Nepřetržité vyhodnocování přístupu
Vypršení platnosti a aktualizace tokenů jsou standardním mechanismem v oboru. Když se klientská aplikace, jako je Outlook, připojí ke službě, jako je Exchange Online, jsou požadavky rozhraní API autorizovány pomocí přístupových tokenů OAuth 2.0. Ve výchozím nastavení jsou přístupové tokeny platné jednu hodinu. Po jejich vypršení se klient přesměruje na Azure AD, aby je aktualizoval. Toto období aktualizace poskytuje příležitost znovu vyhodnocet zásady pro přístup uživatelů. Například: Můžeme se rozhodnout token neaktualizovali kvůli zásadám podmíněného přístupu nebo kvůli tomu, že uživatel byl v adresáři zakázaný.
Zákazníci vyjádřili obavy ohledně prodlevy mezi změnou podmínek pro uživatele a vynuceným změnami zásad. Azure AD experimentovala s přístupem se sníženou životností tokenů "tupým objektem", ale zjistila, že můžou snížit uživatelské prostředí a spolehlivost, aniž by se eliminovala rizika.
Včasné reakce na porušení zásad nebo problémy se zabezpečením ve skutečnosti vyžadují "konverzaci" mezi vystavitelem tokenu (Azure AD) a předávající stranou (kompatibilní aplikací). Tato obousměrná konverzace nám dává dvě důležité možnosti. Předávající strana může zjistit, kdy se změní vlastnosti, jako je umístění v síti, a informovat vystavitele tokenu. Poskytuje také vystaviteli tokenů způsob, jak předávající straně říct, aby přestala respektovat tokeny daného uživatele z důvodu ohrožení účtu, zakázání nebo jiných obav. Mechanismus pro tuto konverzaci je průběžné vyhodnocování přístupu (CAE). Cílem vyhodnocení kritické události je, aby odpověď byla téměř v reálném čase, ale latence až 15 minut může být pozorována z důvodu doby šíření událostí; vynucení zásad umístění IP adres je však okamžité.
Počáteční implementace nepřetržitého vyhodnocování přístupu se zaměřuje na Exchange, Teams a SharePoint Online.
Pokud chcete aplikace připravit na používání CAE, přečtěte si téma Použití rozhraní API s povoleným průběžným vyhodnocováním přístupu v aplikacích.
Nepřetržité vyhodnocování přístupu je k dispozici v tenantech Azure Government (GCC High a DOD) pro Exchange Online.
Klíčové výhody
- Ukončení platnosti uživatele nebo změna/resetování hesla: Odvolání relace uživatele se vynutí téměř v reálném čase.
- Změna umístění v síti: Zásady umístění podmíněného přístupu se budou vynucovat téměř v reálném čase.
- Exportu tokenů do počítače mimo důvěryhodnou síť je možné zabránit pomocí zásad podmíněného přístupu pro umístění.
Scénáře
Existují dva scénáře, které tvoří průběžné vyhodnocování přístupu, vyhodnocení kritických událostí a vyhodnocení zásad podmíněného přístupu.
Vyhodnocení kritické události
Průběžné vyhodnocování přístupu se implementuje tak, že se službám, jako jsou Exchange Online, SharePoint Online a Teams, povolí přihlášení k odběru důležitých událostí Azure AD. Tyto události se pak dají vyhodnocovat a vynucovat téměř v reálném čase. Vyhodnocení kritické události nespoléhá na zásady podmíněného přístupu, takže je dostupné v jakémkoli tenantovi. Aktuálně se vyhodnocují následující události:
- Uživatelský účet je odstraněný nebo zakázaný
- Heslo uživatele se změnilo nebo resetuje
- Pro uživatele je povolené vícefaktorové ověřování.
- Správce explicitně odvolá všechny obnovovací tokeny pro uživatele.
- Služba Azure AD Identity Protection zjistila vysoké uživatelské riziko
Tento proces umožňuje scénář, kdy uživatelé ztratí přístup k souborům SharePointu Online organizace, e-mailu, kalendáři nebo úkolům a Teams z klientských aplikací Microsoft 365 během několika minut po kritické události.
Poznámka
SharePoint Online nepodporuje rizikové události uživatelů.
Vyhodnocení zásad podmíněného přístupu
Exchange Online, SharePoint Online, Teams a MS Graph můžou synchronizovat klíčové zásady podmíněného přístupu pro účely vyhodnocení v rámci samotné služby.
Tento proces umožňuje scénář, kdy uživatelé ztratí přístup k souborům organizace, e-mailu, kalendáři nebo úkolům z klientských aplikací Microsoftu 365 nebo SharePointu Online okamžitě po změně umístění v síti.
Poznámka
Nejsou podporované všechny kombinace klientských aplikací a poskytovatelů prostředků. Projděte si následující tabulky. První sloupec této tabulky odkazuje na webové aplikace spouštěné prostřednictvím webového prohlížeče (tj. PowerPoint spuštěný ve webovém prohlížeči), zatímco zbývající čtyři sloupce odkazují na nativní aplikace spuštěné na každé popsané platformě. Odkazy na Office navíc zahrnují Word, Excel a PowerPoint.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Podporováno | Podporováno | Podporováno | Podporováno | Podporováno |
| Exchange Online | Podporováno | Podporováno | Podporováno | Podporováno | Podporováno |
| Webové aplikace Office | Aplikace Office Win32 | Office pro iOS | Office pro Android | Office pro Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Nepodporováno * | Podporováno | Podporováno | Podporováno | Podporováno |
| Exchange Online | Nepodporuje se | Podporováno | Podporováno | Podporováno | Podporováno |
| Web OneDrive | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Podporováno | Nepodporuje se | Podporováno | Podporováno | Nepodporuje se |
| Web Teams | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Služba Teams | Částečně podporované | Částečně podporované | Částečně podporované | Částečně podporované | Částečně podporované |
| SharePoint Online | Částečně podporované | Částečně podporované | Částečně podporované | Částečně podporované | Částečně podporované |
| Exchange Online | Částečně podporované | Částečně podporované | Částečně podporované | Částečně podporované | Částečně podporované |
* Životnost tokenů webových aplikací Office se při nastavení zásad podmíněného přístupu zmenší na 1 hodinu.
Poznámka
Týmy se skládají z několika služeb a mezi nimi i hovory a chatovací služby nedodržují zásady podmíněného přístupu na základě IP adresy.
Možnosti klienta
Výzva k deklaraci identity na straně klienta
Před průběžným vyhodnocováním přístupu přehrávali klienti přístupový token z mezipaměti, dokud nevypršela jeho platnost. S CAE zavádíme nový případ, kdy poskytovatel prostředků může odmítnout token, když jeho platnost nevypršela. Abychom klienty informovali, že mají obejít mezipaměť, i když platnost tokenů uložených v mezipaměti ještě nevypršela, zavádíme mechanismus označovaný jako výzva deklarace identity, který označuje, že token byl odmítnut a že Azure AD musí vystavit nový přístupový token. CAE vyžaduje aktualizaci klienta, aby porozuměla výzvě deklarace identity. Nejnovější verze následujících aplikací podporuje výzvu k deklaraci identity:
| Web | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Podporováno | Podporováno | Podporováno | Podporováno | Podporováno |
| Teams | Podporováno | Podporováno | Podporováno | Podporováno | Podporováno |
| Office | Nepodporuje se | Podporováno | Podporováno | Podporováno | Podporováno |
| OneDrive | Podporováno | Podporováno | Podporováno | Podporováno | Podporováno |
Životnost tokenu
Vzhledem k tomu, že se rizika a zásady vyhodnocují v reálném čase, klienti, kteří vyjednávají relace s podporou průběžného vyhodnocování přístupu, už nespoléhají na zásady životnosti tokenů statického přístupu. Tato změna znamená, že se pro klienty vyjednávající relace s podporou CAE nedodržují konfigurovatelné zásady životnosti tokenů.
Životnost tokenů se v relacích CAE prodlouží na dlouhou dobu až na 28 hodin. Odvolání se řídí kritickými událostmi a vyhodnocením zásad, nikoli pouze libovolným časovým obdobím. Tato změna zvyšuje stabilitu aplikací, aniž by to mělo vliv na stav zabezpečení.
Pokud nepoužíváte klienty podporující CAE, zůstane výchozí životnost přístupového tokenu 1 hodina. Výchozí hodnota se změní pouze v případě, že jste nakonfigurovali životnost přístupového tokenu pomocí funkce Konfigurovatelná životnost tokenu (CTL) ve verzi Preview.
Příklady diagramů toku
Tok událostí odvolání uživatele
- Klient s podporou CAE zobrazí přihlašovací údaje nebo obnovovací token, aby Azure AD požádal o přístupový token pro nějaký prostředek.
- Do klienta se vrátí přístupový token spolu s dalšími artefakty.
- Správce explicitně odvolá všechny obnovovací tokeny pro uživatele. Z Azure AD se poskytovateli prostředků odešle událost odvolání.
- Poskytovateli prostředků se zobrazí přístupový token. Poskytovatel prostředků vyhodnotí platnost tokenu a zkontroluje, jestli pro uživatele nedošlo k nějaké události odvolání. Poskytovatel prostředků použije tyto informace k rozhodnutí o udělení přístupu k prostředku, či nikoli.
- V takovém případě poskytovatel prostředků odmítne přístup a pošle klientovi výzvu k deklaraci identity 401 nebo novější.
- Klient s podporou CAE rozumí výzvě k deklaraci identity 401 nebo novější. Obchází mezipaměti a vrací se ke kroku 1 a odešle svůj obnovovací token spolu s výzvou deklarace identity zpět do Azure AD. Azure AD pak znovu vyhodnocí všechny podmínky a vyzve uživatele k opětovnému ověření.
Tok změny podmínek uživatele
V následujícím příkladu správce podmíněného přístupu nakonfiguroval zásady podmíněného přístupu na základě umístění tak, aby povolovaly přístup jenom z konkrétních rozsahů IP adres:
- Klient s podporou CAE zobrazí přihlašovací údaje nebo obnovovací token, aby Azure AD požádal o přístupový token pro nějaký prostředek.
- Azure AD vyhodnotí všechny zásady podmíněného přístupu a zjistí, jestli uživatel a klient podmínky splňují.
- Do klienta se vrátí přístupový token spolu s dalšími artefakty.
- Uživatel se přesune mimo povolený rozsah IP adres.
- Klient předloží poskytovateli prostředků přístupový token mimo povolený rozsah IP adres.
- Poskytovatel prostředků vyhodnotí platnost tokenu a zkontroluje zásady umístění synchronizované z Azure AD.
- V takovém případě poskytovatel prostředků odmítne přístup a pošle klientovi výzvu k deklaraci identity 401 nebo novější. Klient je vyzván, protože nepochází z povoleného rozsahu IP adres.
- Klient s podporou CAE rozumí výzvě k deklaraci identity 401 nebo novější. Obchází mezipaměti a vrací se ke kroku 1 a odešle svůj obnovovací token spolu s výzvou deklarace identity zpět do Azure AD. Azure AD znovu vyhodnocuje všechny podmínky a v tomto případě přístup odepře.
Povolení nebo zakázání CAE
Nastavení nepřetržitého vyhodnocování přístupu (CAE) bylo přesunuto do okna Podmíněný přístup. Noví zákazníci CAE můžou při vytváření zásad podmíněného přístupu pracovat s CAE a přepínat ho přímo. Někteří stávající zákazníci ale musí projít migrací, než budou mít přístup k CAE prostřednictvím podmíněného přístupu.
Migrace
Zákazníci, kteří předtím nakonfigurovali nastavení CAE v části Zabezpečení, musí migrovat nastavení na nové zásady podmíněného přístupu. Pomocí následujícího postupu můžete migrovat nastavení CAE na zásady podmíněného přístupu.
- Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
- Přejděte naPrůběžné vyhodnocování přístupuk zabezpečení>Azure Active Directory>.
- Zobrazí se vám možnost Migrovat zásady. Tato akce je jediná, ke které budete mít v tuto chvíli přístup.
- Přejděte na Podmíněný přístup a najdete novou zásadu s názvem Zásady podmíněného přístupu vytvořenou z nastavení CAE s nakonfigurovaným nastavením. Správci můžou tuto zásadu přizpůsobit nebo ji nahradit vytvořením vlastní.
Následující tabulka popisuje možnosti migrace jednotlivých skupin zákazníků na základě dříve nakonfigurovaných nastavení CAE.
| Existující nastavení CAE | Vyžaduje se migrace? | Automaticky povoleno pro CAE | Očekávané prostředí migrace |
|---|---|---|---|
| Noví tenanti, kteří ve starém prostředí nic nenakonfigurovali. | No | Yes | Staré nastavení CAE bude skryté, protože tito zákazníci pravděpodobně neviděli prostředí před obecnou dostupností. |
| Tenanti, kteří explicitně povolili pro všechny uživatele se starým prostředím. | No | Yes | Staré nastavení CAE se zobrazí šedě. Vzhledem k tomu, že tito zákazníci toto nastavení explicitně povolili pro všechny uživatele, nemusí migrovat. |
| Tenanti, kteří explicitně povolili některým uživatelům ve svých tenantech staré prostředí. | Yes | No | Staré nastavení CAE se zobrazí šedě. Kliknutím na Migrovat spustíte nového průvodce zásadami podmíněného přístupu, který zahrnuje všechny uživatele a skupiny zkopírované z CAE. Nastaví také nové Nastavení řízení relací pro průběžné vyhodnocování přístupu na Zakázáno. |
| Tenanti, kteří explicitně zakázali verzi Preview. | Yes | No | Staré nastavení CAE se zobrazí šedě. Kliknutím na Tlačítko Migrovat spustíte nového průvodce zásadami podmíněného přístupu, který zahrnuje všechny uživatele, a nastavíte nové nastavení Přizpůsobit řízení relace nepřetržitého vyhodnocování přístupu na Zakázáno. |
Další informace o průběžném vyhodnocování přístupu jako řízení relace najdete v části Přizpůsobení průběžného vyhodnocování přístupu.
Omezení
Platnost členství ve skupinách a aktualizace zásad
Změny zásad podmíněného přístupu a členství ve skupinách provedené správci můžou trvat až jeden den, než se projeví. Zpoždění je kvůli replikaci mezi Azure AD a poskytovateli prostředků, jako jsou Exchange Online a SharePoint Online. U aktualizací zásad jsme provedli určitou optimalizaci, která zkracuje zpoždění na dvě hodiny. Zatím ale nepokrývá všechny scénáře.
Pokud je potřeba u určitých uživatelů okamžitě použít změny zásad podmíněného přístupu nebo členství ve skupinách, máte dvě možnosti.
- Spuštěním příkazu PowerShellu revoke-mgusersign odvoláte všechny obnovovací tokeny zadaného uživatele.
- Výběrem možnosti Odvolat relaci na stránce profilu uživatele v Azure Portal odvoláte relaci uživatele, aby se zajistilo okamžité použití aktualizovaných zásad.
Variace IP adres a sítě se sdílenými nebo neznámými IP adresami výchozího přenosu dat
Moderní sítě často optimalizují připojení a síťové cesty pro aplikace odlišně. Tato optimalizace často způsobuje variace směrování a zdrojových IP adres připojení, jak je vidět u zprostředkovatele identity a zprostředkovatelů prostředků. Tuto variantu rozdělené cesty nebo IP adresy můžete pozorovat ve více síťových topologiích, mezi které mimo jiné patří:
- Místní a cloudové proxy servery.
- Implementace virtuální privátní sítě (VPN), jako je dělené tunelové propojení.
- Softwarově definovaná nasazení sítě SD-WAN (Wide Area Network).
- Síťové topologie výchozího přenosu dat s vyrovnáváním zatížení nebo redundantní topologie sítě, jako jsou ty, které používají SNAT.
- Nasazení poboček, která umožňují přímé připojení k internetu pro konkrétní aplikace.
- Sítě, které podporují klienty IPv6.
- Jiné topologie, které zpracovávají provoz aplikací nebo prostředků jinak než provoz do zprostředkovatele identity.
Kromě variant IP adres můžou zákazníci využívat také síťová řešení a služby, které:
- Použijte IP adresy, které můžou být sdíleny s ostatními zákazníky. Například cloudové proxy služby, kde se mezi zákazníky sdílí výchozí IP adresy.
- Používejte snadno proměnlivé nebo nedefinovatelné IP adresy. Například topologie s velkými dynamickými sadami výchozích IP adres, jako jsou scénáře velkých podnikových sítí nebo rozdělené sítě VPN a místní výchozí síťový provoz.
Sítě, ve kterých se výchozí IP adresy můžou často měnit nebo jsou sdílené, můžou mít vliv Azure AD podmíněného přístupu a dalšího vyhodnocování přístupu (CAE). Tato variabilita může mít vliv na to, jak tyto funkce fungují, a jejich doporučené konfigurace. Rozdělení tunelového propojení může také způsobit neočekávané bloky, pokud je prostředí nakonfigurované pomocí osvědčených postupů pro dělené tunelování VPN. Ip adresy optimalizované pro směrování prostřednictvím důvěryhodné IP adresy nebo sítě VPN se můžou vyžadovat, aby se zabránilo blokování souvisejícím s insufficient_claims nebo okamžitou kontrolou vynucení IP adresy.
Následující tabulka shrnuje chování funkcí podmíněného přístupu a CAE a doporučení pro různé typy síťových nasazení:
| Typ sítě | Příklad | IP adresy zobrazené Azure AD | IP adresy zobrazené poskytovatelem prostředků | Platná konfigurace certifikační autority (důvěryhodné pojmenované umístění) | Vynucení CAE | Přístupový token CAE | Doporučení |
|---|---|---|---|---|---|---|---|
| 1. Výchozí IP adresy jsou vyhrazené a dají se vyčíslit pro Azure AD i pro veškerý provoz RPs. | Vše do síťového provozu do Azure AD a výchozích přenosů do 1.1.1.1 nebo 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Kritické události Změny umístění IP adresy |
Dlouhodobé – až 28 hodin | Pokud jsou definovaná pojmenovaná umístění certifikační autority, ujistěte se, že obsahují všechny možné IP adresy výchozího přenosu dat (které vidí Azure AD a všechny adresy RP). |
| 2. Výchozí IP adresy jsou vyhrazené a dají se vyčíslit pro Azure AD, ale ne pro provoz RPs. | Síťový provoz do Azure AD výchozího přenosu dat až do verze 1.1.1.1. Odchozí přenosy prostředků přes x.x.x.x | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Kritické události | Výchozí životnost přístupových tokenů – 1 hodina | Do pravidel podmíněného přístupu pro důvěryhodné pojmenované umístění nepřidávejte vyhrazené ani nevyčíslitelné IP adresy výchozího přenosu dat (x.x.x.x), protože by to mohlo oslabit zabezpečení. |
| 3. Výchozí IP adresy nejsou vyhrazené nebo sdílené nebo se nedají vyčíslit pro přenosy Azure AD i RPs. | Síťový provoz do Azure AD výchozího přenosu dat přes y.y.y.y. Odchozí provoz rpses přes x.x.x.x | y.y.y.y | x.x.x.x | Není k dispozici – žádné zásady CERTIFIKAČNÍ AUTORITY PRO IP adresu / Nakonfigurovaná důvěryhodná umístění | Kritické události | Dlouhodobé – až 28 hodin | Nepřidávejte do pravidel certifikační autority důvěryhodného pojmenovaného umístění vyhrazené ip adresy ani ip adresy výchozího přenosu dat bez výčtu (x.x.x.x/y.y.y). |
Sítě a síťové služby používané klienty připojujícími se k zprostředkovatelům identit a prostředků se neustále vyvíjejí a mění v reakci na moderní trendy. Tyto změny můžou mít vliv na konfiguraci podmíněného přístupu a CAE, které závisí na podkladových IP adresách. Při rozhodování o těchto konfiguracích zvažte budoucí změny technologie a údržbu definovaného seznamu adres ve vašem plánu.
Podporované zásady umístění
CAE má přehled pouze o pojmenovaných umístěních založených na IP adresách. CAE nemá přehled o jiných podmínkách umístění, jako jsou důvěryhodné IP adresy vícefaktorového ověřování nebo umístění založená na zemi. Pokud uživatel pochází z důvěryhodné IP adresy vícefaktorového ověřování, důvěryhodného umístění, které obsahuje důvěryhodné IP adresy MFA, nebo z umístění v zemi, nebude se cae vynucovat, jakmile se uživatel přesune do jiného umístění. V těchto případech Azure AD vydá hodinový přístupový token bez okamžité kontroly vynucování IP adres.
Důležité
Pokud chcete zásady zjišťování polohy vynucovat v reálném čase průběžným vyhodnocováním přístupu, použijte pouze podmínku umístění podmíněného přístupu na základě IP adresy a nakonfigurujte všechny IP adresy, včetně IPv4 a IPv6, které může zobrazit váš zprostředkovatel identity a poskytovatel prostředků. Nepoužívejte podmínky umístění země ani funkci důvěryhodných IPs, která je k dispozici na stránce nastavení služby Azure AD Multifactor Authentication.
Omezení pojmenovaného umístění
Pokud součet všech rozsahů IP adres zadaných v zásadách umístění překročí 5 000, nebude tok umístění změn uživatele vynucován caE v reálném čase. V takovém případě Azure AD vydá hodinový token CAE. CAE bude dál vynucovat všechny ostatní události a zásady kromě událostí změn umístění klienta. Díky této změně si stále zachováte silnější stav zabezpečení v porovnání s tradičními hodinovými tokeny, protože ostatní události se budou vyhodnocovat téměř v reálném čase.
Nastavení Správce účtů Office a webu
| Kanál aktualizace Office | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| Semi-Annual Enterprise Channel | Pokud je nastavená hodnota povoleno nebo 1, cae se nepodporuje. | Pokud je nastavená hodnota povoleno nebo 1, cae se nepodporuje. |
| Aktuální kanál nebo Měsíční podnikový kanál |
CAE se podporuje bez ohledu na nastavení. | CAE se podporuje bez ohledu na nastavení. |
Vysvětlení kanálů aktualizací Office najdete v tématu Přehled aktualizačních kanálů pro Microsoft 365 Apps. Doporučuje se, aby organizace nezakazily Správce webových účtů (WAM).
Spoluvytváření v aplikacích Office
Pokud na dokumentu současně spolupracuje více uživatelů, caE nemusí jejich přístup k dokumentu okamžitě odvolat na základě událostí změn zásad. V tomto případě uživatel zcela ztratí přístup po:
- Zavření dokumentu
- Zavření aplikace Office
- Po 1 hodině, kdy jsou nastavené zásady ip adres podmíněného přístupu
Pro další zkrácení této doby může správce SharePointu snížit maximální životnost spoluvytváření relací pro dokumenty uložené v SharePointu Online a OneDrive pro firmy tím, že nakonfiguruje zásady síťového umístění v SharePointu Online. Po změně této konfigurace se maximální životnost relací spoluvytváření zkrátí na 15 minut a dá se dále upravit pomocí příkazu PowerShellu Pro SharePoint Online Set-SPOTenant –IPAddressWACTokenLifetime.
Povolit po zakázání uživatele
Pokud povolíte uživatele hned po zakázání, dojde k určité latenci, než se účet rozpozná jako povolený v podřízených službách Microsoftu.
- SharePoint Online a Teams mají obvykle 15minutové zpoždění.
- Exchange Online má obvykle 35 až 40minutové zpoždění.
Nabízená oznámení
Zásady IP adres se nevyhodnocují před vydáním nabízených oznámení. Tento scénář existuje, protože nabízená oznámení jsou odchozí a nemají přidruženou IP adresu, se kterou by se mělo vyhodnocovat. Pokud uživatel vybere toto nabízené oznámení, například e-mail v Outlooku, zásady IP adres CAE se ještě před zobrazením e-mailu vynucují. Nabízená oznámení zobrazují náhled zprávy, který není chráněný zásadami IP adres. Všechny ostatní kontroly CAE se provádějí před odesláním nabízeného oznámení. Pokud má uživatel nebo zařízení odebraný přístup, dojde k vynucení během zdokumentovaného období.
Uživatelé s účtem Host
CaE nepodporuje uživatelské účty typu host. Události odvolání CAE a zásady podmíněného přístupu na základě IP adres se nevynucují okamžitě.
Jak bude CAE fungovat s frekvencí přihlašování?
Frekvence přihlašování se bude dodržovat s cae nebo bez.