Utvärdering av universell kontinuerlig åtkomst (förhandsversion)
Universal Continuous Access Evaluation (CAE) är en plattformsfunktion i Global Secure Access (GSA) som fungerar tillsammans med Microsoft Entra ID för att säkerställa att åtkomsten till GSA-gränsen verifieras varje gång en anslutning till en ny programresurs upprättas. Universal CAE skyddar GSA-åtkomsttoken från stöld och återuppspelning. Universell CAE återkallar och omvalidar nätverksåtkomst nästan i realtid när Entra-ID identifierar ändringar i identiteten. Traditionell Entra ID CAE kräver att varje arbetsbelastning använder särskilda bibliotek och är begränsad till program från första part. Universal CAE utökar fördelarna med CAE till alla program som nås med global säker åtkomst, utan att programmet behöver vara CAE-medvetet.
Fördelar med Universell CAE
Här är några exempel på hur Universell CAE gynnar din organisation när Entra-ID identifierar en identitetsändring och utlöser CAE nästan i realtid:
- Privat åtkomst – användarens session via Fjärrskrivbord, åtkomst till filservrar och åtkomst till alla privata resurser som skyddas av privat åtkomst avbryts, vilket minskar risken för dataexfiltrering av en avgående anställd eller skadlig insideraktivitet.
- Internetåtkomst – användarens åtkomst till alla Internetresurser, inklusive tjänster som kan innehålla företagsdata, till exempel fildelningstjänster från andra länder än Microsoft och verktyg för företagssamarbete avbryts, vilket minskar risken för dataexfiltrering av en avgående anställd.
- Microsoft Services – även om många Microsoft-tjänster redan använder CAE internt finns det vissa program som inte gör det. Med Universal CAE avbryts användarens åtkomst till Microsoft-program, oavsett programmets medvetenhet om CAE.
- Du kan kräva att användarna är i specifika nätverk innan de tillåts ansluta till tjänster med GSA, vilket förhindrar att de flyttas till ett annat nätverk även efter den första tunnelautentiseringen. I det här scenariot, när användaren ändrar nätverk, omautentiseras nätverksåtkomst via GSA och platsbaserade principer för villkorsstyrd åtkomst omvärderas.
- Valfritt strikt tvingande läge, konfigurerat i villkorlig åtkomst, skyddar mot tokenstöld/omspelning av GSA-åtkomsttoken. Om återspelningen av token görs från en annan IP-adress än den ursprungliga IP-adressen som användes under autentiseringen blockeras nätverksåtkomsten.
Hur det fungerar
Global säker åtkomst förlitar sig på Entra ID-åtkomsttoken för att autentisera till tjänsttunnlarna (Microsoft-trafik, Internetåtkomst och profiler för vidarebefordran av privat åtkomsttrafik). Åtkomsttoken är giltiga mellan 60 och 90 minuter. Innan åtkomsttoken upphör att gälla använder GSA-klienten Entra ID-uppdateringstoken för att hämta en ny åtkomsttoken.
Enligt OAuth2-specifikationen är åtkomsttoken giltiga tills de har upphört att gälla. När du till exempel inaktiverar ett användarkonto ogiltigförklarar Entra-ID uppdateringstoken omedelbart, men det tar upp till 90 minuter innan GSA-åtkomsttoken upphör att gälla.
Med Universal CAE förmedlas ändringar av användaridentiteten till global säker åtkomst nästan i realtid. Även om åtkomsttoken fortfarande är giltig skickar Global Secure Access en särskild anspråksutmaning tillbaka till slutanvändaren, vilket kräver att användaren autentiserar igen. Om användaren inte kan slutföra Entra ID-autentiseringsutmaningen blockeras nätverksåtkomsten via GSA. Universell CAE förkortar tidsfönstret mellan ändring av kontotillstånd för Entra-ID och kräver att användaren autentiserar igen, vilket minskar risken för dataexfiltrering av en avgående anställd.
Microsoft Entra-ID-signaler som utlöser universell CAE-autentisering
Global säker åtkomst är aktiverad för att ta emot signaler från Entra-ID nästan i realtid för följande händelser:
- Användarkontot har tagits bort eller inaktiverats
- Lösenord för en användare ändras eller återställs
- Multifaktorautentisering är aktiverat för användaren
- Administratören återkallar uttryckligen alla uppdateringstoken för en användare
- Hög användarrisk identifierad av Microsoft Entra ID Protection
När du tar emot säkerhetshändelsen uppmanar Global Secure Access-klienten användaren att autentisera igen. Om omautentiseringen lyckas återställs användarens nätverksanslutning till resurser som skyddas av global säker åtkomst.
Strikt tvingande läge
Med strikt tvingande läge stoppar Universal CAE omedelbart åtkomsten om DEN IP-adress som identifierats av resursprovidern inte tillåts av principen för villkorsstyrd åtkomst. Det här alternativet är den högsta säkerhetsmodaliteten för CAE-platstillämpning och kräver att administratörerna förstår routningen av autentiserings- och åtkomstbegäranden i nätverksmiljön. När strikt tillämpning är aktiverat är åtkomst till de globala tjänsterna för säker åtkomst endast möjlig när användarna ansluter till GSA-tjänsten från IP-adressintervall som godkänts av din organisation.
Inaktivera universell CAE
Villkorlig åtkomst för Entra-ID kan användas för att styra CAE-beteendet i klientorganisationen. Som standard är CAE aktiverat för alla program som stöder det. Du kan inaktivera CAE i din Entra ID-klientorganisation, vilket inaktiverar CAE för alla tjänster, inklusive global säker åtkomst. Om du vill inaktivera CAE i klientorganisationen följer du stegen i dokumentationen för villkorsstyrd åtkomst
Kommentar
Universell CAE är opportunistisk om inte det valfria läget strikt verkställighet är aktiverat i villkorlig åtkomst och tillämpas på GSA-arbetsbelastningsidentiteterna. Som standard försöker globala säkra åtkomstklienter som stöds hämta en CAE-åtkomsttoken från Entra-ID. Om CAE-token inte kan hämtas från Entra-ID (till exempel på grund av klientversionen som inte stöds) utfärdas en vanlig åtkomsttoken. Med återställningsbeteendet bör du inte behöva inaktivera Universell CAE.
Kända begränsningar
Den här funktionen har en eller flera kända begränsningar. Mer detaljerad information om kända problem och begränsningar för den här funktionen finns i Kända begränsningar för global säker åtkomst.