Løbende adgangsevaluering for Microsoft 365
Moderne cloudtjenester, der bruger OAuth 2.0 til godkendelse, er traditionelt afhængige af udløb af adgangstoken for at tilbagekalde en brugerkontos adgang. I praksis betyder det, at selvom en administrator tilbagekalder en brugerkontos adgang, har brugeren stadig adgang, indtil adgangstokenet udløber, hvilket for Microsoft 365 som standard var op til en time efter, at den første tilbagekaldelseshændelse fandt sted.
Løbende adgangsevaluering for Microsoft 365 og Microsoft Entra ID afbryder proaktivt aktive brugersessioner og gennemtvinger ændringer af lejerpolitik i næsten realtid i stedet for at være afhængig af udløb af adgangstoken. Microsoft Entra ID underretter Microsoft 365-tjenester, der er aktiveret til evaluering af løbende adgang (f.eks. SharePoint, Teams og Exchange), når brugerkontoen eller lejeren er ændret på en måde, der kræver evaluering af brugerkontoens godkendelsestilstand.
Når en klient med mulighed for løbende evaluering af adgang, f.eks. Outlook, forsøger at få adgang til Exchange med et eksisterende adgangstoken, afvises tokenet af tjenesten og beder om en ny Microsoft Entra godkendelse. Resultatet er næsten i realtid håndhævelse af brugerkonto og politikændringer.
Her er nogle yderligere fordele:
For en ondsindet insider, der kopierer og eksporterer et gyldigt adgangstoken uden for din organisation, forhindrer kontinuerlig adgangsevaluering, at dette token bruges via Microsoft Entra politik for PLACERING af IP-adresse. Med løbende evaluering af adgang synkroniserer Microsoft Entra ID politikker ned til understøttede Microsoft 365-tjenester, så når et adgangstoken forsøger at få adgang til tjenesten uden for IP-adresseområdet i politikken, afviser tjenesten tokenet.
Løbende adgangsevaluering forbedrer robustheden ved at kræve færre tokenopdateringer. Da understøttende tjenester modtager proaktive meddelelser om, at der kræves godkendelse igen, kan Microsoft Entra ID udstede længerevarende tokens, f.eks. mere end én time. Med længerevarende tokens behøver klienter ikke at anmode om en tokenopdatering fra Microsoft Entra ID så ofte, så brugeroplevelsen er mere robust.
Her er nogle eksempler på situationer, hvor løbende adgangsevaluering forbedrer sikkerheden for brugeradgangskontrol:
Adgangskoden til en brugerkonto er blevet kompromitteret, så en administrator annullerer alle eksisterende sessioner og nulstiller deres adgangskode fra Microsoft 365 Administration. I næsten realtid er alle eksisterende brugersessioner med Microsoft 365-tjenester ugyldige.
En bruger, der arbejder på et dokument i Word tager sin tablet med til en offentlig café, der ikke er inden for et administratordefineret og godkendt IP-adresseinterval. På kaffebaren blokeres brugerens adgang til dokumentet med det samme.
For Microsoft 365 understøttes løbende adgangsevaluering i øjeblikket af:
- Exchange-, SharePoint- og Teams-tjenester.
- Outlook, Teams, Office og OneDrive i en webbrowser og til Win32-, iOS-, Android- og Mac-klienter.
Microsoft arbejder på yderligere Microsoft 365-tjenester og -klienter for at understøtte løbende evaluering af adgang.
Løbende adgangsevaluering inkluderes i alle versioner af Office 365 og Microsoft 365. Konfiguration af politikker for betinget adgang kræver Microsoft Entra ID P1, som er inkluderet i alle Microsoft 365-versioner.
Bemærk!
I denne artikel kan du se begrænsningerne i forbindelse med løbende adgangsevaluering.
Scenarier, der understøttes af Microsoft 365
Løbende adgangsevaluering understøtter to typer hændelser:
- Kritiske hændelser er dem, hvor en bruger bør miste adgang.
- Evaluering af politik for betinget adgang sker, når en bruger mister adgang til en ressource, der er baseret på en administratordefineret politik.
Kritiske hændelser omfatter:
- Brugerkontoen er deaktiveret
- Adgangskoden er ændret
- Brugersessioner tilbagekaldes
- Multifaktorgodkendelse er aktiveret for brugeren
- Kontorisikoen steg på baggrund af evalueringen af adgangen fra Microsoft Entra ID-beskyttelse
Evaluering af politik for betinget adgang sker, når brugerkontoen ikke længere opretter forbindelse fra et netværk, der er tillid til.
Følgende Microsoft 365-tjenester understøtter i øjeblikket løbende evaluering af adgang ved at lytte til hændelser fra Microsoft Entra ID.
| Håndhævelsestype | Exchange | SharePoint | Teams |
|---|---|---|---|
| Kritiske hændelser: | |||
| Brugertilbagekaldelse | Understøttes | Understøttes | Understøttes |
| Brugerrisiko | Understøttes | Understøttes ikke | Understøttes |
| Evaluering af politik for betinget adgang: | |||
| Politik for placering af IP-adresse | Understøttes | Understøttes* | Understøttes** |
* SharePoint Office-webbrowseradgang understøtter øjeblikkelig håndhævelse af IP-politikker ved at aktivere streng tilstand. Uden streng tilstand er levetiden for adgangstoken 1 time.
** Opkald, møder og chat i Teams er ikke i overensstemmelse med IP-baserede politikker for betinget adgang.
Du kan få flere oplysninger om, hvordan du konfigurerer en politik for betinget adgang, i denne artikel.
Microsoft 365-klienter, der understøtter løbende adgangsevaluering
Kontinuert adgangsevalueringsaktiverede klienter til Microsoft 365 understøtter en kravudfordring, som er en omdirigering af en brugersession til Microsoft Entra ID til godkendelse, når et cachelagret brugertoken afvises af en microsoft 365-tjeneste med løbende adgangsevaluering.
Følgende klienter understøtter løbende evaluering af adgang på internettet, Win32, iOS, Android og Mac:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* Kravudfordring understøttes ikke på Office til web.
For klienter, der ikke understøtter løbende adgangsevaluering, forbliver levetiden for adgangstokenet til Microsoft 365 som standard som én time.
Se også
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om