A Microsoft 365 folyamatos hozzáférés-kiértékelése
Az OAuth 2.0-t hitelesítésre használó modern felhőszolgáltatások hagyományosan a hozzáférési jogkivonat lejáratára támaszkodnak a felhasználói fiók hozzáférésének visszavonásához. A gyakorlatban ez azt jelenti, hogy még akkor is, ha egy rendszergazda visszavonja egy felhasználói fiók hozzáférését, a felhasználó továbbra is rendelkezik hozzáféréssel a hozzáférési jogkivonat lejáratáig, amely a Microsoft 365 esetében alapértelmezés szerint a kezdeti visszavonási esemény után egy órával volt.
A Microsoft 365 és Microsoft Entra ID folyamatos hozzáférés-kiértékelése proaktívan leállítja az aktív felhasználói munkameneteket, és közel valós időben kényszeríti ki a bérlői szabályzat módosításait a hozzáférési jogkivonat lejárata helyett. Microsoft Entra ID értesíti a folyamatos hozzáférés-kiértékelést használó Microsoft 365-szolgáltatásokat (például a SharePointot, a Teamst és az Exchange-et), ha a felhasználói fiók vagy a bérlő olyan módon módosult, amely a felhasználói fiók hitelesítési állapotának újraértékelését igényli.
Amikor egy folyamatos hozzáférés-kiértékelést lehetővé tevő ügyfél, például az Outlook egy meglévő hozzáférési jogkivonattal próbál hozzáférni az Exchange-hez, a szolgáltatás elutasítja a jogkivonatot, és új Microsoft Entra hitelesítést kér. Az eredmény közel valós idejű kényszerítés a felhasználói fiók és a szabályzat módosításai.
Íme néhány további előny:
A szervezeten kívül érvényes hozzáférési jogkivonatot másoló és exportáló rosszindulatú belső felhasználók esetén a folyamatos hozzáférés-kiértékelés megakadályozza a jogkivonat használatát Microsoft Entra IP-címhely-házirenddel. A folyamatos hozzáférés-kiértékeléssel Microsoft Entra ID szinkronizálja a szabályzatokat a támogatott Microsoft 365-szolgáltatásokra, így amikor egy hozzáférési jogkivonat a szabályzat IP-címtartományán kívülről kísérli meg elérni a szolgáltatást, a szolgáltatás elutasítja a jogkivonatot.
A folyamatos hozzáférés-kiértékelés kevesebb jogkivonat-frissítéssel javítja a rugalmasságot. Mivel a támogató szolgáltatások proaktív értesítéseket kapnak az újrahitelesítés megköveteléséről, Microsoft Entra ID hosszabb élettartamú tokeneket is kiadhatnak, például egy órán túl. Hosszabb élettartamú tokenek esetén az ügyfeleknek nem kell olyan gyakran jogkivonatfrissítést kérniük Microsoft Entra ID, hogy a felhasználói élmény rugalmasabb legyen.
Íme néhány példa olyan helyzetekre, amikor a folyamatos hozzáférés-kiértékelés javítja a felhasználói hozzáférés-vezérlés biztonságát:
A felhasználói fiók jelszava sérült, ezért a rendszergazda érvényteleníti az összes meglévő munkamenetet, és visszaállítja a jelszót a Microsoft 365 Felügyeleti központ. Közel valós időben a Microsoft 365-szolgáltatásokkal rendelkező összes meglévő felhasználói munkamenet érvénytelenítve lesz.
A dokumentumon dolgozó felhasználó Word a táblagépét egy nyilvános kávézóba viszi, amely nem rendszergazda által meghatározott és jóváhagyott IP-címtartományban található. A kávézóban a felhasználó hozzáférése a dokumentumhoz azonnal le lesz tiltva.
A Microsoft 365 esetében a folyamatos hozzáférés kiértékelését jelenleg a következő rendszerek támogatják:
- Exchange-, SharePoint- és Teams-szolgáltatások.
- Az Outlook, a Teams, az Office és a OneDrive böngészőben, valamint Win32, iOS, Android és Mac rendszerű ügyfeleken.
A Microsoft további Microsoft 365-szolgáltatásokon és -ügyfeleken dolgozik, hogy támogassa a folyamatos hozzáférés-kiértékelést.
A folyamatos hozzáférés-kiértékelés a Office 365 és a Microsoft 365 minden verziójában megtalálható lesz. A feltételes hozzáférési szabályzatok konfigurálásához Microsoft Entra ID P1 szükséges, amely minden Microsoft 365-verzióban megtalálható.
Megjegyzés:
A folyamatos hozzáférés-kiértékelés korlátozásait ebben a cikkben találja.
A Microsoft 365 által támogatott forgatókönyvek
A folyamatos hozzáférés-kiértékelés két eseménytípust támogat:
- A kritikus események azok, amelyekben a felhasználónak el kell veszítenie a hozzáférést.
- A feltételes hozzáférési szabályzat kiértékelése akkor történik, ha a felhasználónak egy rendszergazda által meghatározott szabályzat alapján el kell veszítenie egy erőforráshoz való hozzáférést.
A kritikus események közé tartoznak a következők:
- A felhasználói fiók le van tiltva
- A jelszó megváltozott
- A felhasználói munkamenetek vissza lettek vonva
- A többtényezős hitelesítés engedélyezve van a felhasználó számára
- A fiókkockázat a Microsoft Entra ID-védelem
A feltételes hozzáférési szabályzat kiértékelése akkor történik, ha a felhasználói fiók már nem csatlakozik megbízható hálózatról.
Az alábbi Microsoft 365-szolgáltatások jelenleg a Microsoft Entra ID eseményeinek figyelésével támogatják a folyamatos hozzáférés-kiértékelést.
| Kényszerítési típus | Exchange | SharePoint | Teams |
|---|---|---|---|
| Kritikus események: | |||
| Felhasználó visszavonása | Támogatott | Támogatott | Támogatott |
| Felhasználói kockázat | Támogatott | Nem támogatott | Támogatott |
| Feltételes hozzáférési szabályzat kiértékelése: | |||
| IP-címhelyre vonatkozó szabályzat | Támogatott | Támogatott* | Támogatott** |
* A SharePoint Office webböngésző-hozzáférése a szigorú mód engedélyezésével támogatja az IP-szabályzatok azonnali kényszerítését. Szigorú mód nélkül a hozzáférési jogkivonat élettartama egy óra.
** A Teamsben a hívások, értekezletek és csevegések nem felelnek meg az IP-alapú feltételes hozzáférési szabályzatoknak.
A feltételes hozzáférési szabályzatok beállításáról ebben a cikkben talál további információt.
A folyamatos hozzáférés-kiértékelést támogató Microsoft 365-ügyfelek
A Microsoft 365 folyamatos hozzáférés-kiértékelést támogató ügyfelei támogatják a jogcímekkel kapcsolatos kihívást, amely egy felhasználói munkamenet átirányítása az újrahitelesítéshez Microsoft Entra ID, ha a gyorsítótárazott felhasználói jogkivonatot egy folyamatos hozzáférés-kiértékelést támogató Microsoft 365-szolgáltatás elutasítja.
A következő ügyfelek támogatják a folyamatos hozzáférés-kiértékelést a weben, a Win32-ben, az iOS-en, az Androidon és a Macen:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* A webes Office nem támogatja a jogcímkérdést.
Azok az ügyfelek, amelyek nem támogatják a folyamatos hozzáférés-kiértékelést, a Microsoft 365 hozzáférési jogkivonatának élettartama alapértelmezés szerint egy óra marad.
Lásd még
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: