Kontinuierliche Zugriffsevaluierung für Microsoft 365
Moderne Clouddienste, die OAuth 2.0 für die Authentifizierung verwenden, basieren traditionell auf dem Ablauf von Zugriffstoken, um den Zugriff eines Benutzerkontos zu widerrufen. In der Praxis bedeutet dies, dass der Benutzer auch dann, wenn ein Administrator den Zugriff eines Benutzerkontos widerruft, weiterhin Zugriff hat, bis das Zugriffstoken abläuft, was für Microsoft 365 standardmäßig bis zu einer Stunde nach dem ersten Sperrereignis liegt.
Die fortlaufende Zugriffsevaluierung für Microsoft 365 und Azure Active Directory (Azure AD) beendet aktive Benutzersitzungen proaktiv und erzwingt Mandantenrichtlinienänderungen nahezu in Echtzeit, anstatt sich auf den Ablauf des Zugriffstokens zu verlassen. Azure AD benachrichtigt Microsoft 365-Dienste, die für die fortlaufende Zugriffsauswertung aktiviert sind (z. B. SharePoint, Teams und Exchange), wenn sich das Benutzerkonto oder der Mandant auf eine Weise geändert hat, die eine erneute Auswertung des Authentifizierungsstatus des Benutzerkontos erfordert.
Wenn ein Client mit aktivierter fortlaufender Zugriffsauswertung wie Outlook versucht, mit einem vorhandenen Zugriffstoken auf Exchange zuzugreifen, wird das Token vom Dienst abgelehnt, wodurch eine neue Azure AD-Authentifizierung angefordert wird. Das Ergebnis ist die Erzwingung von Benutzerkonto- und Richtlinienänderungen nahezu in Echtzeit.
Hier sind einige zusätzliche Vorteile:
Für einen böswilligen Insider, der ein gültiges Zugriffstoken außerhalb Ihrer organization kopiert und exportiert, verhindert die fortlaufende Zugriffsauswertung die Verwendung dieses Tokens über die Azure AD-IP-Adressspeicherortrichtlinie. Bei der kontinuierlichen Zugriffsauswertung synchronisiert Azure AD Richtlinien mit unterstützten Microsoft 365-Diensten. Wenn also ein Zugriffstoken versucht, von außerhalb des IP-Adressbereichs in der Richtlinie auf den Dienst zuzugreifen, lehnt der Dienst das Token ab.
Die fortlaufende Zugriffsevaluierung verbessert die Resilienz, da weniger Tokenaktualisierungen erforderlich sind. Da unterstützende Dienste proaktive Benachrichtigungen darüber erhalten, dass eine erneute Authentifizierung erforderlich ist, kann Azure AD token mit längerer Lebensdauer ausstellen, z. B. über eine Stunde hinaus. Bei langlebigen Token müssen Clients nicht so oft eine Tokenaktualisierung von Azure AD anfordern, sodass die Benutzererfahrung resilienter ist.
Im Folgenden finden Sie einige Beispiele für Situationen, in denen die fortlaufende Zugriffsauswertung die Sicherheit der Benutzerzugriffssteuerung verbessert:
Das Kennwort eines Benutzerkontos wurde kompromittiert, sodass ein Administrator alle vorhandenen Sitzungen für ungültig erklärt und sein Kennwort aus dem Microsoft 365 Admin Center zurücksetzt. Nahezu in Echtzeit werden alle vorhandenen Benutzersitzungen mit Microsoft 365-Diensten für ungültig erklärt.
Ein Benutzer, der an einem Dokument in Word sein Tablet in ein öffentliches Café bringt, das sich nicht in einem vom Administrator definierten und genehmigten IP-Adressbereich befindet. Im Café wird der Zugriff des Benutzers auf das Dokument sofort gesperrt.
Für Microsoft 365 wird die fortlaufende Zugriffsevaluierung derzeit von folgendem Unterstützt:
- Exchange-, SharePoint- und Teams-Dienste.
- Outlook, Teams, Office und OneDrive in einem Webbrowser und für die Win32-, iOS-, Android- und Mac-Clients.
Microsoft arbeitet an zusätzlichen Microsoft 365-Diensten und -Clients, um die fortlaufende Zugriffsevaluierung zu unterstützen.
Die fortlaufende Zugriffsevaluierung ist in allen Versionen von Office 365 und Microsoft 365 enthalten. Das Konfigurieren von Richtlinien für bedingten Zugriff erfordert Azure AD Premium P1, die in allen Microsoft 365-Versionen enthalten ist.
Hinweis
Informationen zu den Einschränkungen der kontinuierlichen Zugriffsauswertung finden Sie in diesem Artikel .
Von Microsoft 365 unterstützte Szenarien
Die fortlaufende Zugriffsauswertung unterstützt zwei Arten von Ereignissen:
- Kritische Ereignisse sind solche, bei denen ein Benutzer den Zugriff verlieren sollte.
- Die Auswertung der Richtlinie für bedingten Zugriff erfolgt, wenn ein Benutzer den Zugriff auf eine Ressource verlieren sollte, die auf einer vom Administrator definierten Richtlinie basiert.
Wichtige Ereignisse sind:
- Benutzerkonto ist deaktiviert
- Kennwort wird geändert
- Benutzersitzungen werden widerrufen.
- Die mehrstufige Authentifizierung ist für den Benutzer aktiviert.
- Erhöhtes Kontorisiko basierend auf der Auswertung des Zugriffs über Azure AD Identity Protection
Die Richtlinienauswertung für bedingten Zugriff erfolgt, wenn das Benutzerkonto keine Verbindung mehr über ein vertrauenswürdiges Netzwerk herstellt.
Die folgenden Microsoft 365-Dienste unterstützen derzeit die fortlaufende Zugriffsauswertung durch Lauschen auf Ereignisse von Azure AD.
| Erzwingungstyp | Exchange | SharePoint | Teams |
|---|---|---|---|
| Kritische Ereignisse: | |||
| Benutzersperrung | Unterstützt | Unterstützt | Unterstützt |
| Benutzerrisiko | Unterstützt | Nicht unterstützt | Unterstützt |
| Richtlinienauswertung für bedingten Zugriff: | |||
| Ip-Adressadressen-Standortrichtlinie | Unterstützt | Unterstützt* | Unterstützt** |
* Der Zugriff auf den SharePoint Office-Webbrowser unterstützt die sofortige Erzwingung von IP-Richtlinien, indem der Strict-Modus aktiviert wird. Ohne den strict-Modus beträgt die Gültigkeitsdauer des Zugriffstokens eine Stunde.
** Anrufe, Besprechungen und Chats in Teams entsprechen nicht den IP-basierten Richtlinien für bedingten Zugriff.
Weitere Informationen zum Einrichten einer Richtlinie für bedingten Zugriff finden Sie in diesem Artikel.
Microsoft 365-Clients, die die fortlaufende Zugriffsevaluierung unterstützen
Clients mit aktivierter Fortlaufender Zugriffsauswertung für Microsoft 365 unterstützen eine Anspruchsabfrage, bei der es sich um eine Umleitung einer Benutzersitzung an Azure AD zur erneuten Authentifizierung handelt, wenn ein zwischengespeichertes Benutzertoken von einem Microsoft 365-Dienst mit fortlaufender Zugriffsauswertung abgelehnt wird.
Die folgenden Clients unterstützen die fortlaufende Zugriffsauswertung im Web, Win32, iOS, Android und Mac:
- Outlook
- Teams
- Büro*
- SharePoint
- OneDrive
* Anspruchsaufforderungen werden in Office für Web nicht unterstützt.
Für Clients, die keine fortlaufende Zugriffsauswertung unterstützen, bleibt die Gültigkeitsdauer des Zugriffstokens für Microsoft 365 standardmäßig bei einer Stunde.