la funzionalità denominata rilevamento dei protocolli. Questo rilevamento viene applicato alla sessione usando il flusso del codice del dispositivo o il trasferimento dell'autenticazione. In questi casi, le sessioni vengono considerate monitorate dal protocollo. Qualsiasi sessione rilevata dal protocollo è soggetta all'imposizione dei criteri se esiste un criterio. Lo stato di rilevamento del protocollo viene sostenuto tramite gli aggiornamenti successivi. I flussi di trasferimento del codice non dispositivo o di trasferimento dell'autenticazione possono essere soggetti all'applicazione dei criteri dei flussi di autenticazione se la sessione è monitorata dal protocollo.
Ad esempio:
- È possibile configurare un criterio per bloccare il flusso del codice del dispositivo ovunque, ad eccezione di SharePoint.
- Il flusso del codice del dispositivo viene usato per accedere a SharePoint, come consentito dai criteri configurati. A questo punto, la sessione viene considerata monitorata dal protocollo
- Si tenta di accedere a Exchange all'interno del contesto della stessa sessione usando qualsiasi flusso di autenticazione non solo del flusso di codice del dispositivo.
- I criteri configurati sono bloccati a causa dello stato di rilevamento del protocollo della sessione
Log di accesso
Quando si configura un criterio per limitare o bloccare il flusso del codice del dispositivo, è importante comprendere se e come viene usato il flusso del codice del dispositivo nell'organizzazione. La creazione di criteri di accesso condizionale in modalità solo report o il filtro dei log di accesso per gli eventi del flusso del codice del dispositivo con il filtro del protocollo di autenticazione può essere utile.
Per facilitare la risoluzione dei problemi di rilevamento degli errori correlati al rilevamento dei protocolli, è stata aggiunta una nuova proprietà denominata metodo di trasferimento originale alla sezione dei dettagli dell'attività dei log di accesso condizionale. Questa proprietà visualizza lo stato di rilevamento del protocollo della richiesta in questione. Ad esempio, per una sessione in cui il flusso del codice del dispositivo è stato eseguito in precedenza, il metodo di trasferimento originale è impostato su Flusso di codice del dispositivo.
Applicazione dei criteri dei flussi di autenticazione nella risorsa del servizio Registrazione dispositivi
A partire da settembre 2024, Microsoft inizierà ad applicare i criteri dei flussi di autenticazione nel servizio Registrazione dispositivi. Questo vale solo per i criteri destinati a tutte le risorse nella selezione risorse. Se l'organizzazione usa attualmente il flusso di codice del dispositivo a scopo di registrazione del dispositivo e si dispone di un criterio di flusso di autenticazione destinato a tutte le risorse, sarà necessario esentare la risorsa di registrazione del dispositivo dall'ambito dei criteri di accesso condizionale per evitare effetti. È possibile trovare la risorsa Servizio registrazione dispositivi nell'opzione Risorse di destinazione presente nell'esperienza di configurazione dei criteri di accesso condizionale. Per esentare il servizio registrazione dispositivi tramite l'esperienza utente di accesso condizionale, è necessario passare a Risorse di destinazione -Escludi ->>Selezionare le app cloud escluse ->Servizio registrazione dispositivi. Per l'API, è necessario aggiornare i criteri escludendo l'ID client per il servizio registrazione dispositivi: 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9.
Se non si è certi che l'organizzazione usi il flusso del codice del dispositivo con il servizio registrazione dispositivi, è possibile utilizzare i log di accesso di Microsoft Entra per determinare questo problema. È possibile filtrare l'ID client del servizio Registrazione dispositivi nel filtro ID risorsa e restringerlo all'utilizzo del flusso del codice del dispositivo usando l'opzione Codice dispositivo all'interno del filtro Del protocollo di autenticazione.
Risoluzione dei problemi relativi ai blocchi imprevisti
Se si dispone di un accesso bloccato in modo imprevisto da un criterio di accesso condizionale, è necessario verificare se il criterio è un criterio dei flussi di autenticazione. Per eseguire questa conferma, passare ai log di accesso, fare clic sull'accesso bloccato e quindi passare alla scheda Accesso condizionale nel riquadro Dettagli attività: accessi. Se il criterio applicato è un criterio dei flussi di autenticazione, selezionare i criteri per determinare quale flusso di autenticazione è stato confrontato.
Se il flusso del codice del dispositivo è stato confrontato ma il flusso del codice del dispositivo non è stato eseguito per l'accesso, significa che il token di aggiornamento è stato rilevato dal protocollo. È possibile verificare questo caso facendo clic sull'accesso bloccato e cercando la proprietà Metodo di trasferimento originale nella parte Informazioni di base del riquadro Dettagli attività: accessi .
Nota
Per questo criterio sono previsti blocchi dovuti al comportamento previsto delle sessioni rilevate dal protocollo. Non esiste alcuna correzione consigliata.