Erzielen von Resilienz durch die Nutzung fortlaufender Zugriffsevaluierung (Continuous Access Evaluation, CAE)
Mit fortlaufender Zugriffsevaluierung (Continuous Access Evaluation, CAE) können Microsoft Entra-Anwendungen kritische Ereignisse abonnieren, die dann ausgewertet und erzwungen werden können. Die CAE beinhaltet die Auswertung der folgenden Ereignisse:
- Benutzerkonto gelöscht oder deaktiviert
- Kennwort für Benutzer geändert
- MFA für Benutzer aktiviert
- Der Administrator widerruft explizit ein Token.
- Erhöhtes Benutzerrisiko erkannt
Infolgedessen können Anforderungen nicht abgelaufene Token basierend auf den von Microsoft Entra ID signalisierten Ereignissen zurückweisen, wie in der folgenden Abbildung dargestellt.
Wie hilft CAE, dieses Problem zu lösen?
Der CAE-Mechanismus ermöglicht es Microsoft Entra ID, Token mit längerer Lebensdauer auszugeben und gleichzeitig Anwendungen eine Möglichkeit zu bieten, den Zugriff zu widerrufen und eine erneute Authentifizierung nur bei Bedarf zu erzwingen. Das Ergebnis dieses Musters sind weniger Aufrufe zum Abrufen von Token. Dies bedeutet, dass der End-to-End-Flow robuster ist.
Zum Verwenden von CAE müssen sowohl der Dienst als auch der Client CAE-fähig sein. Microsoft 365-Dienste wie Exchange Online, Teams und SharePoint Online unterstützen CAE. Auf der Clientseite sind browserbasierte Benutzeroberflächen, die diese Office 365-Dienste (z. B. Outlook Web App) verwenden, und bestimmte Versionen von nativen Office 365-Clients CAE-fähig. Weitere Microsoft Cloud Services werden in Zukunft CAE-fähig.
Microsoft arbeitet mit der Branche zusammen, um Standards zu etablieren, mit denen Anwendungen von Drittanbietern die CAE-Funktion verwenden können. Sie können auch Anwendungen entwickeln, die CAE-fähig sind. Weitere Informationen zur Entwicklung CAE-fähiger Anwendungen finden Sie unter Erhöhen der Resilienz bei der Authentifizierung und Autorisierung in von Ihnen entwickelten Anwendungen.
Wie implementiere ich CAE?
- Aktualisieren Sie den Code für die Verwendung von CAE-aktivierten APIs.
- Aktivieren Sie CAE in der Microsoft Entra-Sicherheitskonfiguration.
- Stellen Sie sicher, dass Ihre Organisation kompatible Versionen nativer Microsoft Office-Anwendungen verwendet.
- Optimieren Sie die Eingabeaufforderungen für erneute Authentifizierung.
Nächste Schritte
Resilienzressourcen für Administratoren und Architekten
- Erzielen von Resilienz durch die Verwaltung von Anmeldeinformationen
- Erzielen von Resilienz mithilfe des Gerätestatus
- Erzielen von Resilienz bei der externen Benutzerauthentifizierung
- Erzielen von Resilienz bei der Hybridauthentifizierung
- Erzielen von Resilienz beim Anwendungszugriff mit dem Anwendungsproxy