Ciągła weryfikacja dostępu
Wygaśnięcie i odświeżanie tokenów to standardowy mechanizm w branży. Gdy aplikacja kliencka, na przykład Outlook, łączy się z usługą, np. Exchange Online, żądania interfejsu API są autoryzowane przy użyciu tokenów dostępu OAuth 2.0. Domyślnie tokeny dostępu są ważne przez jedną godzinę, gdy wygasa klient jest przekierowywany do firmy Microsoft Entra, aby je odświeżyć. Ten okres odświeżania umożliwia ponowne oceny zasad dostępu użytkowników. Na przykład: możemy nie odświeżyć tokenu z powodu zasad dostępu warunkowego lub użytkownik jest wyłączony w katalogu.
Klienci wyrażają obawy dotyczące opóźnienia między zmianą warunków użytkownika i wymuszania zmian zasad. Microsoft eksperymentowało z podejściem 'tępego narzędzia' w przypadku ograniczonych okresów istnienia tokenów, ale stwierdziło, że obniżają one doświadczenia użytkownika i niezawodność bez eliminowania ryzyka.
Terminowa odpowiedź na naruszenia zasad lub problemy z zabezpieczeniami naprawdę wymaga "konwersacji" między wystawcą tokenu Microsoft Entra a stroną polegającą (oświeconą aplikacją). Ta dwukierunkowa rozmowa daje nam dwie ważne możliwości. Strona zaufana może zobaczyć, kiedy zmieniają się takie właściwości jak lokalizacja sieciowa, i informuje wystawcę tokenu. Daje on również wystawcy tokenów sposób, aby poinformować jednostkę uzależnioną o zaprzestaniu przestrzegania tokenów dla danego użytkownika z powodu naruszenia zabezpieczeń konta, wyłączenia lub innych problemów. Mechanizmem tej konwersacji jest ciągła ocena dostępu (CAE), standard branżowy oparty na profilu oceny ciągłego dostępu o otwartym identyfikatorze (CAEP). Celem oceny zdarzeń krytycznych jest reagowanie w niemal rzeczywistym czasie, jednak mogą wystąpić opóźnienia do 15 minut z powodu czasu propagacji zdarzeń; natomiast wymuszanie zasad lokalizacji IP jest natychmiastowe.
Początkowa implementacja ciągłej weryfikacji dostępu obejmuje przede wszystkim usługi Exchange, Teams i SharePoint Online.
Aby przygotować aplikacje do korzystania ze środowiska CAE, zobacz How to use Continuous Access Evaluation enabled APIs in your applications (Jak używać interfejsów API z włączoną ciągłą oceną dostępu w aplikacjach).
Główne korzyści
- Kończenie działania użytkownika lub zmiana hasła/resetowanie: odwołanie sesji użytkownika jest wymuszane niemal w czasie rzeczywistym.
- Zmiana lokalizacji sieciowej: zasady lokalizacji dostępu warunkowego są wymuszane niemal w czasie rzeczywistym.
- Eksportowanie tokenu do maszyny spoza zaufanej sieci może być blokowane przy użyciu zasad lokalizacji dostępu warunkowego.
Scenariusze
Istnieją dwa scenariusze, które składają się na ciągłą ocenę dostępu, ocenę zdarzeń krytycznych i ocenę zasad dostępu warunkowego.
Ocena zdarzeń krytycznych
Ciągła ocena dostępu jest implementowana poprzez umożliwienie serwisom takim jak Exchange Online, SharePoint Online i Teams, aby subskrybować krytyczne zdarzenia firmy Microsoft Entra. Te zdarzenia można następnie ocenić i wymusić niemal w czasie rzeczywistym. Ocena zdarzeń krytycznych nie opiera się na zasadach dostępu warunkowego, więc jest dostępna w każdej dzierżawie. Obecnie oceniane są następujące zdarzenia:
- Konto użytkownika zostało usunięte lub wyłączone
- Hasło użytkownika zostało zmienione lub zresetowane
- Uwierzytelnianie wieloskładnikowe jest włączone dla użytkownika
- Administrator jawnie odwołuje wszystkie tokeny odświeżania dla użytkownika
- Wysokie ryzyko użytkownika wykryte przez Ochrona tożsamości Microsoft Entra
Ten proces umożliwia scenariusz, w którym użytkownicy tracą dostęp do organizacyjnych plików usługi SharePoint Online, poczty e-mail, kalendarza lub zadań oraz aplikacji klienckich usługi Teams z aplikacji klienckich platformy Microsoft 365 w ciągu kilku minut po krytycznym zdarzeniu.
Uwaga
Usługa SharePoint Online nie obsługuje zdarzeń o podwyższonym ryzyku użytkownika.
Ocena zasad dostępu warunkowego
Usługi Exchange Online, SharePoint Online, Teams i MS Graph mogą synchronizować kluczowe zasady dostępu warunkowego do oceny w ramach samej usługi.
Ten proces umożliwia scenariusz, w którym użytkownicy utracą dostęp do plików, poczty e-mail, kalendarza lub zadań z aplikacji klienckich platformy Microsoft 365 lub usługi SharePoint Online natychmiast po zmianie lokalizacji sieciowej.
Uwaga
Nie wszystkie kombinacje aplikacji klienckiej i dostawcy zasobów są obsługiwane. Zobacz poniższe tabele. Pierwsza kolumna tej tabeli odnosi się do aplikacji internetowych uruchomionych za pośrednictwem przeglądarki internetowej (czyli programu PowerPoint uruchomionego w przeglądarce internetowej), podczas gdy pozostałe cztery kolumny odnoszą się do aplikacji natywnych działających na każdej opisanej platformie. Ponadto odwołania do pakietu "Office" obejmują programy Word, Excel i PowerPoint.
| Outlook w sieci Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Obsługiwane | Wspierane | Obsługiwane | Obsługiwane | Wspierane |
| Exchange Online | Obsługiwane | Obsługiwane | Obsługiwane | Obsługiwane | Obsługiwane |
| Aplikacje internetowe pakietu Office | Aplikacje Office dla platformy Win32 | Pakiet Office dla systemu iOS | Office dla systemu Android | Office dla komputerów Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Nieobsługiwane * | Obsługiwane | Obsługiwane | Obsługiwane | Obsługiwane |
| Exchange Online | Nieobsługiwany | Obsługiwane | Obsługiwane | Obsługiwane | Wspierane |
| OneDrive w sieci | OneDrive Win32 | OneDrive dla systemu iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Obsługiwane | Nieobsługiwane | Wspierane | Obsługiwane | Nieobsługiwane |
| Wersja internetowa Teams | Teams Win32 | Aplikacja Teams na iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Usługa Teams | Częściowo wspierane | Częściowo obsługiwane | Częściowo wspierany | Częściowo obsługiwane | Częściowo obsługiwane |
| SharePoint Online | Częściowo obsługiwane | Częściowo obsługiwane | Częściowo obsługiwane | Częściowo obsługiwane | Częściowo wspierane |
| Exchange Online | Częściowo obsługiwany | Częściowo obsługiwane | Częściowo obsługiwane | Częściowo wspierane | Częściowo wspierane |
* Okresy istnienia tokenu dla aplikacji internetowych pakietu Office są zmniejszane do 1 godziny, gdy ustawiono zasady dostępu warunkowego.
Uwaga
Usługa Teams składa się z wielu usług, a między nimi połączenia i usługi czatów nie są zgodne z zasadami dostępu warunkowego opartego na protokole IP.
Ciągła ocena dostępu jest również dostępna w dzierżawach platformy Azure Government (GCC High i DOD) dla usługi Exchange Online.
Możliwości klienta
Wyzwanie roszczenia po stronie klienta
Przed wprowadzeniem ciągłej oceny dostępu klienci powtarzali token dostępu z pamięci podręcznej, o ile nie wygasł. W przypadku środowiska CAE wprowadzamy nowy przypadek, w którym dostawca zasobów może odrzucić token, gdy nie wygasł. Aby poinformować klientów o konieczności obejścia pamięci podręcznej, mimo że buforowane tokeny nie wygasły, wprowadzamy mechanizm nazywany wyzwaniem roszczenia, wskazujący, że token został odrzucony i nowy token dostępu musi zostać wydany przez Microsoft Entra. CAE wymaga aktualizacji klienta, aby zrozumieć wyzwanie związane z roszczeniami. Najnowsze wersje następujących aplikacji obsługują weryfikację roszczeń.
| Internet | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Obsługiwane | Obsługiwane | Wspierane | Obsługiwane | Wspierane |
| Teams | Obsługiwane | Obsługiwane | Obsługiwane | Obsługiwane | Wspierane |
| Office | Nieobsługiwane | Obsługiwane | Obsługiwane | Obsługiwane | Wspierane |
| OneDrive | Wspierane | Obsługiwane | Obsługiwane | Wspierane | Obsługiwane |
Okres istnienia tokenu
Ponieważ ryzyko i zasady są oceniane w czasie rzeczywistym, klienci, którzy negocjują sesje z ciągłą oceną dostępu, nie korzystają już z zasad okresu istnienia tokenu dostępu statycznego. Ta zmiana oznacza, że konfigurowalna polityka czasu życia tokenu nie jest przestrzegana dla klientów negocjujących sesje obsługujące CAE.
Okres istnienia tokenu zwiększa się do długotrwałych, do 28 godzin, w sesjach CAE. Zdarzenia krytyczne i ewaluacja polityki napędzają uchylenie, a nie tylko dowolny okres czasu. Ta zmiana zwiększa stabilność aplikacji bez wpływu na stan zabezpieczeń.
Jeśli nie używasz klientów kompatybilnych z CAE, domyślny czas ważności tokenu dostępu pozostanie 1 godziny. Wartość domyślna zmienia się tylko w przypadku skonfigurowania okresu istnienia tokenu dostępu za pomocą funkcji konfigurowalnego okresu istnienia tokenu (CTL) w wersji zapoznawczej.
Przykładowe diagramy przepływu
Przepływ zdarzeń odwołania użytkownika
- Klient obsługujący Kontynuacyjną Ewaluację Dostępu (CAE) przedstawia poświadczenia lub token odświeżania firmie Microsoft Entra z prośbą o token dostępu do zasobu.
- Token dostępu jest zwracany wraz z innymi artefaktami do klienta.
- Administrator jawnie odwołuje wszystkie tokeny odświeżania dla użytkownika, a następnie zdarzenie odwołania jest wysyłane do dostawcy zasobów z firmy Microsoft Entra.
- Token dostępu jest przedstawiany dostawcy zasobów. Dostawca zasobów ocenia ważność tokenu i sprawdza, czy istnieje jakiekolwiek wydarzenie unieważnienia dla użytkownika. Dostawca zasobów używa tych informacji do podjęcia decyzji o udzieleniu dostępu do zasobu.
- W takim przypadku dostawca zasobów odmawia dostępu i wysyła wezwanie do uwierzytelnienia 401+ z powrotem do klienta.
- Klient zgodny z CAE rozumie wyzwanie związane z roszczeniem 401+. Omija pamięci podręczne i wraca do kroku 1, wysyłając token odświeżania wraz z wyzwaniem dotyczącym roszczenia z powrotem do Microsoft Entra. Firma Microsoft Entra następnie ponownie waliduje wszystkie warunki i monituje użytkownika o ponowne uwierzytelnienie w tym przypadku.
Proces zmiany stanu użytkownika
W poniższym przykładzie administrator dostępu warunkowego skonfigurował zasady dostępu warunkowego oparte na lokalizacji, aby zezwalać na dostęp tylko z określonych zakresów adresów IP:
- Klient obsługujący CAS przedstawia poświadczenia lub token odświeżania do Microsoft Entra, prosząc o token dostępu do określonych zasobów.
- Firma Microsoft Entra ocenia wszystkie zasady dostępu warunkowego, aby sprawdzić, czy użytkownik i klient spełniają warunki.
- Token dostępu jest zwracany wraz z innymi artefaktami do klienta.
- Użytkownik przenosi się z dozwolonego zakresu adresów IP.
- Klient przedstawia token dostępu do dostawcy zasobów spoza dozwolonego zakresu adresów IP.
- Dostawca zasobów ocenia ważność tokenu i sprawdza zasady lokalizacji zsynchronizowane z firmą Microsoft Entra.
- W takim przypadku dostawca zasobów odmawia dostępu i wysyła klientowi wyzwanie do weryfikacji uprawnień wraz z kodem 401. Klient jest kwestionowany, ponieważ nie pochodzi z dozwolonego zakresu adresów IP.
- Klient obsługujący CAE rozumie wyzwanie roszczenia 401+. Pomija pamięć podręczną i wraca do kroku 1, wysyłając token odświeżania wraz z wyzwaniem związanym z oświadczeniem do Microsoft Entra. Firma Microsoft Entra ponownie ocenia wszystkie warunki i odmawia dostępu w tym przypadku.
Wyjątek dla odmian adresów IP i sposób wyłączania wyjątku
W kroku 8 powyżej, gdy firma Microsoft Entra ponownie ocenia warunki, odmawia dostępu, ponieważ nowa lokalizacja wykryta przez firmę Microsoft Entra znajduje się poza dozwolonym zakresem adresów IP. Nie zawsze tak jest. Ze względu na niektóre złożone topologie sieciowe, żądanie uwierzytelniania może pochodzić z dozwolonego, wyjściowego adresu IP, nawet jeśli żądanie dostępu odbierane przez dostawcę zasobów pochodziło z adresu IP, który nie jest dozwolony. W tych warunkach firma Microsoft Entra interpretuje, że klient nadal znajduje się w dozwolonej lokalizacji i powinien otrzymać dostęp. W związku z tym firma Microsoft Entra wystawia jednogodzinny token, który zawiesza sprawdzanie adresów IP w zasobie do momentu wygaśnięcia tokenu. Firma Microsoft Entra nadal wymusza sprawdzanie adresów IP.
Jeśli wysyłasz ruch do zasobów innych niż Platforma Microsoft 365 za pośrednictwem globalnego bezpiecznego dostępu, dostawcy zasobów nie wiedzą o źródłowym adresie IP użytkownika, ponieważ przywracanie źródłowego adresu IP nie jest obecnie obsługiwane dla tych zasobów. W takim przypadku, jeśli użytkownik znajduje się w zaufanej lokalizacji IP (jak widać w firmie Microsoft Entra), firma Microsoft Entra wystawia jednogodzinny token, który zawiesza sprawdzanie adresów IP w zasobie do momentu wygaśnięcia tokenu. Firma Microsoft Entra nadal wymusza prawidłowe sprawdzanie adresów IP dla tych zasobów.
Tryb standardowy kontra tryb restrykcyjny. Udzielenie dostępu w ramach tego wyjątku (tj. dozwolona lokalizacja wykryta między identyfikatorem Entra firmy Microsoft z niedozwoloną lokalizacją wykrytą przez dostawcę zasobów) chroni produktywność użytkowników przez utrzymanie dostępu do krytycznych zasobów. Jest to standardowe egzekwowanie lokalizacji. Z drugiej strony administratorzy, którzy działają w stabilnych topologiach sieci i chcą usunąć ten wyjątek, mogą używać Ścisłego Wymuszania Lokalizacji (Publiczna Wersja Zapoznawcza).
Włącz lub wyłącz CAE
Ustawienie CAE przeniesiono do dostępu warunkowego. Nowi klienci CAE mogą uzyskiwać dostęp do CAE i włączać/wyłączać je bezpośrednio podczas tworzenia zasad dostępu warunkowego. Jednak niektórzy istniejący klienci muszą przejść migrację, zanim będą mogli uzyskać dostęp do CAE przez dostęp warunkowy.
Migracja
Klienci, którzy wcześniej skonfigurowali ustawienia CAE w obszarze Zabezpieczenia, muszą przenieść te ustawienia do nowej polityki dostępu warunkowego.
W poniższej tabeli opisano doświadczenie migracji poszczególnych grup klientów na podstawie wcześniej skonfigurowanych ustawień CAE.
| Istniejące ustawienia podmiotu urzędu certyfikacji | Czy wymagana jest migracja | Automatyczne włączanie dla CAE | Oczekiwane doświadczenie migracji |
|---|---|---|---|
| Nowi najemcy, którzy nie skonfigurowali niczego w starym doświadczeniu. | Nie. | Tak | Stare ustawienie CAE jest ukryte, biorąc pod uwagę, że ci klienci prawdopodobnie nie widzieli środowiska przed ogólną dostępnością. |
| Dzierżawy, które jawnie włączyły obsługę wszystkich użytkowników ze starym środowiskiem. | Nie. | Tak | Stare ustawienie CAE jest wyszarzone. Klienci, którzy jawnie włączyli to ustawienie dla wszystkich użytkowników, nie muszą migrować. |
| Dzierżawcy, którzy wyraźnie włączyli niektórych użytkowników w swoich dzierżawach z poprzednim doświadczeniem. | Tak | Nie. | Stare ustawienia CAE są wyszarzone. Kliknięcie opcji 'Migruj' powoduje uruchomienie nowego kreatora zasad dostępu warunkowego, który obejmuje wszystkich użytkowników, z wyłączeniem użytkowników i grup skopiowanych z CAE. Ustawia również nową opcję Konfiguruj ocenę ciągłego dostępu dla kontroli sesji na Wyłączone. |
| Dzierżawy, które wyraźnie wyłączyły wersję zapoznawczą. | Tak | Nie. | Stare ustawienia CAE są wyszarzone. Kliknięcie Migrowanie powoduje uruchomienie nowego kreatora zasad dostępu warunkowego, który obejmuje wszystkich użytkowników i ustawia nową opcję Dostosuj ciągłą ocenę dostępu kontroli sesji na Wyłączone. |
Więcej informacji na temat ciągłej oceny dostępu jako kontroli sesji można znaleźć w sekcji Dostosowywanie oceny ciągłego dostępu.
Ograniczenia
"Członkostwo w grupie i czas, od którego aktualizacja zasad zaczyna obowiązywać"
Zmiany wprowadzone w zasadach dostępu warunkowego i członkostwie w grupach wprowadzone przez administratorów mogą potrwać do jednego dnia. Opóźnienie wynika z replikacji między Microsoft Entra a dostawcami zasobów, takimi jak Exchange Online i SharePoint Online. Niektóre optymalizacje zostały wykonane w przypadku aktualizacji zasad, co zmniejsza opóźnienie do dwóch godzin. Nie obejmuje to jednak wszystkich scenariuszy.
Gdy zasady dostępu warunkowego lub zmiany członkostwa w grupach muszą zostać zastosowane natychmiast do niektórych użytkowników, masz dwie opcje.
- Uruchom polecenie revoke-mgusersign programu PowerShell, aby odwołać wszystkie tokeny odświeżania określonego użytkownika.
- Wybierz pozycję "Odwołaj sesję" na stronie profilu użytkownika, aby odwołać sesję użytkownika, aby upewnić się, że zaktualizowane zasady są stosowane natychmiast.
Zmiana adresów IP i sieci z dzielonymi adresami IP lub nieznanymi adresami IP wychodzącymi
Nowoczesne sieci często optymalizują łączność i ścieżki sieciowe dla aplikacji inaczej. Ta optymalizacja często powoduje zmiany w routingu i adresach IP źródła połączeń, jak zauważono przez dostawcę tożsamości i dostawców zasobów. Możesz zauważyć rozdzielenie ścieżki lub wariację adresu IP w wielu topologiach sieci, w tym, ale nie ograniczając się do:
- Lokalne i oparte na chmurze serwery proxy.
- Implementacje wirtualnej sieci prywatnej (VPN), takie jak dzielone tunelowanie.
- Wdrożenia sieci rozległej zdefiniowanej programowo (SD-WAN).
- Topologie sieci wychodzącej ze zrównoważonym obciążeniem lub nadmiarowym ruchu wychodzącego, takie jak te korzystające z protokołu SNAT.
- Wdrożenia oddziałów, które umożliwiają bezpośrednią łączność z Internetem dla określonych aplikacji.
- Sieci obsługujące klientów IPv6.
- Inne topologie, które obsługują ruch aplikacji lub zasobów inaczej niż ruch do dostawcy tożsamości.
Oprócz odmian adresów IP klienci mogą również korzystać z rozwiązań sieciowych i usług, które:
- Użyj adresów IP, które mogą być udostępniane innym klientom. Na przykład usługi serwera proxy oparte na chmurze, w których adresy IP ruchu wychodzącego są współużytkowane przez klientów.
- Używaj łatwo zróżnicowanych lub niezdefiniowanych adresów IP. Na przykład topologie, w których są używane duże, dynamiczne zestawy adresów IP ruchu wychodzącego, takie jak scenariusze dużych przedsiębiorstw lub podzielone sieci VPN i lokalny ruch wychodzący w sieci.
Sieci, w których adresy IP ruchu wychodzącego mogą się często zmieniać lub są współużytkowane, mogą wpływać na warunkowy dostęp Microsoft Entra oraz ciągłą ocenę dostępu (CAE). Ta zmienność może mieć wpływ na sposób działania tych funkcji i ich zalecane konfiguracje. Tunelowanie podzielone może również spowodować nieoczekiwane bloki, gdy środowisko jest skonfigurowane przy użyciu najlepszych rozwiązań sieci VPN z tunelowaniem podzielonym. Adresy IP zoptymalizowane pod kątem routingu za pośrednictwem zaufanego adresu IP/sieci VPN mogą być wymagane, aby zapobiec zablokowaniu bloków związanych z insufficient_claims lub natychmiastowego sprawdzania wymuszania adresów IP nie powiodło się.
W poniższej tabeli przedstawiono podsumowanie zachowań funkcji dostępu warunkowego i funkcji CAE oraz zaleceń dotyczących różnych typów wdrożeń sieci i dostawców zasobów (RP):
| Typ sieci | Przykład | Adresy IP widoczne przez firmę Microsoft Entra | Adresy IP widoczne przez RP | Zastosowana konfiguracja dostępu warunkowego (zaufana nazwana lokalizacja) | Egzekwowanie CAE | Token dostępu CAE | Zalecenia |
|---|---|---|---|---|---|---|---|
| 1. Adresy IP ruchu wychodzącego są dedykowane i wyliczane zarówno dla ruchu firmy Microsoft Entra, jak i całego ruchu RP | Cały ruch sieciowy do Microsoft Entra i RPs wychodzi przez adresy IP 1.1.1.1 i/lub 2.2.2.2. | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Zdarzenia krytyczne Zmiany lokalizacji adresów IP |
Długie życie – do 28 godzin | Jeśli zdefiniowano nazwane lokalizacje dostępu warunkowego, upewnij się, że zawierają one wszystkie możliwe adresy IP ruchu wychodzącego (widoczne przez Microsoft Entra i wszystkie RP) |
| 2. Adresy IP wychodzące są dedykowane i wyliczane dla Microsoft Entra, ale nie dla ruchu RP | Ruch sieciowy do Microsoft Entra opuszcza sieć przez adres 1.1.1.1. Ruch rp wychodzący przez x.x.x.x.x | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Zdarzenia krytyczne | Domyślny okres istnienia tokenu dostępu — 1 godzina | Nie należy dodawać niededykowanych lub niewyliczalnych adresów IP ruchu wychodzącego (x.x.x.x) do reguł dostępu warunkowego zaufanej nazwanej lokalizacji, ponieważ może to osłabić zabezpieczenia. |
| 3. Adresy IP ruchu wychodzącego nie są dedykowane ani współdzielone, ani nie można ich zliczać zarówno dla ruchu Microsoft Entra, jak i RP. | Ruch sieciowy do Microsoft Entra wychodzi przez y.y.y.y. Ruch RP wychodzi przez x.x.x.x. | y.y.y.y | x.x.x.x | Nie skonfigurowano żadnych zasad dostępu warunkowego ip/zaufanych lokalizacji | Zdarzenia krytyczne | Długie życie – do 28 godzin | Nie dodawaj niededykowanych ani niewyszukiwalnych adresów IP (x.x.x.x/y.y.y.y) do reguł dostępu warunkowego zaufanej nazwanej lokalizacji, ponieważ może to osłabić zabezpieczenia. |
Sieci i usługi sieciowe używane przez klientów łączących się z dostawcami tożsamości i zasobów nadal ewoluują i zmieniają się w odpowiedzi na nowoczesne trendy. Te zmiany mogą mieć wpływ na konfiguracje dostępu warunkowego i caE, które opierają się na podstawowych adresach IP. Podczas podejmowania decyzji o tych konfiguracjach należy uwzględnić przyszłe zmiany w technologii i utrzymanie zdefiniowanej listy adresów w planie.
Obsługiwane zasady lokalizacji
Funkcja CAE ma wgląd tylko w lokalizacje nazwane oparte na adresach IP. Usługa CAE nie ma wglądu w inne warunki dotyczące lokalizacji, takie jak zaufane adresy IP w ramach MFA lub lokalizacje na podstawie kraju/regionu. Jeśli użytkownik pochodzi z zaufanego adresu IP usługi MFA, z lokalizacji zaufanej obejmującej zaufane adresy IP usługi MFA, lub z lokalizacji w kraju/regionie objętym zabezpieczeniami MFA, usługa CAE nie będzie wymuszana po tym, jak użytkownik przeniesie się do innej lokalizacji. W takich przypadkach firma Microsoft Entra wystawia jednogodzinny token dostępu bez natychmiastowego sprawdzania egzekwowania adresów IP.
Ważne
Jeśli zasady lokalizacji mają być wymuszane w czasie rzeczywistym przez ciągłą ocenę dostępu, użyj tylko warunku lokalizacji dostępu warunkowego opartego na adresach IP i skonfiguruj wszystkie adresy IP, w tym zarówno IPv4, jak i IPv6, które mogą być widoczne przez dostawcę tożsamości i dostawcę zasobów. Nie używaj warunków lokalizacji kraju/regionu ani funkcji zaufanych adresów IP dostępnych na stronie ustawień usługi uwierzytelniania wieloskładnikowego firmy Microsoft.
Ograniczenia lokalizacji nazwanych
Gdy suma wszystkich zakresów adresów IP określonych w zasadach lokalizacji przekracza 5000, funkcja CAE nie może w czasie rzeczywistym egzekwować przepływu zmiany lokalizacji użytkownika. W takim przypadku firma Microsoft Entra wystawia jednogodzinny token CAE. Usługa CAE nadal egzekwuje wszystkie inne zdarzenia i polityki oprócz zdarzeń zmiany lokalizacji klienta. Dzięki tej zmianie nadal utrzymujesz silniejszy stan zabezpieczeń w porównaniu z tradycyjnymi tokenami jednogodzinnymi, ponieważ inne zdarzenia są nadal oceniane w czasie zbliżonym do rzeczywistego.
Ustawienia Menedżera kont pakietu Office i sieci Web
| Kanał aktualizacji pakietu Office | DisableADALatopWAMOverride | Wyłącz AADWAM |
|---|---|---|
| Półroczny kanał przedsiębiorstwa | Jeśli ustawienie ma wartość włączone lub 1, funkcja CAE nie jest obsługiwana. | Jeśli ustawienie ma wartość włączone lub 1, funkcja CAE nie jest obsługiwana. |
| Bieżący kanał lub Miesięczny kanał przedsiębiorstwa |
CaE jest obsługiwane niezależnie od ustawienia | CaE jest obsługiwane niezależnie od ustawienia |
Aby uzyskać wyjaśnienie kanałów aktualizacji pakietu Office, zobacz Omówienie kanałów aktualizacji dla Aplikacje Microsoft 365. Zaleca się, aby organizacje nie wyłączały Menedżera kont sieci Web (WAM).
Współtworzenie w aplikacjach pakietu Office
Gdy wielu użytkowników współpracuje nad dokumentem jednocześnie, CAE może nie cofnąć dostępu do dokumentu natychmiast w oparciu o zdarzenia związane ze zmianą zasad. W takim przypadku użytkownik utraci dostęp całkowicie po:
- Zamykanie dokumentu
- Zamykanie aplikacji pakietu Office
- Po 1 godzinie ustawienia zasad adresu IP dostępu warunkowego
Aby jeszcze bardziej skrócić ten czas, administrator programu SharePoint może zmniejszyć maksymalny okres istnienia sesji współtworzenia dla dokumentów przechowywanych w usługach SharePoint Online i Microsoft OneDrive, konfigurując zasady lokalizacji sieciowej. Po zmianie tej konfiguracji maksymalny czas trwania sesji współtworzenia zostaje zmniejszony do 15 minut i można go dalej dostosować za pomocą polecenia SharePoint Online PowerShell Set-SPOTenant –IPAddressWACTokenLifetime.
Włącz po wyłączeniu użytkownika
Jeśli włączysz użytkownika bezpośrednio po wyłączeniu, istnieje pewne opóźnienie, zanim konto zostanie rozpoznane jako włączone w powiązanych usługach firmy Microsoft.
- Usługi SharePoint Online i Teams zwykle mają 15-minutowe opóźnienie.
- Usługa Exchange Online zwykle ma opóźnienie 35–40 minut.
Powiadomienia push
Zasady adresów IP nie są oceniane przed wysłaniem powiadomień push. Ten scenariusz istnieje, ponieważ powiadomienia push są wychodzące i nie mają przypisanego adresu IP do oceny. Jeśli użytkownik wybierze to powiadomienie push, na przykład dotyczące wiadomości e-mail w programie Outlook, zasady adresów IP CAE są nadal egzekwowane przed wyświetleniem wiadomości e-mail. Powiadomienia push wyświetlają podgląd wiadomości, który nie jest chroniony przez politykę adresów IP. Wszystkie inne kontrole CAE są wykonywane przed wysłaniem powiadomienia push. Jeśli użytkownik lub urządzenie ma usunięty dostęp, egzekwowanie następuje w udokumentowanym okresie.
Użytkownicy-goście
Usługa CAE nie obsługuje kont użytkowników-gości. Zdarzenia odwołania CAE i zasady warunkowego dostępu oparte na adresach IP nie są wymuszane natychmiastowo.
CaE i częstotliwość logowania
Częstotliwość logowania jest respektowana zarówno z CAE, jak i bez niego.