通用連續存取評估 (預覽)
通用持續存取評估 (CAE) 是 Global Secure Access (GSA) 的平臺功能,可與 Microsoft Entra 識別碼搭配運作,以確保每次建立新應用程式資源的連線時,都會驗證 GSA 邊緣的存取權。 通用 CAE 可保護 GSA 存取令牌免於遭竊和重新執行。 每當 Entra ID 偵測到身分識別的變更時,通用 CAE 會以近乎即時的方式撤銷和重新驗證網路存取。 傳統 Entra ID CAE 需要每個工作負載採用特殊連結庫,且僅限於第一方應用程式。 通用 CAE 會將 CAE 的優點延伸到使用全域安全存取存取的任何應用程式,而不需要讓應用程式知道 CAE。
通用 CAE 的優點
以下是當 Entra ID 偵測到身分識別變更並近乎即時觸發 CAE 時,通用 CAE 如何為您的組織帶來好處的一些範例:
- Private Access - 使用者透過遠端桌面、檔伺服器存取,以及存取受 Private Access 保護的所有私人資源會中斷,降低離職員工或惡意內部活動外泄數據的風險。
- 因特網存取 - 使用者存取所有因特網資源,包括可能會保存公司數據的服務,例如非Microsoft檔案共用服務和公司共同作業工具,會中斷,降低離職員工數據外泄的風險。
- Microsoft服務 - 雖然許多 Microsoft 服務 已經原生使用 CAE,但有些應用程式沒有。 透過通用 CAE,無論應用程式的 CAE 感知為何,使用者對Microsoft應用程式的存取都會中斷。
- 您可以要求使用者在特定網路上,才能使用 GSA 連線到服務,以防止在初始通道驗證之後移至不同的網路。 在此案例中,當使用者變更網路時,會重新驗證透過 GSA 的網路存取,並重新評估以位置為基礎的條件式存取原則。
- 選擇性的嚴格強制模式,設定在條件式存取中,可防止 GSA 存取令牌的令牌遭竊/重新執行。 如果令牌重新執行嘗試與驗證期間所使用的原始IP位址不同,則會封鎖網路存取。
運作方式
全域安全存取依賴 Entra ID 存取令牌向服務通道進行驗證(Microsoft流量、因特網存取和私人存取流量轉送配置檔)。 存取令牌的有效時間介於 60 到 90 分鐘之間。 存取令牌到期之前,GSA 用戶端會使用 Entra ID 重新整理令牌來取得新的存取令牌。
根據 OAuth2 規格,存取令牌會有效到過期為止。 例如,當您停用使用者帳戶時,Entra ID 會立即失效重新整理令牌,但 GSA 存取令牌最多需要 90 分鐘後才到期。
使用通用 CAE 時,使用者身分識別的變更會近乎即時地傳達給全域安全存取。 即使存取令牌仍然有效,全域安全存取仍會將特殊的宣告挑戰傳回給終端使用者,要求使用者重新驗證。 如果使用者無法完成 Entra ID 驗證挑戰,則會封鎖透過 GSA 的網路存取。 通用 CAE 可縮短 Entra ID 帳戶狀態變更與要求使用者重新驗證之間的時間範圍,降低離職員工外泄數據的風險。
Microsoft觸發通用 CAE 重新驗證的 Entra 標識碼訊號
全域安全存取可針對下列事件,以近乎即時的方式接收來自 Entra ID 的訊號:
- 使用者帳戶已刪除或停用
- 使用者的密碼已變更或重設
- 已針對使用者啟用多重要素驗證
- 系統管理員會明確撤銷使用者的所有重新整理權杖
- Microsoft Entra ID Protection 偵測到的高使用者風險
收到安全性事件時,Global Secure Access 用戶端會提示使用者重新驗證。 如果重新驗證成功,則會還原使用者對受全域安全存取保護之資源的網路連線。
嚴格強制模式
使用嚴格強制執行模式時,如果條件式存取原則不允許資源提供者偵測到的IP位址,通用CAE會立即停止存取。 此選項是 CAE 位置強制執行的最高安全模式,而且要求系統管理員瞭解其網路環境中驗證和存取要求的路由。 啟用嚴格強制執行時,只有在使用者從貴組織授權的IP位址範圍連線到GSA服務時,才能存取全域安全存取服務。
停用通用 CAE
Entra ID 條件式存取可用來控制租使用者中的 CAE 行為。 根據預設,CAE 會針對支援 CAE 的所有應用程式開啟。 您可以在 Entra ID 租使用者中停用 CAE,這會停用所有服務的 CAE,包括全域安全存取。 若要在您的租使用者中停用 CAE,請遵循條件式存取檔中的步驟
注意
除非條件式存取中啟用選擇性的 Strict Enforcement 模式並套用至 GSA 工作負載身分識別,否則通用 CAE 是機會主義的。 根據預設,支援的全域安全存取客戶端會嘗試從 Entra ID 取得 CAE 存取令牌。 如果無法從 Entra ID 取得 CAE 令牌(例如,由於不支援的用戶端版本),則會發出一般存取令牌。 使用後援行為時,您不需要停用通用 CAE。
已知的限制
這項功能有一或多個已知的限制。 如需此功能已知問題和限制的詳細資訊,請參閱 全域安全存取的已知限制。