A Microsoft 365 folyamatos hozzáférés-kiértékelése

Az OAuth 2.0-t hitelesítésre használó modern felhőszolgáltatások hagyományosan a hozzáférési jogkivonat lejáratára támaszkodnak a felhasználói fiók hozzáférésének visszavonásához. A gyakorlatban ez azt jelenti, hogy még akkor is, ha egy rendszergazda visszavonja egy felhasználói fiók hozzáférését, a felhasználó továbbra is rendelkezik hozzáféréssel a hozzáférési jogkivonat lejáratáig, amely alapértelmezés szerint Microsoft 365 esetén a kezdeti visszavonási esemény után egy órával volt.

A Microsoft 365 és az Azure Active Directory (Azure AD) feltételes hozzáférésének kiértékelése proaktívan leállítja az aktív felhasználói munkameneteket, és közel valós időben kényszeríti ki a bérlői szabályzat módosításait a hozzáférési jogkivonat lejárata helyett. Azure AD értesíti a folyamatos hozzáférés-kiértékelést lehetővé tevő Microsoft 365-szolgáltatásokról (például a SharePointról, a Teamsről és az Exchange-ről), ha a felhasználói fiók vagy a bérlő olyan módon módosult, amely a felhasználói fiók hitelesítési állapotának újraértékelését igényli.

Amikor egy folyamatos hozzáférés-kiértékelést lehetővé tevő ügyfél, például az Outlook egy meglévő hozzáférési jogkivonattal próbál hozzáférni az Exchange-hez, a szolgáltatás elutasítja a jogkivonatot, és új Azure AD hitelesítést kér. Az eredmény közel valós idejű kényszerítés a felhasználói fiók és a szabályzat módosításai.

Íme néhány további előny:

  • A szervezeten kívüli érvényes hozzáférési jogkivonatot másoló és exportáló rosszindulatú insiderek esetében a folyamatos hozzáférés-kiértékelés megakadályozza a jogkivonat használatát Azure AD IP-címhely-szabályzaton keresztül. A folyamatos hozzáférés-kiértékeléssel Azure AD szinkronizálja a szabályzatokat a támogatott Microsoft 365-szolgáltatásokra, így amikor egy hozzáférési jogkivonat megpróbál hozzáférni a szolgáltatáshoz a szabályzat IP-címtartományán kívülről, a szolgáltatás elutasítja a jogkivonatot.

  • A folyamatos hozzáférés-kiértékelés kevesebb jogkivonat-frissítéssel javítja a rugalmasságot. Mivel a támogató szolgáltatások proaktív értesítéseket kapnak az újrahitelesítés megköveteléséről, Azure AD hosszabb élettartamú tokeneket is kiadhatnak, például egy órán túl. Hosszabb élettartamú tokenek esetén az ügyfeleknek nem kell olyan gyakran jogkivonatfrissítést kérniük Azure AD, hogy a felhasználói élmény rugalmasabb legyen.

Íme néhány példa olyan helyzetekre, amikor a folyamatos hozzáférés-kiértékelés javítja a felhasználói hozzáférés-vezérlés biztonságát:

  • A felhasználói fiók jelszava sérült, ezért a rendszergazda érvényteleníti az összes meglévő munkamenetet, és visszaállítja a jelszót a Microsoft 365 Felügyeleti központ. Közel valós időben a Microsoft 365 szolgáltatással rendelkező összes meglévő felhasználói munkamenet érvénytelenítve lesz.

  • A Wordben dokumentumon dolgozó felhasználók a táblagépüket egy olyan nyilvános kávézóba viszik, amely nem rendszergazda által meghatározott és jóváhagyott IP-címtartományban található. A kávézóban a felhasználó hozzáférése a dokumentumhoz azonnal le lesz tiltva.

A Microsoft 365 esetében a folyamatos hozzáférés-kiértékelést jelenleg a következő rendszerek támogatják:

  • Exchange-, SharePoint- és Teams-szolgáltatások.
  • Az Outlook, a Teams, az Office és a OneDrive böngészőben, valamint Win32, iOS, Android és Mac rendszerű ügyfeleken.

Microsoft további Microsoft 365-szolgáltatásokon és -ügyfeleken dolgozik a folyamatos hozzáférés-kiértékelés támogatásához.

A folyamatos hozzáférés-kiértékelés a Office 365 és a Microsoft 365 összes verziójában megtalálható lesz. A feltételes hozzáférési szabályzatok konfigurálásához Prémium P1 szintű Azure AD szükséges, amely minden Microsoft 365-ös verzióban megtalálható.

Megjegyzés:

A folyamatos hozzáférés-kiértékelés korlátozásait ebben a cikkben találja.

A Microsoft 365 által támogatott forgatókönyvek

A folyamatos hozzáférés-kiértékelés két eseménytípust támogat:

  • A kritikus események azok, amelyekben a felhasználónak el kell veszítenie a hozzáférést.
  • A feltételes hozzáférési szabályzat kiértékelése akkor történik, ha a felhasználónak egy rendszergazda által meghatározott szabályzat alapján el kell veszítenie egy erőforráshoz való hozzáférést.

A kritikus események közé tartoznak a következők:

  • A felhasználói fiók le van tiltva
  • A jelszó megváltozott
  • A felhasználói munkamenetek vissza lettek vonva
  • A többtényezős hitelesítés engedélyezve van a felhasználó számára
  • A fiókkockázat a Azure AD Identity Protectionből való hozzáférés kiértékelése alapján nőtt

A feltételes hozzáférési szabályzat kiértékelése akkor történik, ha a felhasználói fiók már nem csatlakozik megbízható hálózatról.

Az alábbi Microsoft 365-szolgáltatások jelenleg a Azure AD eseményeinek figyelésével támogatják a folyamatos hozzáférés-kiértékelést.

Kényszerítési típus Exchange SharePoint Teams
Kritikus események:
Felhasználó visszavonása Támogatott Támogatott Támogatott
Felhasználói kockázat Támogatott Nem támogatott Támogatott
Feltételes hozzáférési szabályzat kiértékelése:
IP-címhelyre vonatkozó szabályzat Támogatott Támogatott* Támogatott**

* A SharePoint Office webböngésző-hozzáférése a szigorú mód engedélyezésével támogatja az IP-szabályzatok azonnali kikényszerítését. Szigorú mód nélkül a hozzáférési jogkivonat élettartama egy óra.

** A Teamsben a hívások, értekezletek és csevegések nem felelnek meg az IP-alapú feltételes hozzáférési szabályzatoknak.

A feltételes hozzáférési szabályzatok beállításáról ebben a cikkben talál további információt.

Microsoft 365 ügyfél támogatja a folyamatos hozzáférés-kiértékelést

A Microsoft 365-höz készült folyamatos hozzáférés-kiértékelést támogató ügyfelek támogatják a jogcím-ellenőrzést, amely egy felhasználói munkamenet átirányítása az újrahitelesítés Azure AD, ha a gyorsítótárazott felhasználói jogkivonatot egy folyamatos hozzáférés-kiértékelést támogató Microsoft 365 szolgáltatás elutasítja.

A következő ügyfelek támogatják a folyamatos hozzáférés-kiértékelést a weben, a Win32-ben, az iOS-en, az Androidon és a Macen:

  • Outlook
  • Teams
  • Office*
  • SharePoint
  • OneDrive

* A webes Office nem támogatja a jogcímkérdést.

Azok az ügyfelek, amelyek nem támogatják a folyamatos hozzáférés-kiértékelést, a 365-ös Microsoft hozzáférési jogkivonat élettartama alapértelmezés szerint egy óra marad.

Lásd még