连续访问评估（预览）

[本文为预发布文档，可能会发生变化。]

OAuth 2.0 身份验证传统上依赖于访问令牌过期来撤销用户对现代云服务的访问权限。 访问权限被终止的用户仍然有权访问资源，直到访问令牌到期—对于 Power Platform，默认只要一小时。 但是，通过连续访问评估，Power Platform 服务（如 Dataverse）会持续评估用户的关键事件和网络位置变化。 它们会主动终止活动用户会话，或要求重新进行身份验证，并近乎实时地强制执行租户策略更改，而不是等待访问令牌过期。

重要提示

预览功能不适合生产使用且功能可能受限。 这些功能在正式发布之前推出，以便客户可以提前使用并提供反馈。

关键优势

将连续访问评估集成到您的 Power Platform 解决方案将提供几个重要益处。

• 缓解内部人员和数据泄露威胁：员工可以导出有效的访问令牌并重放它，以便从组织外部访问云服务。 通过连续访问评估，您可以强制执行 IP 位置策略，并近乎实时地监视用户关键事件，以缓解外部访问和数据外泄的风险。

• 使 Power Platform 服务更具弹性：通过持续访问评估，客户端可以获得长期有效的令牌。 更少的令牌刷新可以改进服务的整体复原能力。

• 防止未经授权访问 Power Platform 服务：当用户帐户密码泄露时， Microsoft Entra 管理员可以近乎实时地重置或禁用该帐户，以防止未经授权访问 Power Platform 服务。

• 近乎实时地删除用户访问权限：由于安全威胁、终止雇佣关系、违反策略或法律要求，组织有义务立即删除用户的访问权限。 通过连续访问评估，Microsoft Entra 管理员可以立即禁用用户帐户，并近乎实时地撤销对组织资源的访问权限。

限制

对于 Power Platform，仅 Dataverse 支持连续访问评估。 Microsoft 正在努力为其他 Power Platform 服务和客户端添加支持。

了解连续访问评估的其他限制。

支持事件

连续访问评估支持两种类型的事件：

• 用户关键事件 是与用户对云资源的访问相关的事件：

  • 用户帐户被禁用或删除。
  • 密码被更改或重置。
  • 用户会话被撤销。
  • 为用户启用多重身份验证。

• 当用户根据管理员定义的策略失去对资源的访问权限时（例如，当用户不再从允许的 IP 位置进行连接时），将进行条件访问策略 评估。

支持的 Power Platform 客户端

启用了连续访问评估的 Power Platform 客户端支持声明质询。 声明质询是指当启用连续访问评估的服务（如 Dataverse ID）拒绝缓存的用户令牌时，将用户会话重定向到 Microsoft Entra 进行重新身份验证。 Dynamics 365 Sales、Customer Service、Field Service、Marketing 和 Project Service Automation 支持连续访问评估声明，未来计划将更多客户加入。

对于不支持连续访问评估的客户端，访问令牌生命周期与配置的相同或设置为默认值。

要在您的 Power Platform Dataverse 环境中启用连续访问评估，请联系您的 Microsoft 联系人或 Microsoft 支持人员。