Valutazione continua dell'accesso
La scadenza e l'aggiornamento dei token sono un meccanismo standard del settore. Quando un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso sono validi per un'ora, quando scadono il client viene reindirizzato a Microsoft Entra per aggiornarli. Tale periodo di aggiornamento offre la possibilità di rivalutare i criteri per l'accesso degli utenti. Ad esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o perché l'utente è disabilitato nella directory.
I clienti evidenziano il problema del ritardo tra il momento in cui vengono modificate le condizioni per un utente e il momento in cui vengono applicate le modifiche ai criteri. Microsoft ha sperimentato l'approccio mitigato riducendo la durata dei token, ma ha scoperto che questo peggiora l'esperienza dell'utente e riduce l'affidabilità senza eliminare i rischi.
Una risposta tempestiva alle violazioni dei criteri o ai problemi di sicurezza richiede effettivamente una "conversazione" tra l'autorità emittente di token Microsoft Entra e la parte affidataria (app avanzata). Questa conversazione bidirezionale offre due importanti funzionalità. La relying party può vedere quando le proprietà cambiano, ad esempio il percorso di rete, e comunicarlo all'emittente del token. Inoltre offre all'emittente del token un modo per indicare alla parte affidataria di smettere di accettare i token per un determinato utente a causa di una compromissione o disabilitazione dell'account o di altri problemi. Il meccanismo per questa conversazione è la valutazione continua dell'accesso, uno standard di settore basato su Profilo di Valutazione continua dell'accesso di Open ID. L'obiettivo per la valutazione critica degli eventi è ottenere una risposta quasi in tempo reale, ma la latenza di un massimo di 15 minuti potrebbe essere osservata a causa del tempo di propagazione degli eventi. Tuttavia, l'applicazione dei criteri delle posizioni IP è immediata.
L'implementazione iniziale della valutazione continua dell'accesso è incentrata su Exchange, Teams e SharePoint Online.
Per preparare le applicazioni per l'uso della Valutazione continua dell'accesso, vedere Come usare le API abilitate per la valutazione continua dell'accesso nelle applicazioni.
Vantaggi chiave
- Chiusura utente o modifica/reimpostazione della password: la revoca della sessione utente viene applicata quasi in tempo reale.
- Modifica dell'ubicazione di rete: le politiche di ubicazione di accesso condizionale vengono applicate quasi in tempo reale.
- L'esportazione di token verso un computer al di fuori di una rete attendibile può essere impedita con le politiche di accesso condizionale basate sulla posizione.
Scenari
Esistono due scenari che costituiscono la valutazione continua dell'accesso, la valutazione critica degli eventi e la valutazione dei criteri di accesso condizionale.
Valutazione degli eventi critici
La valutazione dell'accesso continuo viene implementata abilitando i servizi, ad esempio Exchange Online, SharePoint Online e Teams, per sottoscrivere eventi critici di Microsoft Entra. Tali eventi possono quindi essere valutati e applicati quasi in tempo reale. La valutazione degli eventi critici non si basa sui criteri di accesso condizionale, quindi è disponibile in qualsiasi tenant. Gli eventi seguenti vengono attualmente valutati:
- L'account utente viene eliminato o disabilitato
- La password per un utente viene modificata o reimpostata
- L'autenticazione a più fattori è abilitata per l'utente
- L'amministratore revoca esplicitamente tutti i token di aggiornamento per un utente
- Rischio utente elevato rilevato da Microsoft Entra ID Protection
Questo processo abilita lo scenario in cui gli utenti perdono l'accesso ai file di SharePoint Online dell'organizzazione, alla posta elettronica, al calendario o alle attività e a Teams dalle app client di Microsoft 365 entro pochi minuti da un evento critico.
Nota
SharePoint Online non supporta gli eventi di rischio utente.
Valutazione dei criteri di accesso condizionale
Exchange Online, SharePoint Online, Teams e MS Graph possono sincronizzare i criteri di accesso condizionale chiave per la valutazione all'interno del servizio stesso.
Questo processo abilita lo scenario in cui gli utenti perdono l'accesso a file, posta elettronica, calendario o attività da app client di Microsoft 365 o SharePoint Online immediatamente dopo la modifica del percorso di rete.
Nota
Non tutte le combinazioni di app client e provider di risorse sono supportate. Vedere le tabelle seguenti. La prima colonna di questa tabella si riferisce alle applicazioni Web avviate tramite Web browser (ovvero PowerPoint avviato nel Web browser), mentre le altre quattro colonne fanno riferimento alle applicazioni native in esecuzione in ogni piattaforma descritta. Inoltre, i riferimenti a "Office" includono Word, Excel e PowerPoint.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Supportato | Supportato | Supportato | Supportato | Supportato |
| Exchange Online | Supportato | Supportato | Supportata | Supportato | Supportato |
| App Web di Office | App Win32 di Office | Office per iOS | Office per Android | Office per Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Non supportato * | Supportato | Supportata | Supportato | Supportato |
| Exchange Online | Non supportato | Supportato | Supportato | Supportato | Supportata |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Supportato | Non supportato | Supportato | Supportata | Non supportato |
| Teams web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Servizio Teams | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato |
| SharePoint Online | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato |
| Exchange Online | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato | Parzialmente supportato |
* La durata dei token per le app Web di Office viene ridotta a 1 ora quando viene impostato un criterio di accesso condizionale.
Nota
Teams è costituito da più servizi e tra questi i servizi di chiamata e chat non rispettano i criteri di accesso condizionale basato su IP.
La valutazione continua dell'accesso è disponibile anche nei tenant di Azure per enti pubblici (GCC High e DOD) per Exchange Online.
Funzionalità del client
Richiesta di attestazione lato client
Prima della valutazione continua dell'accesso, i client eseguivano la riproduzione del token di accesso dalla cache purché non fosse scaduto. Con CAE, introduciamo un nuovo caso in cui un provider di risorse può rifiutare un token quando non è scaduto. Per informare i client di ignorare la cache anche se i token memorizzati nella cache non sono scaduti, viene presentato un meccanismo denominato richiesta di attestazione per indicare che il token è stato rifiutato e che è necessario rilasciare un nuovo token di accesso da Microsoft Entra. CAE richiede un aggiornamento del client per interpretare la sfida di attestazione. Le versioni più recenti delle applicazioni seguenti supportano la gestione dei reclami:
| Web | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Supportato | Supportata | Supportato | Supportato | Supportato |
| Teams | Supportato | Supportato | Supportato | Supportato | Supportato |
| Office | Non supportato | Supportata | Supportato | Supportato | Supportato |
| OneDrive | Supportato | Supportato/a | Supportato | Supportata | Supportato |
Durata dei token
Poiché i rischi e i criteri vengono valutati in tempo reale, i client che negoziano sessioni con riconoscimento della valutazione continua dell'accesso non si basano più sui criteri di durata dei token di accesso statici. Questo cambiamento significa che il criterio di durata dei token configurabili non viene rispettato per i client che negoziano sessioni CAE-aware.
La durata dei token si estende fino a diventare di lunga durata, fino a 28 ore, nelle sessioni di CAE (Valutazione continua dell'accesso). Gli eventi critici e la valutazione dei criteri portano alla revoca, non solo a un periodo di tempo arbitrario. Questo cambiamento aumenta la stabilità delle applicazioni senza influire sulla postura di sicurezza.
Se non si utilizzano client compatibili con CAE, la durata predefinita del token di accesso rimane di 1 ora. L'impostazione predefinita cambia solo se è stata configurata la durata del token di accesso con la funzionalità di anteprima Durata configurabile del token.
Diagrammi di flusso di esempio
Flusso dell'evento di revoca dell'utente
- Un client in grado di utilizzare CAE presenta le credenziali o un token di aggiornamento a Microsoft Entra chiedendo un token di accesso per una risorsa.
- Un token di accesso viene restituito insieme ad altri artefatti al client.
- Un amministratore revoca tutti i token di aggiornamento per l'utente in modo esplicito, quindi un evento di revoca viene inviato al provider di risorse da Microsoft Entra.
- Viene presentato un token di accesso al provider di risorse. Il provider di risorse valuta la validità del token e verifica se è presente un evento di revoca per l'utente. Il provider di risorse usa queste informazioni per decidere di concedere o meno l'accesso alla risorsa.
- In questo caso, il provider di risorse nega l'accesso e invia una richiesta di attestazione 401+ al client.
- Il client abilitato per CAE comprende la sfida di autenticazione 401+. Questo ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione a Microsoft Entra. Microsoft Entra quindi rivaluta tutte le condizioni e chiede all'utente di eseguire di nuovo l'autenticazione in questo caso.
Flusso di modifica della condizione utente
Nell'esempio seguente, un Amministratore dell'accesso condizionale ha configurato un criterio di accesso condizionale basato sulla posizione per consentire l'accesso solo da intervalli IP specifici:
- Un client compatibile con CAE presenta le credenziali o un token di aggiornamento a Microsoft Entra chiedendo un token di accesso per una risorsa.
- Microsoft Entra valuta tutti i criteri di accesso condizionale per verificare se l'utente e il client soddisfano le condizioni.
- Un token di accesso viene restituito insieme ad altri artefatti al client.
- L'utente esce da un intervallo IP consentito.
- Il client presenta un token di accesso al provider di risorse dall'esterno di un intervallo IP consentito.
- Il provider di risorse valuta la validità del token e controlla i criteri di posizione sincronizzati da Microsoft Entra.
- In questo caso, il provider di risorse nega l'accesso e invia una richiesta di attestazione 401+ al client. Il client incontra un problema perché non proviene da un intervallo IP autorizzato.
- Il client abilitato per CAE comprende la sfida delle richieste 401+. Questo ignora le cache e torna al passaggio 1, inviando il token di aggiornamento insieme alla richiesta di attestazione a Microsoft Entra. Microsoft Entra rivaluta tutte le condizioni e nega l'accesso in questo caso.
Eccezione per le variazioni degli indirizzi IP e come disattivare l'eccezione
Nel passaggio 8 precedente, quando Microsoft Entra rivaluta le condizioni, nega l'accesso perché la nuova posizione rilevata da Microsoft Entra non rientra nell'intervallo IP consentito. Questo non avviene sempre. A causa di alcune topologie di rete complessa, la richiesta di autenticazione può arrivare da un indirizzo IP in uscita consentito anche dopo che la richiesta di accesso ricevuta dal provider di risorse è arrivata da un indirizzo IP non consentito. In questo caso, Microsoft Entra comprende che il client si trova ancora in una posizione consentita e deve concedere l'accesso. Pertanto, Microsoft Entra emette un token di un'ora che sospende i controlli degli indirizzi IP nella risorsa fino alla scadenza del token. Microsoft Entra continua ad applicare i controlli degli indirizzi IP.
Se si invia traffico a risorse non Microsoft 365 tramite Accesso sicuro globale, i provider di risorse non conoscono l'indirizzo IP di origine dell'utente perché il ripristino dell'IP di origine non è attualmente supportato per queste risorse. In questo caso, se l'utente si trova nella posizione IP attendibile (come visto con Microsoft Entra), Microsoft Entra emette un token di un'ora che sospende i controlli degli indirizzi IP nella risorsa fino alla scadenza del token. Microsoft Entra continua ad applicare correttamente i controlli degli indirizzi IP per queste risorse.
Modalità Standard vs. Modalità Rigida. La concessione dell'accesso in base a questa eccezione (ovvero, una posizione consentita rilevata in Microsoft Entra ID con il rilevamento di una posizione non consentita da parte del provider di risorse) protegge la produttività degli utenti mantenendo l'accesso alle risorse critiche. Questa è l'applicazione standard della localizzazione. D'altra parte, gli amministratori che operano in topologie di rete stabili e desiderano rimuovere questa eccezione possono usare l'Imposizione rigorosa della posizione (anteprima pubblica).
Abilitare o disabilitare CAE
L'impostazione CAE è stata spostata su Accesso condizionale. I nuovi clienti CAE possono accedere e attivare o disattivare CAE direttamente durante la creazione dei criteri di accesso condizionale. Tuttavia, alcuni clienti esistenti dovranno eseguire la migrazione prima di poter accedere a CAE tramite l'accesso condizionale.
Migrazione
I clienti che hanno configurato in precedenza le impostazioni di CAE sotto Sicurezza devono migrare le impostazioni a un nuovo criterio di accesso condizionale.
La tabella seguente descrive l'esperienza di migrazione di ciascun gruppo di clienti in base alle impostazioni di CAE precedentemente configurate.
| Impostazione CAE esistente | È necessaria la migrazione | Abilitazione automatica per CAE | Esperienza di migrazione prevista |
|---|---|---|---|
| Nuovi tenant che non hanno configurato alcun elemento nell'esperienza precedente. | No | Sì | L'impostazione precedente della Valutazione Continua dell'Accesso è nascosta poiché è probabile che questi clienti non abbiano mai visto l'esperienza prima della disponibilità generale. |
| Tenant abilitati in modo esplicito per tutti gli utenti con l'esperienza precedente. | No | Sì | L'impostazione CAE precedente è ombreggiata. Dato che questi clienti hanno abilitato esplicitamente questa impostazione per tutti gli utenti, non devono eseguire la migrazione. |
| I tenant che hanno abilitato in modo esplicito l'accesso a alcuni utenti nei loro tenant con l'esperienza precedente. | Sì | No | Le impostazioni di Valutazione continua dell'accesso precedenti sono disattivate. Facendo clic su Esegui migrazione viene avviata la creazione guidata dei nuovi criteri di accesso condizionale, che include tutti gli utenti, escludendo gli utenti e i gruppi copiati dalla Valutazione continua dell'accesso. Viene impostato anche il nuovo controllo di sessione Personalizza la valutazione continua dell'accesso su Disabilitato. |
| Tenant che hanno disabilitato esplicitamente le funzionalità di anteprima. | Sì | No | Le impostazioni di Valutazione continua dell'accesso precedenti sono disattivate. Facendo clic su Esegui migrazione viene avviata la nuova procedura guidata dei criteri di accesso condizionale, che include tutti gli utenti e imposta il nuovo controllo di sessione Personalizza la valutazione continua dell'accesso su Disabilitato. |
Altre informazioni sulla valutazione continua dell'accesso come controllo di sessione sono disponibili nella sezione Personalizzare la valutazione continua dell'accesso.
Limiti
Momento di entrata in vigore dell'appartenenza ai gruppi e dell'aggiornamento delle politiche
Le modifiche apportate ai criteri di accesso condizionale e all'appartenenza a gruppi da parte degli amministratori potrebbero richiedere fino a un giorno per essere effettive. Il ritardo è dovuto alla replica tra Microsoft Entra e i provider di risorse, ad esempio Exchange Online e SharePoint Online. Alcune ottimizzazioni sono state eseguite per gli aggiornamenti dei criteri, riducendo il ritardo a due ore. Tuttavia, questo non riguarda ancora tutti gli scenari.
Nel caso in cui a determinati utenti debbano essere immediatamente applicate modifiche inerenti ai criteri di accesso condizionale o all'appartenenza ai gruppi, sono disponibili due opzioni.
- Eseguire il comando revoke-mgusersign di PowerShell per revocare tutti i token di aggiornamento di un utente specifico.
- Selezionare "Revoca sessione" nella pagina del profilo utente per revocare la sessione dell'utente e assicurarsi che i criteri aggiornati vengano applicati immediatamente.
Variazione dell'indirizzo IP e reti con indirizzi IP condivisi o IP in uscita sconosciuti
Le reti moderne spesso ottimizzano la connettività e i percorsi di rete per le applicazioni in modo diverso. Questa ottimizzazione causa spesso variazioni del routing e degli indirizzi IP di origine delle connessioni, come rilevato dal tuo provider di identità e dai provider di risorse. È possibile osservare questa variazione dello split-path o dell'indirizzo IP in più topologie di rete, tra cui, a titolo esemplificativo:
- Proxy locali e basati sul cloud.
- Implementazioni della rete privata virtuale (VPN), ad esempio split tunneling.
- Distribuzioni di reti geografiche definite dal software (SD-WAN).
- Topologie di rete in uscita con bilanciamento del carico o ridondanti, ad esempio quelle che usano SNAT.
- Distribuzioni di succursali che consentono la connettività Internet diretta per applicazioni specifiche.
- Reti che supportano i client IPv6.
- Altre topologie, che gestiscono il traffico delle applicazioni o delle risorse in modo diverso dal traffico verso il provider di identità.
Oltre alle variazioni degli IP, i clienti possono anche usare soluzioni e servizi di rete che:
- Usano indirizzi IP che potrebbero essere condivisi con altri clienti. Ad esempio, i servizi di proxy basati sul cloud in cui gli indirizzi IP in uscita vengono condivisi tra i clienti.
- Usano indirizzi IP facilmente variabili o indefinibili. Ad esempio, le topologie in cui vengono utilizzati grandi set dinamici di indirizzi IP in uscita, come scenari aziendali di grandi dimensioni o *split VPN* e traffico di rete in uscita locale.
Le reti in cui gli indirizzi IP in uscita possono cambiare spesso o sono condivisi potrebbero influire sull'accesso condizionale di Microsoft Entra e sulla Valutazione continua dell'accesso. Questa variabilità può influire sul funzionamento di queste funzionalità e sulle relative configurazioni consigliate. Anche lo split tunneling può anche causare blocchi imprevisti quando un ambiente viene configurato usando le procedure consigliate per lo split tunneling della VPN. È possibile che sia necessario instradare indirizzi IP ottimizzati tramite un indirizzo IP o una VPN attendibile per impedire blocchi correlati a insufficient_claims o al mancato controllo immediato dell'imposizione dell'IP.
La tabella seguente riepiloga i comportamenti delle funzionalità di Accesso condizionale e Valutazione continua dell'accesso e contiene le raccomandazioni per diversi tipi di distribuzioni di rete e provider di risorse:
| Tipo di rete | Esempio | IP visualizzati con Microsoft Entra | Indirizzi IP visti dal provider di risorse | Configurazione dell'accesso condizionale applicabile (località denominata attendibile) | Implementazione della Valutazione continua dell'accesso | Token di accesso CAE | Consigli |
|---|---|---|---|---|---|---|---|
| 1. Gli indirizzi IP in uscita sono dedicati ed enumerabili sia per il traffico di Microsoft Entra che per tutto il traffico del provider RP | Tutto il traffico di rete verso Microsoft Entra e i provider di risorse esce attraverso 1.1.1.1 e/o 2.2.2.2. | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Eventi critici Modifiche alla posizione dell'IP |
Lunga durata: fino a 28 ore | Se vengono definite Località denominate di Accesso Condizionale, assicurarsi che contengano tutti i possibili indirizzi IP in uscita (visualizzati da Microsoft Entra e da tutti i provider RP) |
| 2. Gli indirizzi IP in uscita sono dedicati ed enumerabili per Microsoft Entra, ma non per il traffico dei Resource Provider. | Traffico di rete verso Microsoft Entra esce tramite 1.1.1.1. Traffico RP in uscita attraverso x.x.x.x | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Eventi critici | Durata predefinita del token di accesso: 1 ora | Non aggiungere indirizzi IP in uscita non dedicati o non enumerabili (x.x.x.x.x) nelle regole di accesso condizionale per località attendibili denominate perché possono indebolire la sicurezza |
| 3. Gli indirizzi IP in uscita non sono dedicati o condivisi, né enumerabili, sia per il traffico di Microsoft Entra che per quello RP. | Il traffico di rete verso Microsoft Entra esce attraverso y.y.y.y. Il traffico RP esce attraverso x.x.x.x. | y.y.y.y | x.x.x.x | N/A: non è configurato alcun criterio di accesso condizionale o località attendibile dell'IP | Eventi critici | Lunga durata: fino a 28 ore | Non aggiungere indirizzi IP in uscita non dedicati o non enumerabili (x.x.x.x/y.y.y.y) nelle regole di Accesso Condizionale delle Posizioni Attendibili perché possono indebolire la sicurezza. |
Le reti e i servizi di rete usati dai client che si connettono ai provider di identità e di risorse continuano a evolversi e a cambiare in risposta alle tendenze moderne. Queste modifiche potrebbero influire sulle configurazioni dell'accesso condizionale e della Valutazione continua dell'accesso che si basano sugli indirizzi IP sottostanti. Quando si definiscono queste configurazioni, tenere conto delle modifiche future alla tecnologia e della manutenzione dell'elenco di indirizzi definito nel piano.
Criteri di località supportati
La Valutazione continua dell'accesso ha informazioni dettagliate solo sulle posizioni denominate basate su IP. CAE non ha visibilità su altre condizioni relative alle località, come indirizzi IP attendibili MFA o località basate su paese/regione. Quando un utente proviene da un indirizzo IP attendibile MFA, una posizione attendibile che include indirizzi IP attendibili MFA o una località basata su paese/area geografica, la Valutazione continua dell'accesso non verrà applicata dopo essersi spostato in una località diversa. In questi casi, Microsoft Entra rilascia un token di accesso della durata di un'ora senza immediata verifica dell'applicazione dell'IP.
Importante
Se si desidera che i criteri di posizione vengano applicati in tempo reale dalla valutazione continua dell'accesso, usare solo la condizione della località dell'accesso condizionale basato su IP e configurare tutti gli indirizzi IP, inclusi IPv4 e IPv6, che possono essere visualizzati dal provider di identità e dal provider di risorse. Non usare le condizioni di località basate su paese/area geografica o la funzionalità degli IP attendibili disponibile nella pagina delle impostazioni del servizio di autenticazione a più fattori di Microsoft Entra.
Limitazioni relative alle località specificate
Quando la somma di tutti gli intervalli IP specificati nei criteri di posizione supera 5.000, la Valutazione continua dell'accesso non può applicare il flusso di modifica della posizione dell'utente in tempo reale. In questo caso, Microsoft Entra rilascia un token CAE (Valutazione continua dell'accesso) valido per un'ora. CAE continua ad applicare tutti gli altri eventi e politiche oltre agli eventi di modifica della posizione del client. Con questa modifica, si mantiene comunque una postura di sicurezza più forte rispetto ai token tradizionali di un'ora, poiché altri eventi vengono comunque valutati quasi in tempo reale.
Impostazioni di Office e del Gestore di Account Web
| Canale di aggiornamento di Office | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| Canale Enterprise semestrale | Se impostato su Abilitato o 1, CAE non è supportato. | Se impostato su Abilitato o 1, CAE non è supportata. |
| Canale attuale o Canale mensile Enterprise |
La Valutazione Continua dell'Accesso (CAE) è supportata qualunque sia l'impostazione. | CAE è supportato indipendentemente dall'ambiente |
Per una spiegazione relativa ai canali di aggiornamento di Office, vedere Panoramica dei canali di aggiornamento per Microsoft 365 Apps. La raccomandazione è che le organizzazioni non disabilitino Web Account Manager.
Collaborazione nelle app di Office
Quando più utenti collaborano contemporaneamente a un documento, CAE potrebbe non revocare immediatamente l'accesso al documento in base agli eventi di modifica delle politiche. In questo caso, l'utente perde completamente l'accesso dopo:
- La chiusura del documento
- La chiusura dell'app Office
- Dopo 1 ora dal momento in cui viene impostato un criterio IP di accesso condizionale
Per ridurre ulteriormente questo tempo, un amministratore di SharePoint può ridurre la durata massima delle sessioni di creazione condivisa per i documenti archiviati in SharePoint Online e Microsoft OneDrive configurando un criterio per i percorsi di rete. Una volta modificata questa configurazione, la durata massima delle sessioni di creazione condivisa viene ridotta a 15 minuti e può essere modificata ulteriormente usando il comando di PowerShell per SharePoint Online Set-SPOTenant –IPAddressWACTokenLifetime.
Abilitazione in seguito alla disabilitazione di un utente
Se si abilita un utente subito dopo la disabilitazione, si verifica una certa latenza prima che l'account venga riconosciuto come abilitato nei servizi Microsoft di downstream.
- SharePoint Online e Teams hanno in genere un ritardo di 15 minuti.
- Exchange Online ha in genere un ritardo di 35-40 minuti.
Notifiche push
I criteri relativi agli indirizzi IP non vengono valutati prima del rilascio delle notifiche push. Questo scenario esiste perché le notifiche push sono in uscita e non hanno un indirizzo IP associato da valutare. Se un utente seleziona tale notifica push, ad esempio un'e-mail in Outlook, i criteri degli indirizzi IP CAE vengono comunque applicati prima che l'e-mail possa essere visualizzata. Le notifiche push mostrano un'anteprima dei messaggi, che non è protetta da un criterio relativo all'indirizzo IP. Tutti gli altri controlli CAE vengono eseguiti prima che venga inviata la notifica push. Se l'accesso a un utente o un dispositivo viene rimosso, l'attuazione avviene entro il periodo documentato.
Utenti ospiti
CAE non supporta gli account utente ospite. Gli eventi di revoca del CAE e i criteri di accesso condizionale basati su IP non vengono applicati immediatamente.
Valutazione continua dell'accesso (CAE) e frequenza di accesso
La frequenza di accesso viene rispettata con o senza la Valutazione Continua dell'Accesso.