Průběžné vyhodnocování přístupu pro Microsoft 365
Moderní cloudové služby, které k ověřování používají OAuth 2.0, se při odvolání přístupu k uživatelskému účtu tradičně spoléhají na vypršení platnosti přístupového tokenu. V praxi to znamená, že i když správce odvolá přístup k uživatelskému účtu, bude mít uživatel přístup až do vypršení platnosti přístupového tokenu, což u Microsoftu 365 ve výchozím nastavení trvalo až hodinu po počáteční události odvolání.
Vyhodnocení podmíněného přístupu pro Microsoft 365 a Azure Active Directory (Azure AD) proaktivně ukončuje aktivní uživatelské relace a vynucuje změny zásad tenanta téměř v reálném čase, místo aby se spoléhalo na vypršení platnosti přístupového tokenu. Azure AD upozorní služby Microsoft 365 s povoleným průběžným vyhodnocováním přístupu (jako jsou SharePoint, Teams a Exchange), když se uživatelský účet nebo tenant změnil způsobem, který vyžaduje opětovné vyhodnocení stavu ověřování uživatelského účtu.
Když se klient s povoleným průběžným vyhodnocováním přístupu, jako je outlook, pokusí o přístup k Exchangi pomocí existujícího přístupového tokenu, služba token odmítne a zobrazí se výzva k novému ověření Azure AD. Výsledkem je vynucení změn uživatelského účtu a zásad téměř v reálném čase.
Tady jsou některé další výhody:
V případě škodlivého insidera, který kopíruje a exportuje platný přístupový token mimo vaši organizaci, brání průběžné vyhodnocování přístupu použití tohoto tokenu prostřednictvím zásad umístění ip adres Azure AD. Při průběžném vyhodnocování přístupu Azure AD synchronizuje zásady s podporovanými službami Microsoftu 365, takže když se přístupový token pokusí o přístup ke službě mimo rozsah IP adres v zásadách, služba token odmítne.
Průběžné vyhodnocování přístupu zlepšuje odolnost tím, že vyžaduje méně aktualizací tokenů. Vzhledem k tomu, že podpůrné služby dostávají proaktivní oznámení o vyžadování opětovného ověření, Azure AD můžou vydávat tokeny s delší životností, například déle než jednu hodinu. U tokenů s delší životností nemusí klienti žádat o aktualizaci tokenu z Azure AD tak často, takže uživatelské prostředí je odolnější.
Tady je několik příkladů situací, kdy průběžné vyhodnocování přístupu zlepšuje zabezpečení řízení přístupu uživatelů:
Došlo k ohrožení hesla uživatelského účtu, takže správce zruší platnost všech existujících relací a resetuje jejich heslo z Centrum pro správu Microsoftu 365. Téměř v reálném čase se zruší platnost všech existujících uživatelských relací se službami Microsoft 365.
Uživatel pracující na dokumentu ve Wordu přenese tablet do veřejné kavárny, která není v rozsahu IP adres definovaným a schváleným správcem. V kavárně se přístup uživatele k dokumentu okamžitě zablokuje.
Pro Microsoft 365 průběžné vyhodnocování přístupu v současné době podporují:
- Služby Exchange, SharePoint a Teams.
- Outlook, Teams, Office a OneDrive ve webovém prohlížeči a pro klienty Win32, iOS, Android a Mac.
Microsoft pracuje na dalších službách a klientech Microsoftu 365, aby podporoval průběžné vyhodnocování přístupu.
Průběžné vyhodnocování přístupu bude součástí všech verzí Office 365 a Microsoftu 365. Konfigurace zásad podmíněného přístupu vyžaduje Azure AD Premium P1, která je součástí všech verzí Microsoftu 365.
Poznámka
Omezení nepřetržitého vyhodnocování přístupu najdete v tomto článku .
Scénáře podporované Microsoftem 365
Průběžné vyhodnocování přístupu podporuje dva typy událostí:
- Kritické události jsou události, při kterých by uživatel měl ztratit přístup.
- K vyhodnocení zásad podmíněného přístupu dochází v případě, že by uživatel měl ztratit přístup k prostředku na základě zásad definovaných správcem.
Mezi kritické události patří:
- Uživatelský účet je zakázaný.
- Heslo se změnilo.
- Uživatelské relace se odvolají.
- Pro uživatele je povolené vícefaktorové ověřování.
- Zvýšení rizika účtu na základě vyhodnocení přístupu ze služby Azure AD Identity Protection
K vyhodnocení zásad podmíněného přístupu dojde v případě, že se uživatelský účet už nepřipojí z důvěryhodné sítě.
Následující služby Microsoft 365 v současné době podporují průběžné vyhodnocování přístupu nasloucháním událostem z Azure AD.
| Typ vynucení | Exchange | SharePoint | Teams |
|---|---|---|---|
| Kritické události: | |||
| Odvolání uživatele | Podporováno | Podporováno | Podporováno |
| Uživatelské riziko | Podporováno | Není podporováno | Podporováno |
| Vyhodnocení zásad podmíněného přístupu: | |||
| Zásady umístění IP adres | Podporováno | Podporovány* | Podporovány** |
* Přístup k webovému prohlížeči SharePoint Office podporuje okamžité vynucování zásad PROTOKOLU IP povolením striktního režimu. Bez striktního režimu je životnost přístupových tokenů jedna hodina.
** Hovory, schůzky a chat v Teams nevyhovují zásadám podmíněného přístupu na základě PROTOKOLU IP.
Další informace o nastavení zásad podmíněného přístupu najdete v tomto článku.
Klienti Microsoft 365 podporující průběžné vyhodnocování přístupu
Klienti s povoleným průběžným vyhodnocováním přístupu pro Microsoft 365 podporují výzvu deklarace identity, což je přesměrování relace uživatele na Azure AD pro opětovné ověření, když je token uživatele v mezipaměti odmítnut službou Microsoft 365 s povoleným průběžným vyhodnocováním přístupu.
Následující klienti podporují průběžné vyhodnocování přístupu na webu, Win32, iOS, Android a Mac:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* Výzva k deklaraci identity není v Office pro web podporovaná.
U klientů, kteří nepodporují průběžné vyhodnocování přístupu, zůstává životnost přístupového tokenu microsoftu 365 ve výchozím nastavení jedna hodina.