Kontinuierliche Zugriffsauswertung für Microsoft 365
Moderne Clouddienste, die OAuth 2.0 für die Authentifizierung verwenden, verlassen sich traditionell auf den Ablauf des Zugriffstokens, um den Zugriff eines Benutzerkontos zu widerrufen. In der Praxis bedeutet dies auch dann, wenn ein Administrator den Zugriff eines Benutzerkontos widerruft, hat der Benutzer weiterhin Zugriff, bis das Zugriffstoken abläuft, was für Microsoft 365 standardmäßig bis zu einer Stunde nach Ablauf des anfänglichen Sperrereignisses bedeutet.
Kontinuierliche Zugriffsauswertung für Microsoft 365 und Microsoft Entra ID beendet proaktiv aktive Benutzersitzungen und erzwingt Änderungen an Mandantenrichtlinien in nahezu Echtzeit, anstatt auf den Ablauf von Zugriffstoken zu vertrauen. Die Microsoft Entra-ID benachrichtigt fortlaufende aktivierte Microsoft 365-Dienste für die Zugriffsauswertung (z. B. SharePoint, Teams und Exchange), wenn sich das Benutzerkonto oder der Mandant auf eine Weise geändert hat, die eine erneute Auswertung des Authentifizierungsstatus des Benutzerkontos erfordert.
Wenn ein kontinuierlicher für die Zugriffsauswertung aktivierter Client wie Outlook versucht, mit einem vorhandenen Zugriffstoken auf Exchange zuzugreifen, wird das Token vom Dienst abgelehnt und fordert eine neue Microsoft Entra-Authentifizierung an. Das Ergebnis ist die Erzwingung von Benutzerkonten- und Richtlinienänderungen in nahezu Echtzeit.
Hier sind einige zusätzliche Vorteile:
Für einen böswilligen Insider, der ein gültiges Zugriffstoken kopiert und außerhalb Ihrer Organisation exportiert, verhindert die kontinuierliche Zugriffsauswertung die Verwendung dieses Tokens über die Microsoft Entra IP-Adressadressenrichtlinie. Mit der kontinuierlichen Zugriffsauswertung synchronisiert Microsoft Entra ID Richtlinien mit unterstützten Microsoft 365-Diensten, sodass ein Zugriffstoken, das versucht von außerhalb des IP-Adressbereichs in der Richtlinie auf den Dienst zuzugreifen, abgelehnt wird.
Die kontinuierliche Zugriffsauswertung verbessert die Resilienz, da weniger Tokenaktualisierungen erforderlich sind. Da unterstützende Dienste proaktive Benachrichtigungen zum Erfordern einer erneuten Authentifizierung erhalten, kann Microsoft Entra ID längerlebige Token ausstellen, z. B. über eine Stunde hinaus. Bei längerlebigen Token müssen Clients nicht so oft eine Tokenaktualisierung von Microsoft Entra ID anfordern, sodass die Benutzererfahrung stabiler ist.
Hier sind einige Beispiele für Situationen, in denen die kontinuierliche Zugriffsauswertung die Sicherheit der Benutzerzugriffskontrolle verbessert:
Das Kennwort eines Benutzerkontos wurde kompromittiert, sodass ein Administrator alle vorhandenen Sitzungen ungültig macht und sein Kennwort aus dem Microsoft 365 Admin Center zurücksetzt. In nahezu Echtzeit werden alle vorhandenen Benutzersitzungen mit Microsoft 365-Diensten ungültig.
Ein Benutzer, der an einem Dokument in Word arbeitet, nimmt sein Tablet mit in ein öffentliches Café, das sich nicht in einem vom Administrator definierten und genehmigten IP-Adressbereich befindet. Im Café wird der Zugriff des Benutzers auf das Dokument sofort blockiert.
Für Microsoft 365 wird die kontinuierliche Zugriffsauswertung derzeit von Folgenden unterstützt:
- Exchange, SharePoint und Teams.
- Outlook, Teams, Office und OneDrive in einem Webbrowser und für die Win32-, iOS-, Android- und Mac-Clients.
Microsoft arbeitet an zusätzlichen Microsoft 365-Diensten und -Clients, um eine kontinuierliche Zugriffsbewertung zu unterstützen.
Die kontinuierliche Zugriffsauswertung ist in allen Versionen von Office 365 und Microsoft 365 enthalten. Das Konfigurieren von Richtlinien für bedingten Zugriff erfordert die Microsoft Entra ID P1, die in allen Microsoft 365-Versionen enthalten ist.
Hinweis
In diesem Artikel finden Sie die Einschränkungen der kontinuierlichen Zugriffsauswertung.
Von Microsoft 365 unterstützte Szenarien
Die fortlaufende Zugriffsevaluierung unterstützt zwei Arten von Ereignissen:
- Kritische Ereignisse sind diejenigen, in denen ein Benutzer den Zugriff verlieren sollte.
- Die Richtlinienauswertung für bedingten Zugriff tritt auf, wenn ein Benutzer den Zugriff auf eine Ressource verlieren sollte, die auf einer vom Administrator definierten Richtlinie basiert.
Zu den wichtigen Ereignissen gehören:
- Das Benutzerkonto ist deaktiviert
- Das Kennwort ist geändert
- Benutzersitzungen werden widerrufen
- Multi-Faktor-Authentifizierung ist für den Benutzer aktiviert
- Das Kontorisiko wurde basierend auf der Auswertung des Zugriffs von Microsoft Entra ID Protection erhöht.
Die Richtlinienauswertung für bedingten Zugriff tritt auf, wenn das Benutzerkonto keine Verbindung mehr aus einem vertrauenswürdigen Netzwerk herstellt.
Die folgenden Microsoft 365-Dienste unterstützen derzeit eine kontinuierliche Zugriffsauswertung, indem Ereignisse von Microsoft Entra ID überwacht werden.
| Erzwingungstyp | Exchange | SharePoint | Teams |
|---|---|---|---|
| Kritische Ereignisse: | |||
| Benutzersperrung | Unterstützt | Unterstützt | Unterstützt |
| Benutzerrisiko | Unterstützt | Nicht unterstützt | Unterstützt |
| Bewertung der Richtlinie für bedingten Zugriff: | |||
| IP-Adressspeicherortrichtlinie | Unterstützt | Unterstützt* | Unterstützt \*\* |
* Der SharePoint-Webbrowserzugriff unterstützt die sofortige Erzwingung von IP-Richtlinien, indem der strikte Modus aktiviert wird. Ohne strikten Modus beträgt die Lebensdauer des Zugriffstokens eine Stunde.
** Anrufe, Besprechungen und Chats in Teams entsprechen nicht den IP-basierten Richtlinien für bedingten Zugriff.
Weitere Informationen zum Einrichten einer Richtlinie für bedingten Zugriff finden Sie in diesem Artikel.
Microsoft 365-Clients unterstützen kontinuierliche Zugriffsauswertung
Mit der kontinuierlichen Zugriffsauswertung aktivierte Clients für Microsoft 365 unterstützen eine Anspruchsabfrage, bei der es sich um eine Umleitung einer Benutzersitzung zur erneuten Authentifizierung handelt, wenn ein zwischengespeichertes Benutzertoken von einem kontinuierlichen mit der Zugriffsauswertung aktivierten Microsoft 365-Dienst abgelehnt wird.
Die folgenden Clients unterstützen die kontinuierliche Zugriffsauswertung im Web, Win32, iOS, Android und Mac:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* Anspruchsabfrage wird in Office für Web nicht unterstützt.
Für Clients, die keine kontinuierliche Zugriffsauswertung unterstützen, bleibt die Lebensdauer des Zugriffstokens für Microsoft 365 standardmäßig eine Stunde bestehen.