Der bedingte Microsoft Entra-Zugriff für Authentifizierungsflows regelt die Verwendung des Gerätecodeflows und der Authentifizierungsübertragung.
Der Gerätecodeflow dient der Authentifizierung von Geräten, die keinen Browser haben oder deren Eingabe eingeschränkt ist, wie Smart-TVs, IoT-Geräte oder Drucker. Der Gerätecodeflow stellt einen Hochrisiko-Authentifizierungsflow dar, der in Phishing-Angriffen oder zur Erlangung von Zugriff auf Unternehmensressourcen auf nicht verwalteten Geräten eingesetzt werden könnte. Die Authentifizierungsübertragung ist ein neuer Flow, der eine nahtlose Möglichkeit bietet, den authentifizierten Zustand von einem Gerät auf ein anderes zu übertragen. In der Desktop-Version von Outlook könnte ein QR-Code Benutzern angezeigt werden. Wenn sie diesen auf ihrem Mobilgerät scannen, wird ihr authentifizierter Zustand auf das Mobilgerät übertragen.
Dieser Beitrag zeigt das Blockieren von Gerätecodeflow und Authentifizierungsübertragung mit dem bedingten Microsoft Entra-Zugriff.
Voraussetzungen und Lizenzierung
Für das Feature bedingter Microsoft Entra-Zugriff in Microsoft Entra ist folgende Lizenz notwendig:
- Microsoft Entra ID P1 oder höher
Die Lizenz ist unter anderem Bestandteil von Microsoft 365 Business Premium und vielen mehr.
Blockieren des Gerätecodeflows oder der Authentifizierungsübertragung
Für die Blockierung des Gerätecodeflows oder der Authentifizierungsübertragung wird eine bedingte Microsoft Entra-Zugriffs Richtlinie erstellt.
Anmelden am Microsoft Entra admin center (https://entra.microsoft.com/).
Protection > Conditional Access > Policies > New policy
Name für Richtlinie eingeben, z.B. Authentication flows
Users auswählen und All users in die Richtlinie aufnehmen.
Gegebenenfalls Notfallzugriffskonten (Emergency Accounts) ausschliessen.
Target resources auswählen und All cloud apps aktivieren.
Conditions > Authentication flow auswählen
Device code flow und/oder Authentication transfer aktivieren
Grant auswählen und Block access aktivieren.
Richtlinie mit On aktivieren und Create speichern.
Die Richtlinie zum Blockieren von Gerätecodeflow und/oder Authentifizierungsübertragung mit Authentication flows ist eingerichtet.
Konfiguration testen
Zur Überprüfung der neuen bedingten Microsoft Entra-Zugriffsrichtlinie wird eine Anmeldung mit einem Gerätecodeflow durchgeführt. Dazu eignet sich Azure CLI hervorragend. Mit dem folgenden Powershell cmdlet wird die Anmeldung initiiert.
1 |
Webseite https://microsoft.com/devicelogin öffnen und Code einfügen.
Anmeldung durchführen
Trotz erfolgreicher Anmeldung verhindert die erstellte Richtlinie des bedingten Microsoft Entra-Zugriffs die Anmeldung.
Der Anmeldeversuch wird in das Microsoft Entra ID Anmeldeprotokoll geschrieben. Siehe dazu den Abschnitt Überwachung von Authentifizierungsflow-Ereignissen.
Überwachung von Authentifizierungsflow-Ereignissen
Alle Authentifizierungsflow-Ereignisse werden in das Anmeldeprotokoll von Microsoft Entra ID geschrieben.
Anmelden am Microsoft Entra admin center (https://entra.microsoft.com/).
Identity > Monitoring & health > Sign-in logs
Filter Original transfer method (1) auf Device code flow (2) oder Authentication transfer (2) setzen. Es werden sämtliche erfolgreichen und fehlerhafte Ereignisse (3) angezeigt.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees für mich!
