Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) ist ein Sicherheitsfeature, das basierend auf Richtlinienänderungen und Benutzerrisiken eine Echtzeitzugriffskontrolle bietet. CAE erzwingt Zugriffsrichtlinien in nahezu Echtzeit, indem die Gültigkeit der Sitzung kontinuierlich ausgewertet wird. Wenn eine Richtlinienänderung, ein Benutzerrisikoupdate oder ein anderes kritisches Sicherheitsereignis auftritt, widerruft CAE Zugriffstoken und Aktualisierungstoken, um sicherzustellen, dass der Benutzerzugriff immer den neuesten Sicherheitsanforderungen entspricht.
Im Gegensatz zur herkömmlichen CAE, die für jede Workload spezielle Bibliotheken benötigt und auf Erstanbieteranwendungen beschränkt ist, erweitert CAE für den Anwendungsproxy diese Vorteile auf alle lokalen Anwendungen, die über den Anwendungsproxy veröffentlicht werden, ohne dass die Anwendung CAE-kompatibel sein muss.
So schützt CAE den Zugriff
CaE für Anwendungsproxy reagiert auf kritische Identitäts- und Sicherheitsereignisse, sodass Administratoren den Zugriff umgehend einschränken können. Die folgenden Ereignisse lösen die Erzwingung in nahezu Echtzeit aus:
- Beendigung des Benutzers oder Kennwortänderung/Zurücksetzen: CAE widerruft Benutzersitzungen und Aktualisierungstoken, um den fortgesetzten Zugriff zu verhindern.
- Änderung des Netzwerkstandorts: CaE überprüft und erzwingt Standortrichtlinien für bedingten Zugriff, wenn sich der Netzwerkkontext eines Benutzers ändert.
- Tokenexport auf einen Computer außerhalb eines vertrauenswürdigen Netzwerks: CaE erzwingt Standortrichtlinien für bedingten Zugriff, um die Tokenverwendung zu blockieren oder zusätzliche Steuerelemente zu erfordern, wenn ein Token von einem nicht vertrauenswürdigen Computer verwendet wird.
Grundlegendes zur Funktionsweise von CAE für Anwendungsproxys
Wenn CAE für den Anwendungsproxy aktiviert ist, verläuft der Anforderungs- und Erzwingungsfluss wie folgt:
- Ein Benutzer fordert den Zugriff auf eine lokale Anwendung über den Anwendungsproxy an.
- Die Microsoft Entra-ID authentifiziert die Anforderung.
- Nach erfolgreicher Authentifizierung empfängt der Benutzer Zugriffstoken, die in der Regel 60 bis 90 Minuten gültig sind.
- CaE wertet die aktive Sitzung kontinuierlich für Richtlinienänderungen, Risikosignale und Sperrereignisse aus.
- Wenn ein Trigger auftritt (z. B. Kennwortzurücksetzung, Kontodeaktivierung oder erhöhtes Risiko), widerruft caE die Sitzung und setzt voraus, dass sich der Benutzer erneut anmeldet.
Dieser Workflow ermöglicht die Nahezu-Echtzeit-Erzwingung von Zugriffsrichtlinien für veröffentlichte Anwendungen, ohne dass Anwendungsänderungen erforderlich sind.
Microsoft Entra-ID-Signale, die die erneute Authentifizierung von CAE auslösen
Anwendungsproxy empfängt Signale von Microsoft Entra ID in nahezu Echtzeit für diese Ereignisse:
- Ein Benutzerkonto wird gelöscht oder deaktiviert.
- Das Kennwort eines Benutzers wird geändert oder zurückgesetzt.
- Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) ist für den Benutzer aktiviert.
- Ein Administrator widerruft alle Refresh-Token für den Benutzer.
Wenn der Anwendungsproxy eines dieser Signale empfängt, fordert er den Benutzer auf, erneut zu authentifizieren. Wenn die erneute Authentifizierung erfolgreich ist, erhält der Benutzer wieder Zugriff auf Ressourcen, die über den Anwendungsproxy veröffentlicht wurden.
CaE für Anwendungsproxy deaktivieren
Deaktivieren von CAE für spezifische Anwendungs-Proxy Komponenten
CaE für Anwendungsproxy ist für alle Anwendungsproxyanwendungen standardmäßig aktiviert. Sie können caE für einzelne Anwendungen entweder mit Microsoft Graph oder im Microsoft Entra Admin Center deaktivieren.
Aktualisieren Sie die Einstellungen der Anwendungsproxyanwendung in Microsoft Graph, um CAE (Continuous Access Evaluation) für eine einzelne Anwendung zu deaktivieren.
Senden Sie die folgende PATCH-Anforderung:
PATCH https://graph.microsoft.com/beta/applications/{objectId}/onPremisesPublishing
Content-Type: application/json
{
"isContinuousAccessEvaluationEnabled": false
}
Eine erfolgreiche Anforderung gibt die folgende Antwort zurück:
HTTP/1.1 204 No Content
Stellen Sie sicher, dass das Konto oder die App, das Microsoft Graph aufruft, über die Berechtigung zum Aktualisieren der Anwendung verfügt (z. B Application.ReadWrite.All. ).
Sie können auch CAE für Anwendungsproxy im Microsoft Entra Admin Center deaktivieren.
Deaktivieren von CAE für den gesamten Mandanten
Microsoft Entra ID Conditional Access steuert mandantenweites CAE-Verhalten. Standardmäßig ist caE für alle Anwendungen aktiviert, die sie unterstützen. Aktualisieren Sie Ihre Konfiguration für bedingten Zugriff, um den CAE für alle Dienste zu deaktivieren. Schritte finden Sie unter Aktivieren oder Deaktivieren von CAE.
Hinweis
CAE ist opportunistisch, es sei denn, Sie aktivieren die strikte Erzwingung im bedingten Zugriff und wenden sie auf die Anwendungsproxyanwendung an. Bei einer nicht strengen Richtlinie kann der Anwendungsproxy auf das Ausgeben eines regulären Zugriffstokens für die erneute Authentifizierung zurückgreifen. Aufgrund dieses Fallbackverhaltens ist das Deaktivieren der mandantenweiten CAE selten erforderlich.
Bekannte Einschränkungen
Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie in den häufig gestellten Fragen zum Anwendungsproxy.