Utvärdering av kontinuerlig åtkomst för Microsoft 365

Moderna molntjänster som använder OAuth 2.0 för autentisering förlitar sig traditionellt på förfallodatum för åtkomsttoken för att återkalla ett användarkontos åtkomst. I praktiken innebär det här att även om en administratör återkallar ett användarkontos åtkomst har användaren fortfarande åtkomst tills åtkomsttoken upphör att gälla, vilket för Microsoft 365 som standard brukade ta upp till en timme efter att den första återkallelsehändelsen ägde rum.

Utvärdering av villkorsstyrd åtkomst för Microsoft 365 och Azure Active Directory (Azure AD) avslutas proaktivt aktiva användarsessioner och tillämpar principändringar för klientorganisationen i nära realtid i stället för att förlita sig på förfallodatum för åtkomsttoken. Azure AD meddelar utvärderingsaktiverade Microsoft 365-tjänster (till exempel SharePoint, Teams och Exchange) när användarkontot eller klientorganisationen har ändrats på ett sätt som kräver en ombedömning av användarkontots autentiseringstillstånd.

När en klient med kontinuerlig åtkomstutvärdering, till exempel Outlook, försöker komma åt Exchange med en befintlig åtkomsttoken, avvisas tokenet av tjänsten och en ny Azure AD-autentisering visas. Resultatet är snart tillämpning av användarkonton och principändringar i realtid.

Här är några ytterligare fördelar:

  • Om en illvillig insider kopierar och exporterar en giltig åtkomsttoken utanför organisationen förhindrar kontinuerlig åtkomstutvärdering att denna token används via Azure AD IP-adressplatsens platsprincip. Med kontinuerlig åtkomstutvärdering synkroniserar Azure AD principer nedåt till de Microsoft 365-tjänster som stöds. När en åtkomsttoken försöker komma åt tjänsten utanför IP-adressintervallet i principen avvisar tjänsten tokenet.

  • Utvärdering av kontinuerlig åtkomst förbättrar motståndskraft genom att färre tokenuppdateringar krävs. Eftersom stödtjänster får proaktiva meddelanden om att kräva omauthentication, kan Azure AD utfärda längre token, till exempel efter en timme. Med längre token behöver klienterna inte begära en tokenuppdatering från Azure AD så ofta, så användarupplevelsen är mer flexibel.

Här är några exempel på situationer där kontinuerlig åtkomstutvärdering förbättrar säkerheten för användaråtkomstkontrollen:

  • Ett användarkontos lösenord har komprometterats så att en administratör blir ogiltig i alla befintliga sessioner och återställer sitt lösenord från Administrationscenter för Microsoft 365. I nära realtid är alla befintliga användarsessioner med Microsoft 365 ogiltiga.

  • En användare som arbetar på ett dokument i Word tar surfplattan till ett offentligt café som inte finns i ett administratörsdefinierat och godkänt IP-adressintervall. På cafét blockeras användarens åtkomst till dokumentet omedelbart.

Till Microsoft 365 stöds kontinuerlig åtkomstutvärdering för närvarande av:

  • Exchange, SharePoint och Teams tjänster.
  • Outlook, Teams, Office och OneDrive i en webbläsare och för Win32-, iOS-, Android- och Mac-klienterna.

Microsoft arbetar med ytterligare tjänster Microsoft 365 klienter för kontinuerlig åtkomstutvärdering.

Utvärdering av kontinuerlig åtkomst ingår i alla versioner av Office 365 och Microsoft 365. Om du vill konfigurera principer för villkorsstyrd åtkomst Azure AD Premium P1 villkorsstyrd åtkomst, som ingår i Microsoft 365 versioner.

Anteckning

I den här artikeln finns information om begränsningar för kontinuerlig åtkomstutvärdering.

Scenarier som stöds av Microsoft 365

Utvärdering av kontinuerlig åtkomst har stöd för två typer av händelser:

  • Kritiska händelser är de händelser där en användare ska förlora åtkomst.
  • Principutvärdering av villkorsstyrd åtkomst inträffar när en användare ska förlora åtkomsten till en resurs baserat på en administratörsdefinierad princip.

Kritiska händelser är:

  • Användarkontot är inaktiverat
  • Lösenord har ändrats
  • Användarsessioner har återkallats
  • Multifaktorautentisering är aktiverad för användaren
  • Kontorisken ökade baserat på utvärderingen av åtkomsten från Azure AD Identity Protection

Principutvärdering av villkorsstyrd åtkomst inträffar när användarkontot inte längre ansluter från ett betrott nätverk.

Följande alternativ Microsoft 365 för närvarande kontinuerlig åtkomstutvärdering genom att lyssna på händelser från Azure AD.



Tillämpningstyp Exchange SharePoint Teams
Kritiska händelser:
Återkallade användare Stöds Stöds Stöds
Användarrisk Stöds Stöds inte Stöds inte
Principutvärdering av villkorsstyrd åtkomst:
IP-adress och platsprincip Stöds Stöds* Stöds

*SharePoint Office med webbläsaråtkomst kan användas med omedelbar tillämpning av IP-policyer genom att aktivera strikt läge. Utan strikt läge är livslängden för åtkomsttoken en timme.

Mer information om hur du konfigurera en princip för villkorsstyrd åtkomst finns i den här artikeln.

Microsoft 365 klienter som har stöd för kontinuerlig åtkomstutvärdering

Utvärderingsaktiverade klienter med kontinuerlig åtkomst för Microsoft 365 har stöd för en anspråksutmaning, som är en omdirigering av en användarsession till Azure AD för omauthentication, när en cachelagrad användartoken avvisas av en kontinuerlig åtkomstutvärderingstjänst som Microsoft 365 tjänsten.

Följande klienter har stöd för kontinuerlig åtkomstutvärdering på webben, Win32, iOS, Android och Mac:

  • Outlook
  • Teams
  • Office*
  • SharePoint
  • OneDrive

*Kravutmaning stöds inte på Office för webben.

För klienter som inte stöder kontinuerlig åtkomstutvärdering förblir åtkomsttokens livslängd Microsoft 365 en timme som standard.

Se även