Universelle fortlaufende Zugriffsevaluierung (Vorschau)

Universelle fortlaufende Zugriffsevaluierung (CAE, Continuous Access Evaluation) ist ein Plattformfeature von globalem sicheren Zugriff (GSA, Global Secure Access), das mit Microsoft Entra ID zusammen sicherstellt, dass der Zugriff auf den GSA-Edge jedes Mal validiert wird, wenn eine Verbindung mit einer neuen Anwendungsressource hergestellt wird. Die universelle CAE schützt die GSA-Zugriffstoken vor Diebstahl und Replay. Die universelle CAE widerruft und revalidiert den Netzwerkzugriff in Quasi-Echtzeit, wenn Entra ID Änderungen an der Identität erkennt. Bei der herkömmlichen Entra ID-CAE muss jede Workload spezielle Bibliotheken übernehmen, und sie ist auf Erstanbieteranwendungen beschränkt. Die universelle CAE erweitert die Vorteile von CAE auf jede Anwendung, auf die mit globalen sicheren Zugriff zugegriffen wird, ohne dass die Anwendung CAE-fähig sein muss.

Hinweis

Die universelle CAE wird derzeit bereitgestellt und wird bis zum 31. Dezember 2024 für alle Windows-Clients mit globalem sicheren Zugriff verfügbar sein.

Vorteile von universeller CAE

Hier sind einige Beispiele dafür, wie universelle CAE Ihrer Organisation nutzt, wenn Entra ID eine Identitätsänderung erkennt und CAE in Quasi-Echtzeit auslöst:

• Privater Zugriff: Die Sitzung des Benutzers über Remotedesktop, der Zugriff auf Dateiserver und der Zugriff auf alle privaten Ressourcen, die durch privaten Zugriff geschützt sind, werden unterbrochen, wodurch das Risiko der Datenexfiltration durch einen ausscheidenden Mitarbeiter oder eine böswillige Insideraktivität reduziert wird.
• Internetzugriff: Der Zugriff des Benutzers auf alle Internetressourcen, einschließlich Dienste, die Unternehmensdaten enthalten können, z. B. Nicht-Microsoft-Dateifreigabedienste und Tools für die Zusammenarbeit im Unternehmen, wird unterbrochen, wodurch das Risiko der Datenexfiltration durch einen ausscheidenden Mitarbeiter verringert wird.
• Microsoft-Dienste: Während viele Microsoft-Dienste CAE bereits nativ verwenden, gibt es einige Anwendungen, die es nicht tun. Bei universeller CAE wird der Zugriff des Benutzers auf Microsoft-Anwendungen unterbrochen, unabhängig von der CAE-Fähigkeit der Anwendung.
• Sie können festlegen, dass sich Ihre Benutzer in bestimmten Netzwerken befinden müssen, bevor sie eine Verbindung mit Diensten mit GSA herstellen dürfen, sodass der Wechsel zu einem anderen Netzwerk auch nach der anfänglichen Tunnelauthentifizierung verhindert wird. Wenn der Benutzer in diesem Szenario das Netzwerk wechselt, wird der Netzwerkzugriff über GSA erneut authentifiziert, und standortbasierte Richtlinien für bedingten Zugriff werden neu ausgewertet.
• Der optionale strikte Erzwingungsmodus, der im bedingten Zugriff konfiguriert ist, schützt vor Diebstahl und Replay von GSA-Zugriffstoken. Wenn die Wiedergabe des Tokens von einer anderen IP-Adresse als der ursprünglichen IP-Adresse versucht wird, die während der Authentifizierung verwendet wird, wird der Netzwerkzugriff blockiert.

Funktionsweise

Der globale sichere Zugriff basiert auf Entra ID-Zugriffstoken, um sich bei den Diensttunneln zu authentifizieren (Microsoft-Datenverkehr, Internetzugriff und Datenverkehrsweiterleitungsprofile für privaten Zugriff). Zugriffstoken sind zwischen 60 und 90 Minuten gültig. Vor Ablauf des Zugriffstokens verwendet der GSA-Client das Entra ID-Aktualisierungstoken, um ein neues Zugriffstoken abzurufen.

Gemäß der OAuth2-Spezifikation sind Zugriffstoken gültig, bis sie ablaufen. Wenn Sie z. B. ein Benutzerkonto deaktivieren, macht Entra ID Aktualisierungstoken sofort ungültig, es dauert jedoch bis zu 90 Minuten, bis die GSA-Zugriffstoken ablaufen.

Mit universeller CAE werden Änderungen an der Benutzeridentität in Quasi-Echtzeit an den globalen sicheren Zugriff übermittelt. Auch wenn das Zugriffstoken noch gültig ist, sendet der globale sichere Zugriff eine spezielle Anspruchsherausforderung an den Endbenutzer, sodass der Benutzer erneut authentifiziert werden muss. Wenn der Benutzer die Entra ID-Authentifizierungsherausforderung nicht abschließen kann, wird der Netzwerkzugriff über GSA blockiert. Die universelle CAE verkürzt das Zeitfenster zwischen der Änderung des Entra ID-Kontostatus und der erneuten Authentifizierung des Benutzers, wodurch das Risiko der Datenexfiltration durch einen ausscheidenden Mitarbeiter verringert wird.

Microsoft Entra ID-Signale, die die erneute universelle CAE-Authentifizierung auslösen

Der globale sichere Zugriff ist aktiviert, um Signale von Entra ID in Quasi-Echtzeit für die folgenden Ereignisse zu empfangen:

• Benutzerkonto wird gelöscht oder deaktiviert
• Kennwort für einen Benutzer wird geändert oder zurückgesetzt
• Multi-Faktor-Authentifizierung ist für den Benutzer aktiviert
• Administrator sperrt explizit alle Aktualisierungstoken für einen Benutzer.
• Hohes Benutzerrisiko von Microsoft Entra ID Protection erkannt

Beim Empfang des Sicherheitsereignisses fordert der GSA-Client den Benutzer auf, sich erneut zu authentifizieren. Wenn die erneute Authentifizierung erfolgreich ist, wird die Netzwerkkonnektivität des Benutzers mit Ressourcen wiederhergestellt, die durch den globalen sicheren Zugriff geschützt werden.

Strikter Erzwingungsmodus

Mit dem strikten Erzwingungsmodus stoppt die universelle CAE sofort den Zugriff, wenn die vom Ressourcenanbieter erkannte IP-Adresse nicht durch die Richtlinie für bedingten Zugriff zulässig ist. Diese Option ist die höchste Sicherheitsmodalität bei der Erzwingung von CAE-Standorten und erfordert, dass Administratoren das Routing von Authentifizierungs- und Zugriffsanforderungen in ihrer Netzwerkumgebung verstehen. Wenn die strikte Erzwingung aktiviert ist, ist der Zugriff auf die Dienste für den globalen sicheren Zugriff (GSA) nur möglich, wenn Ihre Benutzer über von Ihrer Organisation autorisierte IP-Adressbereiche eine Verbindung mit dem GSA-Dienst herstellen.

Deaktivieren von universeller CAE

Der bedingte Zugriff mit Entra ID kann verwendet werden, um das CAE-Verhalten in Ihrem Mandanten zu steuern. Standardmäßig ist die CAE für alle Anwendungen aktiviert, die sie unterstützen. Sie können die CAE in Ihrem Entra ID-Mandanten deaktivieren, wodurch CAE für alle Dienste deaktiviert wird, einschließlich des globalen sicheren Zugriffs. Befolgen Sie zum Deaktivieren von CAE in Ihrem Mandanten die Schritte in der Dokumentation zum bedingten Zugriff.

Hinweis

Die universelle CAE ist opportunistisch, es sei denn, der optionale strikte Erzwingungsmodus ist in bedingtem Zugriff aktiviert und auf die GSA-Workloadidentitäten angewendet. Standardmäßig versuchen unterstützte GSA-Clients, ein CAE-Zugriffstoken aus Entra ID abzurufen. Wenn das CAE-Token nicht aus Entra ID abgerufen werden kann (z. B. aufgrund der nicht unterstützten Clientversion), wird ein reguläres Zugriffstoken ausgegeben. Mit dem Fallbackverhalten sollte es nicht erforderlich sein, die universelle CAE zu deaktivieren.

Bekannte Einschränkungen

Dieses Feature weist mindestens eine bekannte Einschränkung auf. Ausführlichere Informationen zu den bekannten Problemen und Einschränkungen dieses Features finden Sie unter Bekannten Einschränkungen für den globalen sicheren Zugriff.

Zugehöriger Inhalt

• Fortlaufende Zugriffsevaluierung in Microsoft Entra
• Sitzungskontrollen in der Richtlinie für bedingten Zugriff
• Strikte Standorterzwingung bei fortlaufender Zugriffsevaluierung in Microsoft Entra ID
• Der Client für „globaler sicherer Zugriff“ für Windows