通过使用连续访问评估来构建复原能力
利用连续访问评估 (CAE),Microsoft Entra 应用程序可以订阅严重事件,然后,这些事件可以被评估,并且相应的措施可以被强制执行。 CAE 包括对以下事件进行评估:
- 用户帐户已删除或禁用
- 用户的密码已更改
- 为用户启用了 MFA
- 管理员显式撤销令牌
- 检测到用户风险提升
因此,应用程序可以根据 Microsoft Entra ID 为其发出信号的事件来拒绝尚未过期的令牌,如下图中所示。
CAE 如何提供帮助?
CAE 机制允许 Microsoft Entra ID 颁发生存期较长的令牌,同时使应用程序能够只在需要时才撤销访问权限并强制重新进行身份验证。 此模式的最终结果是减少了用于获取令牌的调用,这就意味着端到端流会更具复原能力。
若要使用 CAE,服务和客户端必须都支持 CAE。 Microsoft 365 服务(如 Exchange Online、Teams 和 SharePoint Online)支持 CAE。 在客户端,使用这些 Office 365 服务的基于浏览器的体验(例如 Outlook Web 应用)和 Office 365 本机客户端的特定版本支持 CAE。 更多的 Microsoft 云服务将会支持 CAE。
Microsoft 正在与业界合作构建标准,这些标准将允许第三方应用程序使用 CAE 功能。 你也可以开发支持 CAE 的应用程序。 有关支持 CAE 的应用程序开发的详细信息,请参阅如何在应用程序中构建复原能力。
如何实现 CAE?
- 更新代码以使用支持 CAE 的 API。
- 在 Microsoft Entra 安全配置中启用 CAE。
- 请确保你的组织使用的是 Microsoft Office 本机应用程序的兼容版本。
- 优化重新验证的提示。