Der bedingte Microsoft Entra-Zugriff für Authentifizierungsflows regelt die Verwendung des Gerätecodeflows und der Authentifizierungsübertragung.
Der Gerätecodeflow dient der Authentifizierung von Geräten, die keinen Browser haben oder deren Eingabe eingeschränkt ist, wie Smart-TVs, IoT-Geräte oder Drucker. Der Gerätecodeflow stellt einen Hochrisiko-Authentifizierungsflow dar, der in Phishing-Angriffen oder zur Erlangung von Zugriff auf Unternehmensressourcen auf nicht verwalteten Geräten eingesetzt werden könnte. Die Authentifizierungsübertragung ist ein neuer Flow, der eine nahtlose Möglichkeit bietet, den authentifizierten Zustand von einem Gerät auf ein anderes zu übertragen. In der Desktop-Version von Outlook könnte ein QR-Code Benutzern angezeigt werden. Wenn sie diesen auf ihrem Mobilgerät scannen, wird ihr authentifizierter Zustand auf das Mobilgerät übertragen.

Dieser Beitrag zeigt das Blockieren von Gerätecodeflow und Authentifizierungsübertragung mit dem bedingten Microsoft Entra-Zugriff.

Voraussetzungen und Lizenzierung

Für das Feature bedingter Microsoft Entra-Zugriff in Microsoft Entra ist folgende Lizenz notwendig:

  • Microsoft Entra ID P1 oder höher

Die Lizenz ist unter anderem Bestandteil von Microsoft 365 Business Premium und vielen mehr.

Blockieren des Gerätecodeflows oder der Authentifizierungsübertragung

Für die Blockierung des Gerätecodeflows oder der Authentifizierungsübertragung wird eine bedingte Microsoft Entra-Zugriffs Richtlinie erstellt.

Anmelden am Microsoft Entra admin center (https://entra.microsoft.com/).
Protection > Conditional Access > Policies > New policy

Name für Richtlinie eingeben, z.B. Authentication flows

Users auswählen und All users in die Richtlinie aufnehmen.
Gegebenenfalls Notfallzugriffskonten (Emergency Accounts) ausschliessen.

Target resources auswählen und All cloud apps aktivieren.

Conditions > Authentication flow auswählen
Device code flow und/oder Authentication transfer aktivieren

Grant auswählen und Block access aktivieren.

Richtlinie mit On aktivieren und Create speichern.

Die Richtlinie zum Blockieren von Gerätecodeflow und/oder Authentifizierungsübertragung mit Authentication flows ist eingerichtet.

Konfiguration testen

Zur Überprüfung der neuen bedingten Microsoft Entra-Zugriffsrichtlinie wird eine Anmeldung mit einem Gerätecodeflow durchgeführt. Dazu eignet sich Azure CLI hervorragend. Mit dem folgenden Powershell cmdlet wird die Anmeldung initiiert.

Webseite https://microsoft.com/devicelogin öffnen und Code einfügen.

Anmeldung durchführen

Trotz erfolgreicher Anmeldung verhindert die erstellte Richtlinie des bedingten Microsoft Entra-Zugriffs die Anmeldung.

Der Anmeldeversuch wird in das Microsoft Entra ID Anmeldeprotokoll geschrieben. Siehe dazu den Abschnitt Überwachung von Authentifizierungsflow-Ereignissen.

Überwachung von Authentifizierungsflow-Ereignissen

Alle Authentifizierungsflow-Ereignisse werden in das Anmeldeprotokoll von Microsoft Entra ID geschrieben.

Anmelden am Microsoft Entra admin center (https://entra.microsoft.com/).
Identity > Monitoring & health > Sign-in logs

Filter Original transfer method (1) auf Device code flow (2) oder Authentication transfer (2) setzen. Es werden sämtliche erfolgreichen und fehlerhafte Ereignisse (3) angezeigt.


Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee