Continue toegangsevaluatie
Het verlopen en vernieuwen van tokens is een standaardmechanisme in de branche. Wanneer een clienttoepassing zoals Outlook verbinding maakt met een service zoals Exchange Online, worden de API-aanvragen geautoriseerd met behulp van OAuth 2.0-toegangstokens. Standaard zijn toegangstokens één uur geldig, wanneer ze verlopen, wordt de client omgeleid naar Microsoft Entra om ze te vernieuwen. Deze vernieuwingsperiode biedt de mogelijkheid om beleidsregels voor gebruikerstoegang opnieuw te beoordelen. Bijvoorbeeld: we kunnen ervoor kiezen om het token niet te vernieuwen vanwege beleid voor voorwaardelijke toegang of omdat de gebruiker is uitgeschakeld in de map.
Klanten geven zorgen over de vertraging tussen wanneer voorwaarden voor een gebruiker veranderen en wanneer beleidswijzigingen worden afgedwongen. Microsoft experimenteerde met de 'stompe object'-benadering van verminderde levensduur van tokens, maar ontdekte dat ze gebruikerservaringen en betrouwbaarheid verslechteren zonder risico's te elimineren.
Tijdige reactie op beleidsschendingen of beveiligingsproblemen vereist echt een 'gesprek' tussen de tokenverlener Microsoft Entra en de relying party (verlichte app). Dit tweerichtingsgesprek biedt ons twee belangrijke mogelijkheden. De relying party kan zien wanneer eigenschappen veranderen, zoals netwerklocatie, en de tokenverlener vertellen. Het biedt de tokenverlener ook een manier om de relying party te laten stoppen met het respecteren van tokens voor een bepaalde gebruiker vanwege inbreuk op accounts, uitschakelen of andere problemen. Het mechanisme voor dit gesprek is continue toegangsevaluatie (CAE), een industriestandaard op basis van het Open ID Continuous Access Evaluation Profile (CAEP). Het doel voor de evaluatie van kritieke gebeurtenissen is dat reactie bijna in realtime is, maar de latentie van maximaal 15 minuten kan worden waargenomen vanwege de doorgiftetijd van gebeurtenissen; Het afdwingen van ip-locatiesbeleid is echter direct.
De eerste implementatie van continue toegangsevaluatie richt zich op Exchange, Teams en SharePoint Online.
Zie Continue toegangsevaluatie-API's gebruiken in uw toepassingen om uw toepassingen voor te bereiden op het gebruik van CAE.
Belangrijkste voordelen
- Gebruikersbeëindiging of wachtwoordwijziging/opnieuw instellen: intrekking van gebruikerssessies wordt in bijna realtime afgedwongen.
- Wijziging van netwerklocatie: beleid voor locatie voor voorwaardelijke toegang wordt in bijna realtime afgedwongen.
- Tokenexport naar een computer buiten een vertrouwd netwerk kan worden voorkomen met locatiebeleid voor voorwaardelijke toegang.
Scenario's
Er zijn twee scenario's waaruit continue evaluatie van toegang bestaat, evaluatie van kritieke gebeurtenissen en beleidsevaluatie voor voorwaardelijke toegang.
Evaluatie van kritieke gebeurtenissen
Continue toegangsevaluatie wordt geïmplementeerd door services, zoals Exchange Online, SharePoint Online en Teams, in te schakelen om zich te abonneren op kritieke Microsoft Entra-gebeurtenissen. Deze gebeurtenissen kunnen vervolgens bijna in realtime worden geëvalueerd en afgedwongen. Evaluatie van kritieke gebeurtenissen is niet afhankelijk van beleid voor voorwaardelijke toegang, zodat deze beschikbaar is in elke tenant. De volgende gebeurtenissen worden momenteel geëvalueerd:
- Gebruikersaccount wordt verwijderd of uitgeschakeld
- Wachtwoord voor een gebruiker wordt gewijzigd of opnieuw ingesteld
- Meervoudige verificatie is ingeschakeld voor de gebruiker
- Beheer istrator alle vernieuwingstokens voor een gebruiker expliciet intrekt
- Hoog gebruikersrisico gedetecteerd door Microsoft Entra ID Protection
Dit proces maakt het scenario mogelijk waarin gebruikers binnen enkele minuten na een kritieke gebeurtenis toegang verliezen tot sharePoint Online-bestanden, e-mail, agenda of taken en Teams van Microsoft 365-client-apps.
Notitie
SharePoint Online biedt geen ondersteuning voor gebeurtenissen van gebruikersrisico's.
Evaluatie van beleid voor voorwaardelijke toegang
Exchange Online, SharePoint Online, Teams en MS Graph kunnen belangrijke beleidsregels voor voorwaardelijke toegang synchroniseren voor evaluatie binnen de service zelf.
Met dit proces kunnen gebruikers direct na wijzigingen in de netwerklocatie toegang krijgen tot bestanden, e-mail, agenda of taken van Microsoft 365-client-apps of SharePoint Online.
Notitie
Niet alle combinaties van client-apps en resourceproviders worden ondersteund. Zie de volgende tabellen. De eerste kolom van deze tabel verwijst naar webtoepassingen die worden gestart via een webbrowser (dat wil bijvoorbeeld PowerPoint starten in een webbrowser), terwijl de resterende vier kolommen verwijzen naar systeemeigen toepassingen die worden uitgevoerd op elk platform dat wordt beschreven. Daarnaast omvatten verwijzingen naar 'Office' Word, Excel en PowerPoint.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| Exchange Online | Ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| Office-web-apps | Office Win32-apps | Office voor iOS | Office voor Android | Office voor Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Niet ondersteund * | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| Exchange Online | Niet ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| OneDrive-web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Ondersteund | Niet ondersteund | Ondersteund | Ondersteund | Niet ondersteund |
| Teams-web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Teams-service | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund |
| SharePoint Online | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund |
| Exchange Online | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund | Gedeeltelijk ondersteund |
* De levensduur van tokens voor Office-web-apps wordt gereduceerd tot 1 uur wanneer een beleid voor voorwaardelijke toegang is ingesteld.
Notitie
Teams bestaat uit meerdere services en onder deze gesprekken en chatservices voldoen niet aan het beleid voor voorwaardelijke toegang op basis van IP.
Continue toegangsevaluatie is ook beschikbaar in Azure Government-tenants (GCC High en DOD) voor Exchange Online.
Clientmogelijkheden
Claimuitdaging aan clientzijde
Voordat continue toegangsevaluatie werd uitgevoerd, zouden clients het toegangstoken opnieuw afspelen vanuit de cache zolang het niet is verlopen. Met CAE introduceren we een nieuw geval waarin een resourceprovider een token kan weigeren wanneer het niet is verlopen. Om clients te informeren om hun cache te omzeilen, ook al zijn de tokens in de cache niet verlopen, introduceren we een mechanisme genaamd claimvraag om aan te geven dat het token is geweigerd en een nieuw toegangstoken moet worden uitgegeven door Microsoft Entra. CAE vereist een clientupdate om inzicht te hebben in de claimvraag. De nieuwste versies van de volgende toepassingen ondersteunen claimuitdaging:
| Web | Win32-apps | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| Teams | Ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| Office | Niet ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
| OneDrive | Ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund |
Levensduur van token
Omdat risico's en beleid in realtime worden geëvalueerd, vertrouwen clients die onderhandelen over continue toegangsevaluatie, niet langer op beleid voor statische toegangstokenlevens. Deze wijziging betekent dat het configureerbare levensduurbeleid voor tokens niet wordt gehonoreerd voor clients die onderhandelen over CAE-bewuste sessies.
De levensduur van tokens neemt in CAE-sessies toe tot maximaal 28 uur. Kritieke gebeurtenissen en beleidsevaluatie stimuleren intrekking, niet alleen een willekeurige periode. Deze wijziging verhoogt de stabiliteit van toepassingen zonder dat dit van invloed is op de beveiligingspostuur.
Als u geen clients gebruikt die geschikt zijn voor CAE, blijft de levensduur van uw standaardtoegangstoken 1 uur. De standaardinstelling is alleen gewijzigd als u de levensduur van het toegangstoken hebt geconfigureerd met de preview-functie van het configureerbare tokenlevensduur (CTL ).
Voorbeeldstroomdiagrammen
Gebeurtenisstroom voor gebruikersintrekking
- Een cae-compatibele client geeft referenties of een vernieuwingstoken aan Microsoft Entra waarin wordt gevraagd om een toegangstoken voor een bepaalde resource.
- Een toegangstoken wordt samen met andere artefacten naar de client geretourneerd.
- Een Beheer istrator trekt expliciet alle vernieuwingstokens voor de gebruiker in. Vervolgens wordt er vanuit Microsoft Entra een intrekkingsevenement naar de resourceprovider verzonden.
- Er wordt een toegangstoken weergegeven voor de resourceprovider. De resourceprovider evalueert de geldigheid van het token en controleert of er een intrekkings gebeurtenis voor de gebruiker is. De resourceprovider gebruikt deze informatie om te besluiten om toegang te verlenen tot de resource of niet.
- In dit geval weigert de resourceprovider de toegang en stuurt de resourceprovider een claimuitdaging van 401+ terug naar de client.
- De CAE-compatibele client begrijpt de 401+ claimvraag. Het slaat de caches over en gaat terug naar stap 1, waarbij het vernieuwingstoken wordt verzonden, samen met de claimvraag terug naar Microsoft Entra. Microsoft Entra evalueert vervolgens alle voorwaarden opnieuw en vraagt de gebruiker om in dit geval opnieuw te verifiëren.
Wijzigingsstroom van gebruikersvoorwaarde
In het volgende voorbeeld heeft een voorwaardelijke toegang Beheer istrator een beleid voor voorwaardelijke toegang op basis van een locatie geconfigureerd om alleen toegang vanuit specifieke IP-bereiken toe te staan:
- Een cae-compatibele client geeft referenties of een vernieuwingstoken aan Microsoft Entra waarin wordt gevraagd om een toegangstoken voor een bepaalde resource.
- Microsoft Entra evalueert alle beleidsregels voor voorwaardelijke toegang om te zien of de gebruiker en client aan de voorwaarden voldoen.
- Een toegangstoken wordt samen met andere artefacten naar de client geretourneerd.
- Gebruiker wordt buiten een toegestaan IP-bereik verplaatst.
- De client geeft een toegangstoken weer aan de resourceprovider van buiten een toegestaan IP-bereik.
- De resourceprovider evalueert de geldigheid van het token en controleert het locatiebeleid dat is gesynchroniseerd vanuit Microsoft Entra.
- In dit geval weigert de resourceprovider de toegang en stuurt de resourceprovider een claimuitdaging van 401+ terug naar de client. De client wordt aangeroepen omdat deze niet afkomstig is van een toegestaan IP-bereik.
- De CAE-compatibele client begrijpt de 401+ claimvraag. Het slaat de caches over en gaat terug naar stap 1, waarbij het vernieuwingstoken wordt verzonden, samen met de claimvraag terug naar Microsoft Entra. Microsoft Entra evalueert alle voorwaarden opnieuw en weigert in dit geval de toegang.
Uitzondering voor IP-adresvariaties en het uitschakelen van de uitzondering
In stap 8 hierboven, wanneer Microsoft Entra de voorwaarden opnieuw evalueert, wordt de toegang geweigerd omdat de nieuwe locatie die is gedetecteerd door Microsoft Entra zich buiten het toegestane IP-bereik bevindt. Dit is niet altijd het geval. Vanwege een aantal complexe netwerktopologieën kan de verificatieaanvraag binnenkomen vanaf een toegestaan uitgaand IP-adres, zelfs nadat de toegangsaanvraag die is ontvangen door de resourceprovider is ontvangen van een IP-adres dat niet is toegestaan. Onder deze voorwaarden interpreteert Microsoft Entra dat de client zich op een toegestane locatie blijft bevinden en toegang moet krijgen. Daarom geeft Microsoft Entra een token van één uur uit waarmee IP-adrescontroles bij de resource worden onderbroken totdat het token verloopt. Microsoft Entra blijft IP-adrescontroles afdwingen.
Als u verkeer verzendt naar niet-Microsoft 365-resources via globale beveiligde toegang, zijn resourceproviders niet op de hoogte van het bron-IP-adres van de gebruiker omdat bron-IP-herstel momenteel niet wordt ondersteund voor deze resources. Als de gebruiker zich in dit geval op de vertrouwde IP-locatie bevindt (zoals gezien door Microsoft Entra), geeft Microsoft Entra een token van één uur uit waarmee IP-adrescontroles bij de resource worden onderbroken totdat het token verloopt. Microsoft Entra blijft IP-adrescontroles correct afdwingen voor deze resources.
Standaard versus strikte modus. De toekenning van toegang onder deze uitzondering (dat wil gezegd, een toegestane locatie tussen Microsoft Entra-id met een niet-toegestane locatie gedetecteerd door de resourceprovider) beschermt de productiviteit van gebruikers door de toegang tot kritieke resources te behouden. Dit is standaardlocatie afdwingen. Aan de andere kant kunnen Beheer istrators die onder stabiele netwerktopologieën werken en deze uitzondering willen verwijderen, strikte locatie afdwingen (openbare preview)gebruiken.
CAE in- of uitschakelen
De CAE-instelling is verplaatst naar voorwaardelijke toegang. Nieuwe CAE-klanten kunnen CAE rechtstreeks openen en in-/uitschakelen bij het maken van beleid voor voorwaardelijke toegang. Sommige bestaande klanten moeten echter de migratie doorlopen voordat ze toegang hebben tot CAE via voorwaardelijke toegang.
Migratie
Klanten die CAE-instellingen onder Beveiliging hebben geconfigureerd voordat ze instellingen moeten migreren naar een nieuw beleid voor voorwaardelijke toegang.
In de volgende tabel wordt de migratie-ervaring van elke klantgroep beschreven op basis van eerder geconfigureerde CAE-instellingen.
| Bestaande CAE-instelling | Is migratie vereist | Automatisch ingeschakeld voor CAE | Verwachte migratie-ervaring |
|---|---|---|---|
| Nieuwe tenants die niets in de oude ervaring hebben geconfigureerd. | Nr. | Ja | De oude CAE-instelling is verborgen, omdat deze klanten waarschijnlijk de ervaring niet hebben gezien vóór algemene beschikbaarheid. |
| Tenants die expliciet zijn ingeschakeld voor alle gebruikers met de oude ervaring. | Nr. | Ja | De oude CAE-instelling wordt grijs weergegeven. Omdat deze klanten deze instelling expliciet hebben ingeschakeld voor alle gebruikers, hoeven ze niet te migreren. |
| Tenants die bepaalde gebruikers expliciet in hun tenants hebben ingeschakeld met de oude ervaring. | Ja | Nr. | Oude CAE-instellingen worden grijs weergegeven. Als u op Migrate klikt, wordt de nieuwe wizard voor beleid voor voorwaardelijke toegang gestart, waaronder alle gebruikers en groepen die zijn gekopieerd uit CAE. Ook wordt het nieuwe besturingselement Continue toegangsevaluatiesessie aanpassen ingesteld op Uitgeschakeld. |
| Tenants die de preview expliciet hebben uitgeschakeld. | Ja | Nr. | Oude CAE-instellingen worden grijs weergegeven. Als u op Migrate klikt, wordt de nieuwe wizard voor beleid voor voorwaardelijke toegang geopend, met alle gebruikers en stelt u het nieuwe besturingselement Continue toegangsevaluatiesessieaanpassen in op Uitgeschakeld. |
Meer informatie over continue toegangsevaluatie als sessiebeheer vindt u in de sectie Continue toegangsevaluatie aanpassen.
Beperkingen
Effectieve tijd voor groepslidmaatschap en beleid bijwerken
Het kan tot één dag duren voordat wijzigingen in het beleid voor voorwaardelijke toegang en groepslidmaatschap die door beheerders zijn aangebracht, effectief zijn. De vertraging is afkomstig van replicatie tussen Microsoft Entra en resourceproviders zoals Exchange Online en SharePoint Online. Er is een aantal optimalisaties uitgevoerd voor beleidsupdates, waardoor de vertraging tot twee uur wordt verminderd. Het omvat echter nog niet alle scenario's.
Wanneer beleid voor voorwaardelijke toegang of groepslidmaatschap onmiddellijk moet worden toegepast op bepaalde gebruikers, hebt u twee opties.
- Voer de PowerShell-opdracht revoke-mgusersign uit om alle vernieuwingstokens van een opgegeven gebruiker in te trekken.
- Selecteer Sessie intrekken op de gebruikersprofielpagina om de sessie van de gebruiker in te trekken om ervoor te zorgen dat het bijgewerkte beleid onmiddellijk wordt toegepast.
IP-adresvariatie en netwerken met IP-adres gedeeld of onbekend uitgaande IP-adressen
Moderne netwerken optimaliseren vaak de connectiviteit en netwerkpaden voor toepassingen anders. Deze optimalisatie veroorzaakt vaak variaties van de routering en bron-IP-adressen van verbindingen, zoals wordt gezien door uw id-provider en resourceproviders. U kunt deze splitsingspad- of IP-adresvariatie in meerdere netwerktopologieën observeren, waaronder, maar niet beperkt tot:
- On-premises proxy's en cloudproxy's.
- VPN-implementaties (Virtual Private Network), zoals split tunneling.
- Sd-WAN-implementaties (Software Defined Wide Area Network).
- Netwerktopologieën met gelijke taakverdeling of redundant netwerkuitgang, zoals die met behulp van SNAT.
- Filiaalimplementaties die directe internetverbinding voor specifieke toepassingen mogelijk maken.
- Netwerken die IPv6-clients ondersteunen.
- Andere topologieën, die toepassings- of resourceverkeer anders verwerken dan verkeer naar de id-provider.
Naast IP-variaties kunnen klanten ook gebruikmaken van netwerkoplossingen en -services die:
- Gebruik IP-adressen die kunnen worden gedeeld met andere klanten. Bijvoorbeeld cloudproxyservices waarbij uitgaande IP-adressen worden gedeeld tussen klanten.
- Gebruik eenvoudig gevarieerde of niet-definieerbare IP-adressen. Topologieën met bijvoorbeeld grote, dynamische sets uitgaande IP-adressen die worden gebruikt, zoals grote bedrijfsscenario's of gesplitst VPN - en lokaal uitgaand netwerkverkeer.
Netwerken waarbij uitgaande IP-adressen vaak kunnen worden gewijzigd of worden gedeeld, kunnen van invloed zijn op voorwaardelijke toegang van Microsoft Entra en continue toegangsevaluatie (CAE). Deze variabiliteit kan van invloed zijn op de werking van deze functies en de aanbevolen configuraties. Split Tunneling kan ook onverwachte blokken veroorzaken wanneer een omgeving is geconfigureerd met behulp van aanbevolen procedures voor Split Tunneling VPN. Routering geoptimaliseerde IP-adressen via een vertrouwd IP/VPN is mogelijk vereist om te voorkomen dat blokken met betrekking tot insufficient_claims of de controle van directe IP-afdwinging zijn mislukt.
De volgende tabel bevat een overzicht van gedrag en aanbevelingen voor voorwaardelijke toegang en CAE-functies voor verschillende typen netwerkimplementaties en resourceproviders (RP):
| Netwerktype | Opmerking | IP-adressen die worden gezien door Microsoft Entra | IP's gezien door RP | Toepasselijke configuratie voor voorwaardelijke toegang (vertrouwde benoemde locatie) | CAE-afdwinging | CAE-toegangstoken | Aanbevelingen |
|---|---|---|---|---|---|---|---|
| 1. Uitgaande IP-adressen zijn toegewezen en opgesomd voor zowel Microsoft Entra als al het RP-verkeer | Alle naar netwerkverkeer naar Microsoft Entra en RPs uitgaand verkeer via 1.1.1.1 en/of 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Kritieke gebeurtenissen Wijzigingen in IP-locatie |
Langlevend – tot 28 uur | Als benoemde locaties voor voorwaardelijke toegang zijn gedefinieerd, moet u ervoor zorgen dat ze alle mogelijke UITGAANDE IP-adressen bevatten (gezien door Microsoft Entra en alle RP) |
| 2. Uitgaande IP-adressen zijn toegewezen en opgesomd voor Microsoft Entra, maar niet voor RP-verkeer | Netwerkverkeer naar Microsoft Entraresses tot en met 1.1.1.1. RP-verkeer via x.x.x.x | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Kritieke gebeurtenissen | Standaardlevensduur van toegangstoken – 1 uur | Voeg geen niet-toegewezen of niet-numerieke UITGAANDE IP-adressen (x.x.x.x.x) toe aan regels voor voorwaardelijke toegang voor vertrouwde benoemde locaties, omdat deze de beveiliging kan verzwakken |
| 3. Uitgaande IP-adressen zijn niet-toegewezen/gedeeld of niet opsommen voor zowel Microsoft Entra- als RP-verkeer | Netwerkverkeer naar Microsoft Entra gaat via y.y.y.y.y. RP-verkeer via x.x.x.x.x | y.y.y.y.y | x.x.x.x | N.b.: er zijn geen IP-beleid voor voorwaardelijke toegang/vertrouwde locaties geconfigureerd | Kritieke gebeurtenissen | Langlevend – tot 28 uur | Voeg geen niet-toegewezen of niet-numerieke uitgaande IP-adressen (x.x.x.x/y.y.y.y) toe aan regels voor voorwaardelijke toegang met vertrouwde benoemde locaties, omdat dit de beveiliging kan verzwakken |
Netwerken en netwerkservices die door clients worden gebruikt om verbinding te maken met id- en resourceproviders, blijven zich ontwikkelen en veranderen in reactie op moderne trends. Deze wijzigingen kunnen van invloed zijn op voorwaardelijke toegang en CAE-configuraties die afhankelijk zijn van de onderliggende IP-adressen. Bij het bepalen van deze configuraties moet u rekening houden met toekomstige wijzigingen in technologie en het onderhouden van de gedefinieerde lijst met adressen in uw plan.
Ondersteunde locatiebeleidsregels
CAE heeft alleen inzicht in benoemde IP-locaties. CAE heeft geen inzicht in andere locatievoorwaarden, zoals vertrouwde IP-adressen van MFA of locaties op basis van landen/regio's . Wanneer een gebruiker afkomstig is van een vertrouwd IP-adres van MFA, een vertrouwde locatie met vertrouwde IP-adressen van MFA of een land/regio-locatie, wordt CAE niet afgedwongen nadat die gebruiker naar een andere locatie is verplaatst. In dergelijke gevallen geeft Microsoft Entra een toegangstoken van één uur uit zonder directe controle van IP-afdwinging.
Belangrijk
Als u wilt dat uw locatiebeleid in realtime wordt afgedwongen door continue toegangsevaluatie, gebruikt u alleen de locatievoorwaarde voor voorwaardelijke toegang op basis van IP en configureert u alle IP-adressen, inclusief IPv4 en IPv6, die kunnen worden weergegeven door uw id-provider en resourceprovider. Gebruik geen land-/regiolocatievoorwaarden of de vertrouwde IPs-functie die beschikbaar is op de pagina met service-instellingen van Microsoft Entra multifactor authentication.
Beperkingen voor benoemde locaties
Wanneer de som van alle IP-bereiken die zijn opgegeven in locatiebeleid hoger is dan 5000, kan CAE de locatiestroom van gebruikerswijziging niet in realtime afdwingen. In dit geval geeft Microsoft Entra een CAE-token van één uur uit. CAE blijft alle andere gebeurtenissen en beleidsregels afdwingen, naast wijzigingsgebeurtenissen van clientlocatie. Met deze wijziging behoudt u nog steeds een sterkere beveiligingspostuur in vergelijking met traditionele tokens van één uur, omdat andere gebeurtenissen nog steeds in bijna realtime worden geëvalueerd.
Instellingen voor Office en Web Account Manager
| Office Update-kanaal | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| Semi-Annual Enterprise-kanaal | Als deze optie is ingesteld op ingeschakeld of 1, wordt CAE niet ondersteund. | Als deze optie is ingesteld op ingeschakeld of 1, wordt CAE niet ondersteund. |
| Huidig kanaal of Monthly Enterprise-kanaal |
CAE wordt ondersteund ongeacht de instelling | CAE wordt ondersteund ongeacht de instelling |
Zie Overzicht van updatekanalen voor Microsoft 365-apps voor een uitleg van de office-updatekanalen. De aanbeveling is dat organisaties Web Account Manager (WAM) niet uitschakelen.
Co-auteurschap in Office-app s
Wanneer meerdere gebruikers tegelijkertijd aan een document samenwerken, kan CAE de toegang tot het document mogelijk niet onmiddellijk intrekken op basis van beleidswijzigingsgebeurtenissen. In dit geval verliest de gebruiker de toegang volledig na:
- Het document sluiten
- Het Office-app sluiten
- Na 1 uur wanneer een IP-beleid voor voorwaardelijke toegang is ingesteld
Om deze tijd verder te beperken, kan een SharePoint-Beheer istrator de maximale levensduur van cocreatiesessies voor documenten die zijn opgeslagen in SharePoint Online en Microsoft OneDrive, verminderen door een netwerklocatiebeleid te configureren. Zodra deze configuratie is gewijzigd, wordt de maximale levensduur van cocreatiesessies gereduceerd tot 15 minuten en kan deze verder worden aangepast met de PowerShell-opdracht Set-SPOTenant -IPAddressWACTokenLifetime van SharePoint Online.
Inschakelen nadat een gebruiker is uitgeschakeld
Als u een gebruiker direct na het uitschakelen inschakelt, is er enige latentie voordat het account wordt herkend als ingeschakeld in downstream-Microsoft-services.
- SharePoint Online en Teams hebben doorgaans een vertraging van 15 minuten.
- Exchange Online heeft doorgaans een vertraging van 35 tot 40 minuten.
Pushmeldingen
Een IP-adresbeleid wordt niet geëvalueerd voordat pushmeldingen worden vrijgegeven. Dit scenario bestaat omdat pushmeldingen uitgaand zijn en er geen gekoppeld IP-adres moet worden geëvalueerd. Als een gebruiker die pushmelding selecteert, bijvoorbeeld een e-mail in Outlook, worden beleidsregels voor CAE-IP-adressen nog steeds afgedwongen voordat het e-mailbericht kan worden weergegeven. Pushmeldingen geven een voorbeeld van een bericht weer, dat niet wordt beveiligd door een IP-adresbeleid. Alle andere CAE-controles worden uitgevoerd voordat de pushmelding wordt verzonden. Als een gebruiker of apparaat de toegang heeft verwijderd, wordt afgedwongen binnen de gedocumenteerde periode.
Gastgebruikers
CAE biedt geen ondersteuning voor gastgebruikersaccounts. CAE-intrekkingsgebeurtenissen en beleid voor voorwaardelijke toegang op basis van IP worden niet onmiddellijk afgedwongen.
CAE en aanmeldingsfrequentie
Aanmeldingsfrequentie wordt gehonoreerd met of zonder CAE.