継続的アクセス評価を使用して回復性を強化する

継続的アクセス評価 (CAE) を使用すると、Microsoft Entra アプリケーションで重要なイベントをサブスクライブし、それらのイベントを評価して適用することができます。 CAE には次のイベントの評価が含まれます。

• ユーザーアカウントが削除または無効化された
• ユーザーのパスワードが変更された
• ユーザーに対して多要素認証が有効になった
• 管理者がトークンを明示的に取り消した
• 管理者特権のユーザー リスクが検出された

これにより、アプリケーションは Microsoft Entra ID から通知されたイベントに基づいて、期限が切れていないトークンを拒否できます (次の図を参照)。

CAE がもたらすメリット

CAE メカニズムにより、Microsoft Entra ID では有効期間の長いトークンを発行できるようになるほか、必要な場合にのみ、アプリケーションによってアクセスを取り消して再認証を強制できるようになります。 このパターンにより、最終的に、トークンを取得する呼び出しの数が減るため、エンド ツー エンドのフローの回復性が向上します。

CAE を使用するには、サービスとクライアントの両方が CAE に対応している必要があります。 Exchange Online、Teams、SharePoint Online などの Microsoft 365 サービスでは、CAE がサポートされています。 クライアント側では、これらの Office 365 サービス (Outlook Web App など) を使用するブラウザー ベースのエクスペリエンスと、特定バージョンの Office 365 ネイティブ クライアントが CAE に対応しています。 CAE 対応になる Microsoft クラウド サービスは、今後増える予定です。

Microsoft は業界と連携して、サードパーティのアプリケーションが CAE 機能を使用できるようにするための標準を作成しています。 CAE 対応のアプリケーションを開発することも可能です。 CAE に対応したアプリケーション開発の詳細については、アプリケーションで回復性を強化する方法に関するページを参照してください。

CAE を実装する方法

• CAE 対応 API を使用するようにコードを更新します。
• Microsoft Entra のセキュリティ構成で CAE を有効にします。
• 組織で使用されている Microsoft Office ネイティブ アプリケーションが互換性のあるバージョンであることを確認します。
• 再認証プロンプトを最適化します。

次のステップ

管理者とアーキテクト向けの回復性に関するリソース

• 資格情報管理を使用して回復性を強化する
• デバイスの状態を使用して回復性を強化する
• 外部ユーザー認証の回復性を強化する
• ハイブリッド認証で回復性を強化する
• アプリケーション プロキシを使用したアプリケーション アクセスで回復性を強化する

開発者向けの回復性に関するリソース

• アプリケーションで IAM の回復性を強化する
• CIAM システムで回復性を強化する