Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Översikt
Microsoft Entra ID distribuerar en förbättrad tillämpningsmodell för principer för villkorsstyrd åtkomst som är inriktad på Alla resurser och inkluderar en eller flera resource-undantag. Den här ändringen säkerställer att inloggningar som endast begär baslinjeomfattningar får samma villkorliga åtkomstskydd som annan resursåtkomst.
Tidigare exkluderades vissa omfång med låg behörighet automatiskt från principtillämpning när det fanns ett resursundantag. Med den här ändringen utvärderas dessa omfång nu som katalogåtkomst och omfattas av dina principer för villkorsstyrd åtkomst.
Detaljerad teknisk bakgrund finns i Nytt beteende för villkorsstyrd åtkomst när en ALL-resursprincip har ett resursundantag.
Viktigt!
Den här tvingande uppdateringen överensstämmer med Microsoft Secure Future Initiative och djupgående investeringar i skydd. Microsoft rekommenderar att du använder den nya tvingande modellen för att förbättra din säkerhetsstatus.
Vem som påverkas
Den här ändringen påverkar din klientorganisation om alla följande villkor är uppfyllda:
- Du har en eller flera principer för villkorsstyrd åtkomst som är inriktade på Alla resurser.
- Dessa principer har en eller flera resursundantag.
- Användare i din klientorganisation loggar in via program som endast begär baslinjeomfattningar.
Om dina principer riktar in sig på Alla resurser utan några resursundantag påverkar inte den här ändringen dig.
Vad är baslinjeomfattningar
Baslinjeområden är en övergripande term för följande uppsättning av områden:
-
OpenID Connect-omfång (OIDC):
email,offline_access, ,openidprofile -
Omfång för baslinjekatalog:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
Vad förändras?
Efter distributionen kan följande scenarier nu utlösa utmaningar för villkorsstyrd åtkomst (till exempel MFA eller enhetsefterlevnad) där åtkomst tidigare beviljades utan verkställighet:
-
Offentliga klientprogram (till exempel skrivbordsappar) som endast begär baslinjeomfattningar. En användare loggar till exempel in på Visual Studio Code skrivbordsklient, som begär
openidochprofileomfång, eller Azure CLI, som endast begärUser.Read. -
Konfidentiella klientprogram (t.ex. webbappar) som undantas från en princip för alla resurser och endast begär baslinjekatalogomfång. Ett webbprogram som till exempel undantas från principen och som endast begär
User.ReadochPeople.Read.
De exakta utmaningarna beror på de åtkomstkontroller som konfigurerats i dina principer som riktar sig mot Alla resurser eller uttryckligen riktar in sig på Windows Azure Active Directory (Microsoft Entra ID katalog) som resurs.
Det som inte ändras
- När ett program (offentligt eller konfidentiellt) begär något omfång utanför baslinjeomfattningarna (till exempel
Mail.Read), är programmet redan föremål för tillämpning av villkorsstyrd åtkomst. Det här beteendet ändras inte. - För konfidentiella klientprogram som undantas från alla resursprinciper och endast begär OIDC-omfång förväntas ingen ändring.
Vad du behöver göra
Använd följande tabell för att fastställa vilka åtgärder som krävs för dina program:
| Apptyp | Ägarskap | Åtgärd krävs |
|---|---|---|
| Offentlig klient begär endast baslinjeomfattningar | Vilket som helst | Granska om dessa program ska förbli undantagna från tillämpning av villkorsstyrd åtkomst. Om det finns giltiga affärsskäl för att upprätthålla ett undantag kan du läsa Behåll äldre beteende med baslinjeomfångsinställningar. |
| Konfidentiell klient som endast begär baslinjekatalogomfattningar, utesluts från allresurspolicyn | Innehavarägd | Granska om undantaget fortfarande är nödvändigt. Arbeta med programutvecklare för att utvärdera om appen kan begära OIDC-omfång (till exempel openid, profile) i stället för katalogomfattningar som User.Read för grundläggande användarinformation. Om uppdateringar inte kan slutföras före distributionen kan du läsa Behåll äldre beteende med baslinjeomfångsinställningar. |
| Konfidentiell klient som endast begär baslinjekatalogomfattningar, utesluts från allresurspolicyn | ISV-ägd | Granska om undantaget fortfarande är nödvändigt. Kontakta din ISV för att utvärdera om programmet kan begära OIDC-omfång i stället för katalogomfattningar. I de flesta fall ger OIDC-omfång den lägsta behörighet som krävs för dessa scenarier. Om ISV inte kan göra uppdateringar i tid kan du läsa Behåll äldre beteende med baslinjeomfångsinställningar. |
Viktigt!
För både offentliga och konfidentiella klientprogram som ägs av din klientorganisation ska du se till att programmet kan hantera utmaningar med villkorsstyrd åtkomst (till exempel MFA eller enhetsefterlevnad). Annars kan programuppdateringar krävas. Se utvecklarvägledningen för villkorsstyrd åtkomst om hur du uppdaterar programmet på rätt sätt.
Så här utvärderar du påverkan
Förhandsgranska tvingande ändring
Du kan förhandsgranska det förbättrade tvingande beteendet innan distributionen börjar:
- Logga in på Microsoft Entra administrationscenter som minst en Villkorlig åtkomstadministratör.
- Få åtkomst till inställningarna för baslinjeomfattningar i villkorsstyrd åtkomst. Den här direktlänken krävs för att visa förhandsgranskningsinställningarna.
- Välj default målresurs (Windows Azure Active Directory).
- Välj Spara.
Anmärkning
Den här inställningen aktiverar omedelbart det uppdaterade beteendet för villkorsstyrd åtkomst för alla resursprinciper med undantag.
Därför kan vissa användarinloggningar som inte tidigare var föremål för CA-tillämpning nu utvärderas och tillämpas under villkorsstyrd åtkomst med hjälp av Windows Azure Active Directory som målresurs.
Om du vill återgå till det äldre beteendet väljer du Återställ från inställningarna för baslinjeomfång.
Om en anpassad målresurs inte har valts tillämpas distributionen baserat på Windows Azure Active Directory som standardmålresurs för baslinjeomfång i faser.
Identifiera berörda program med en anpassad målresurs
Du kan använda baslinjeomfattningsinställningar för att identifiera vilka program i din klientorganisation som påverkas. När förhandsgranskningsinställningen är aktiverad visar inloggningshändelser där programbegärans baslinjeomfattningar det anpassade programmet visas som en målgrupp för villkorsstyrd åtkomst i inloggningsloggarna. Mer information finns i Felsöka inloggningsproblem med villkorlig åtkomst.
Fråga efter berörda program
Använd följande Microsoft Graph fråga för att visa program som endast begär baslinjeomfång:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Ersätt <your-custom-app-id> med ditt anpassade programs app-ID.
Under en flerdagarsperiod innehåller resultatet av den här frågan en lista över klientprogram som endast begär baslinjeomfattningar.
Behålla äldre beteende med baslinjeomfattningsinställningar
Anmärkning
Microsoft rekommenderar att du följer den nya tvingande modellen. Använd endast inställningar för baslinjeomfång om du har specifika scenarier som kräver det äldre beteendet.
Omfångsinställningar för baslinje är en konfiguration på klientnivå som gör att du kan använda ett anpassat klientägt program som målresurs för baslinjeomfattningar. Genom att undanta det här anpassade programmet från specifika principer för alla resurser kan du behålla det äldre beteendet.
Vem ska använda den här inställningen?
Använd den här inställningen om du har specifika scenarier som kräver att du behåller det äldre beteendet. Några exempelscenarier omfattar:
- Alla resursprinciper som kräver en kompatibel enhet för att bevilja kontroll: Program som undantas från denna princip eftersom de måste vara tillgängliga från ohanterade enheter.
- Alla resursprinciper med kräver en beviljandekontroll för appskyddsprinciper: Klientprogram som inte är integrerade med Intune SDK och som inte kan uppfylla appskyddsprincipen.
- Alla resursprinciper med blockkontroll: Klientprogram som måste undantas från blockeringsprincipen.
- Offentliga klienter som måste undantas från kompatibla enhetskrav: På grund av specifika säkerhets- och efterlevnadsskäl.
Vanliga frågor och svar
Hur kan jag förhandsgranska tvingande ändring före distributionen?
Gå till https://aka.ms/BaselineScopesSettingsUX, välj målresursen default (Windows Azure Active Directory) och välj Spara. Den här inställningen framtvingar omedelbart det förbättrade beteendet. Om du vill återgå väljer du Återställ. Mer information finns i Förhandsgranska tvingande ändring.
Hur behåller jag det äldre beteendet efter distributionen?
Använd inställningarna för baslinjeomfång för att tilldela ett anpassat klientägt program som målresurs för baslinjeomfattningar och exkludera sedan programmet från principerna för alla resurser. Mer information finns i Behåll äldre beteende med baslinjeomfattningsinställningar.
Behöver jag uppdatera alla program?
Nej. Det är endast ansökningar som begär enbart grundomfång och som påverkas av dina resurspolicyer med resursundantag som behöver uppmärksammas. Program som begär omfång utanför baslinjen (till exempel Mail.Read) omfattas redan av villkorlig åtkomst och påverkas inte av den här ändringen.