継続的アクセス評価
トークンの有効期限と更新は、業界の標準メカニズムです。 Outlook などのクライアント アプリケーションが Exchange Online などのサービスに接続する場合、API 要求は OAuth 2.0 アクセス トークンを使用して承認されます。 既定では、アクセス トークンは 1 時間有効です。有効期限が切れると、クライアントは Azure AD にリダイレクトされて、トークンは更新されます。 この更新期間によって、ユーザー アクセスのポリシーを再評価する機会を得られます。 たとえば、条件付きアクセス ポリシーのため、またはディレクトリでユーザーが無効になったために、トークンを更新しないことを選択する場合があります。
ユーザーの状態が変化したタイミングと、ポリシーの変更を適用できるタイミングの間のラグについて、お客様の懸念がありました。 Azure AD では、トークンの有効期間を短縮した "ブラント オブジェクト" アプローチを用いて実験を行いましたが、この場合、リスクがなくならずにユーザー エクスペリエンスと信頼性が低下する可能性があります。
ポリシー違反やセキュリティの問題にタイムリーに対応するには、トークン発行元 (Azure AD) と証明書利用者 (対応のアプリ) の間で "対話" を行う必要があります。 この双方向の対話では、2 つの重要な機能が提供されます。 証明書利用者は、ネットワークの場所など、プロパティがいつ変更したかを確認し、トークンの発行者に通知できます。 また、アカウントの侵害、無効化、またはその他の懸念事項のために、特定のユーザーのトークンへの信用を停止するよう証明書利用者に指示する方法が、トークン発行元に提供されます。 この対話のメカニズムは、継続的アクセス評価 (CAE) と呼ばれます。 重大なイベントの評価の目標は、応答をほぼリアルタイムにすることですが、イベントの伝搬時間のために最大 15 分の遅延が発生する可能性があります。ただし、IP の場所のポリシーは即時に適用されます。
継続的アクセス評価の初期実装では、Exchange、Teams、SharePoint Online に重点を置いています。
CAE を使用するようにアプリケーションを準備する方法については、「継続的アクセス評価が有効になった API をアプリケーションで使用する方法」を参照してください。
現在、継続的アクセス評価は、Azure Government GCC High テナントでは使用できません。
主な利点
- ユーザーの終了またはパスワードの変更/リセット: ユーザー セッションの失効がほぼリアルタイムで適用されます。
- ネットワークの場所の変更: 条件付きアクセスの場所のポリシーがほぼリアルタイムで適用されます。
- 条件付きアクセスの場所のポリシーにより、信頼されたネットワークの外部にあるコンピュータへのトークンのエクスポートを防止できます。
シナリオ
継続的アクセス評価のシナリオには、重大なイベントの評価、条件付きアクセス ポリシーの評価の 2 つがあります。
重大なイベントの評価
継続的アクセス評価は、サービス (Exchange Online、SharePoint Online、Teams など) が Azure AD の重大なイベントにサブスクライブできるようにすることで実装されます。 この場合、これらのイベントをほぼリアルタイムで評価および適用できます。 重大なイベントの評価は、条件付きアクセス ポリシーに依存しないため、任意のテナントで使用できます。 現在、次のイベントが評価されます。
- ユーザーアカウントが削除または無効化された
- ユーザーのパスワードが変更またはリセットされた
- ユーザーに対して多要素認証が有効化された
- 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
- Azure AD Identity Protection によって高いユーザー リスクが検出された
このプロセスにより、重大なイベントが発生してから数分以内に、Microsoft 365 クライアント アプリから組織の SharePoint Online ファイル、電子メール、予定表、タスク、および Teams にアクセスできなくなるというシナリオが可能になります。
Note
Teams と SharePoint Online では、ユーザー リスク イベントはサポートされていません。
条件付きアクセス ポリシーの評価
Exchange Online、SharePoint Online、Teams、MS Graph は、重要な条件付きアクセス ポリシーを、サービス自体内で評価するために同期できます。
このプロセスにより、ネットワークの場所が変更された場合はただちに、Microsoft 365 クライアント アプリまたは SharePoint Online から組織のファイル、電子メール、予定表、タスクにアクセスできなくなるというシナリオが可能になります。
Note
クライアント アプリとリソース プロバイダーのすべての組み合わせがサポートされているわけではありません。 後述の表を参照してください。 この表の最初の列は、Web ブラウザーを介して起動された Web アプリケーション (つまり、Web ブラウザーで起動された PowerPoint) を表し、残りの 4 つの列は、説明されている各プラットフォームで実行されているネイティブ アプリケーションを表します。 さらに、"Office" への参照には、Word、Excel、PowerPoint が含まれます。
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | サポートされています | サポートされています | サポートされています | サポートされています | サポートされています |
| Exchange Online | サポートされています | サポートされています | サポートされています | サポートされています | サポートされています |
| Office Web アプリ | Office Win32 アプリ | Office for iOS | Office for Android | Office for Mac | |
|---|---|---|---|---|---|
| SharePoint Online | サポートされていません * | サポートされています | サポートされています | サポートされています | サポートされています |
| Exchange Online | サポートされていません | サポートされています | サポートされています | サポートされています | サポートされています |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | サポートされています | サポートされていません | サポートされています | サポートされています | サポートされていません |
| Teams Web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Teams サービス | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 |
| SharePoint Online | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 |
| Exchange Online | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 | 部分的にサポートされています。 |
* 条件付きアクセス ポリシーが設定されている場合、Office Web アプリのトークン有効期間は 1 時間に短縮されます。
クライアント機能
クライアント側の要求チャレンジ
継続的アクセス評価を行う前に、クライアントは、期限切れになっていない限り、常にキャッシュからアクセス トークンを再生します。 CAE では、リソース プロバイダーが期限切れになっていない場合に、トークンを拒否できる新しいケースが導入されています。 キャッシュされたトークンの有効期限が切れていない場合でも、クライアントにキャッシュをバイパスするように通知するために、要求チャレンジと呼ばれるメカニズムが導入されました。これは、トークンが拒否されたため、Azure AD から新しいアクセス トークンの発行を受ける必要があることを示します。 CAE で要求チャレンジを認識するには、クライアントの更新が必要です。 次のアプリケーションの最新バージョンで、要求チャレンジがサポートされています。
| Web | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | サポートされています | サポートされています | サポートされています | サポートされています | サポートされています |
| Teams | サポートされています | サポートされています | サポートされています | サポートされています | サポートされています |
| Office | サポートされていません | サポートされています | サポートされています | サポートされています | サポートされています |
| OneDrive | サポートされています | サポートされています | サポートされています | サポートされています | サポートされています |
トークンの有効期間
リスクとポリシーはリアルタイムで評価されるため、継続的アクセス評価に対応するセッションをネゴシエートするクライアントは、静的アクセス トークンの有効期間ポリシーには依存しなくなります。 この変更により、CAE 対応のセッションをネゴシエートするクライアントでは、構成可能なトークンの有効期間ポリシーが受け入れられなくなります。
CAE セッションでは、トークンの有効期間は最大 28 時間まで延長されます。 失効するかどうかは、任意の期間だけでなく、重大なイベントとポリシーの評価によって決まります。 この変更により、セキュリティ体制に影響を与えることなく、アプリケーションの安定性が向上します。
CAE 対応クライアントを使用していない場合、既定のアクセス トークンの有効期間は 1 時間のままです。 この既定値は、構成可能なトークンの有効期間 (CTL) プレビュー機能を使用して、アクセス トークンの有効期間を構成した場合にのみ変更されます。
フロー図の例
ユーザー失効イベントのフロー
- CAE 対応のクライアントが、Azure AD に対して資格情報または更新トークンを提示し、何らかのリソースのアクセス トークンを要求します。
- アクセス トークンは、他の成果物と共にクライアントに返されます。
- 管理者は、ユーザーのすべての更新トークンを明示的に失効します。 失効イベントは、Azure AD からリソース プロバイダーに送信されます。
- リソース プロバイダーにアクセス トークンが提示されます。 リソース プロバイダーは、トークンの有効性を評価し、ユーザーの失効イベントがあるかどうかを確認します。 リソース プロバイダーは、この情報を使用して、リソースへのアクセスを許可するかどうかを決定します。
- この場合、リソース プロバイダーはアクセスを拒否し、401+ 要求チャレンジをクライアントに送り返します。
- CAE 対応クライアントは、401+ 要求チャレンジを認識します。 キャッシュをバイパスし、手順 1 に戻り、要求チャレンジと共に更新トークンを Azure AD に送り返します。 その後、Azure AD ですべての条件が再評価され、この場合はユーザーに再認証を求めるメッセージが表示されます。
ユーザー状態変更のフロー
次の例では、条件付きアクセス管理者は、特定の IP 範囲からのアクセスのみ許可するように、場所ベースの条件付きアクセス ポリシーを構成しています。
- CAE 対応のクライアントが、Azure AD に対して資格情報または更新トークンを提示し、何らかのリソースのアクセス トークンを要求します。
- Azure AD は、すべての条件付きアクセス ポリシーを評価して、ユーザーとクライアントが条件を満たしているかどうかを確認します。
- アクセス トークンは、他の成果物と共にクライアントに返されます。
- ユーザーは、許可された IP 範囲外になります。
- クライアントは、許可された IP 範囲外からリソース プロバイダーにアクセス トークンを提示します。
- リソース プロバイダーは、トークンの有効性を評価し、Azure AD から同期された場所のポリシーを確認します。
- この場合、リソース プロバイダーはアクセスを拒否し、401+ 要求チャレンジをクライアントに送り返します。 クライアントは、許可された IP 範囲から送信されていないのでチャレンジの実行を求められます。
- CAE 対応クライアントは、401+ 要求チャレンジを認識します。 キャッシュをバイパスし、手順 1 に戻り、要求チャレンジと共に更新トークンを Azure AD に送り返します。 Azure AD は、すべての条件を再評価し、このケースではアクセスを拒否します。
MFA を有効または無効にする
CAE 設定は、[条件付きアクセス] ブレードの下に移動されました。 新しい CAE のお客様は、条件付きアクセスポリシーの作成時に直接、CAE にアクセスしたり切り替えたりすることができます。 ただし既存のお客様は、条件付きアクセスから CAE にアクセスできるようになる前に、移行を終える必要があります。
移行
以前に [セキュリティ] の下で CAE 設定を構成したお客様は、設定を新しい条件付きアクセスポリシーに移行する必要があります。 CAE 設定を条件付きアクセスポリシーに移行するには、次の手順を移行します。
- Azure portal に、条件付きアクセス管理者、セキュリティ管理者、または全体管理者としてサインインします。
- [Azure Active Directory]>[セキュリティ]>[継続的アクセス評価] の順に移動します。
- その後、ポリシーを移行するオプション が 表示されます。 この操作はアクセスできる唯一のアクションです。
- [条件付きアクセス] を参照すると、設定が構成されている、[CAE 設定から作成された CA ポリシー] という名前の新しいポリシーがあります。 管理者は、このポリシーをカスタマイズするか、独自のポリシーを作成して置き換える方法を選択できます。
次の表では、以前に構成した CAE 設定に基づく各顧客グループの移行エクスペリエンスについて説明します。
| 既存の CAE 設定 | 移行が必要か | CAE の自動有効化 | 予想される移行エクスペリエンス |
|---|---|---|---|
| 以前のエクスペリエンスでは何も構成されていない新しいテナント。 | いいえ | はい | [Old CAE] 設定は、一般公開の前にエクスペリエンスが表示されない可能性があるため、非表示になります。 |
| 以前のエクスペリエンスを持つすべてのユーザーに対して明示的に有効にしたテナント。 | いいえ | はい | [Old CAE] 設定はグレーで表示されます。これらのお客様は、すべてのユーザーに対してこの設定を明示的に有効にしているため、移行する必要はありません。 |
| 以前のエクスペリエンスでテナント内の一部のユーザーを明示的に有効にしたテナント。 | はい | いいえ | [Old CAE] 設定はグレーで表示されます。[移行]をクリックすると、すべてのユーザーを含む新しい条件付きアクセス ポリシー ウィザードが起動します。ただし CAE からコピーされたユーザーとグループは除外されます。 また、新しい [継続的アクセス評価のカスタマイズ] の [セッション コントロール]を [無効]に設定します。 |
| プレビューを明示的に無効にしたテナント。 | はい | いいえ | [Old CAE] 設定はグレーで表示されます。[移行] をクリックすると、すべてのユーザーを含む新しい条件付きアクセス ポリシー ウィザードが起動し、新しい [継続的アクセス評価のカスタマイズ] の [セッション コントロール] が [無効] に設定されます。 |
セッション制御としての継続的アクセス評価の詳細については、「継続的アクセス評価のカスタマイズ」 セクションを参照してください。
制限事項
グループ メンバーシップとポリシー更新が有効になる時間
管条件付きアクセスポリシーとグループ メンバーシップに管理者が加えた変更内容は、有効になるまでに最大 1 日かかることがあります。 この遅延は、Azure AD とリソース プロバイダー (Exchange Online や SharePoint Online など) との間のレプリケーションによるものです。 ポリシーの更新に関していくつかの最適化が行われ、遅延が 2 時間に短縮されています。 ただし、まだすべてのシナリオに対応しているわけではありません。
条件付きアクセス ポリシーまたはグループ メンバーシップの変更内容をすぐに特定のユーザーに適用する必要がある場合は、2 つのオプションがあります。
- revoke-mgusersign PowerShell コマンドを実行して、指定したユーザーのすべての更新トークンを取り消します。
- Azure portal の [ユーザー プロファイル] ページで "セッションの取り消し" を選択して、ユーザーのセッションを取り消し、更新したポリシーがすぐに適用されるようにします。
IP アドレスのバリエーション
ID プロバイダーとリソース プロバイダーがそれぞれ異なる IP アドレスを認識する場合があります。 この不一致は、次のことが原因で発生する可能性があります。
- 組織でのネットワーク プロキシの実装
- ID プロバイダーとリソース プロバイダーとの間の正しくない IPv4/IPv6 構成
例 :
- ID プロバイダーは、クライアントの 1 つの IP アドレスを認識しますが、プロキシ経由で渡された後に、リソース プロバイダーがクライアントの別の IP アドレスを認識します。
- ID プロバイダーが認識する IP アドレスは、ポリシーで許可されている IP 範囲に含まれますが、リソース プロバイダーが認識する IP アドレスは、これに含まれません。
これらのシナリオによる無限ループを回避するために、Azure AD では 1 時間の CAE トークンが発行され、クライアントの場所の変更が適用されません。 この場合、従来の 1 時間のトークンと比較してセキュリティは向上します。これは、クライアントの場所の変更イベント以外に他のイベントも評価されるためです。
サポートされる場所のポリシー
CAE では、IP ベースの名前付きの場所の分析報のみが得られます。 CAE では、MFA の信頼できる IP や国ベースの場所など、他の場所の条件について分析情報は得られません。 ユーザーの場所が MFA の信頼できる IP、信頼できる場所 (MFA の信頼できる IP を含む)、または国の場所である場合、ユーザーが別の場所に移動した後は CAE は適用されません。 このような場合は、Azure AD では、即時 IP 適用チェックなしで 1 時間のアクセス トークンが発行されます。
重要
継続的アクセス評価によってリアルタイムで場所のポリシーが適用されるようにする場合は、IP ベースの条件付きアクセスの場所の条件のみ使用し、ID プロバイダーとリソース プロバイダーが認識できる IPv4 と IPv6 の両方を含むすべての IP アドレスを構成してください。 Azure AD Multi-Factor Authentication のサービス設定ページにある国の場所の条件や信頼できる IP 機能は使用しないでください。
ネームド ロケーションの制限
ロケーション ポリシーで指定されているすべての IP 範囲の合計が 5,000 を超えると、ユーザーによる場所の変更フローは CAE によってリアルタイムで適用されません。 この場合、Azure AD は 1 時間の CAE トークンを発行します。 CAE は、クライアントの場所の変更イベント以外に、他のすべてのイベントとポリシーを適用し続けます。 この変更により、他のイベントはほぼリアルタイムで評価されるため、従来の 1 時間のトークンよりも強力なセキュリティ体制が引き続き維持されます。
Office および Web アカウント マネージャーの設定
| Office 更新プログラム チャネル | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| 半期エンタープライズ チャネル | 有効 (1) に設定した場合、CAE はサポートされません。 | 有効 (1) に設定した場合、CAE はサポートされません。 |
| 最新チャネル or 月間エンタープライズ チャネル |
設定に関係なく CAE がサポートされます | 設定に関係なく CAE がサポートされます |
Office 更新プログラム チャネルの詳細については、Microsoft 365 アプリの更新プログラム チャネルの概要に関する記事を参照してください。 組織で Web アカウントマネージャー (WAM) を無効にしないことが推奨されます。
Office アプリでの共同編集
複数のユーザーがドキュメントに対して同時に共同作業を行っている場合に、ポリシー変更イベントに基づいて、ドキュメントへのアクセスが CAE によって直ちに取り消されないことがあります。 この場合、ユーザーは次の後に完全にアクセスできなくなります。
- ドキュメントを閉じる
- Office アプリを閉じる
- 条件付きアクセス IP ポリシーが設定された 1 時間後
この時間をもっと短縮するために、SharePoint 管理者は、SharePoint Online でネットワークの場所のポリシーを構成することで、SharePoint Online および OneDrive for Business に保存されているドキュメントの共同編集セッションの最大有効期間を短縮できます。 この構成が変更されると、共同編集セッションの最長有効期間は 15 分に短縮されます。また、SharePoint Online の PowerShell コマンド "Set-SPOTenant –IPAddressWACTokenLifetime" を使用してさらに調整できます。
ユーザーが無効になった後にそのユーザーを有効にする
無効にした直後にユーザーを有効にする場合、ダウンストリーム Microsoft サービスで有効としてアカウントが認識されるまでにしばらく待機時間が発生します。
- SharePoint Online と Teams では、通常 15 分の遅延があります。
- 通常、Exchange Online では 35 - 40 分の遅延があります。
プッシュ通知
IP アドレス ポリシーは、プッシュ通知が発行されるまで評価されません。 このシナリオは、プッシュ通知が送信され、評価対象の関連付けられた IP アドレスがないために存在します。 ユーザーが Outlook の電子メールなどのプッシュ通知をクリックすると、電子メールが表示される前に、CAE IP アドレス ポリシーが引き続き適用されます。 プッシュ通知にはメッセージ プレビューが表示されますが、これは IP アドレス ポリシーで保護されません。 その他のすべての CAE チェックは、プッシュ通知が送信される前に行われます。 ユーザーまたはデバイスのアクセス権が削除されている場合は、文書化された期間内に適用されます。
FAQ
CAE はサインインの頻度ではどのように動作しますか。
サインインの頻度は、CAE の有無にかかわらず優先されます。