Kontinuerlig tilgangsevaluering for Microsoft 365
Moderne skytjenester som bruker OAuth 2.0 for godkjenning, er tradisjonelt avhengige av utløp av tilgangstoken for å tilbakekalle tilgangen til en brukerkonto. I praksis betyr dette at selv om en administrator opphever tilgangen til en brukerkonto, vil brukeren fortsatt ha tilgang til tilgangstokenet utløper, som for Microsoft 365 som standard pleide å være opptil en time etter at den første tilbakekallingshendelsen fant sted.
Kontinuerlig tilgangsevaluering for Microsoft 365 og Azure Active Directory (Azure AD) avslutter proaktivt aktive brukerøkter og håndhever endringer i leierpolicyer i nær sanntid i stedet for å stole på utløp av tilgangstoken. Azure AD varsler kontinuerlig tilgangsevalueringsaktiverte Microsoft 365-tjenester (for eksempel SharePoint, Teams og Exchange) når brukerkontoen eller leieren er endret på en måte som krever ny evaluering av brukerkontoens godkjenningstilstand.
Når en klient som er aktivert for kontinuerlig tilgangsevaluering, for eksempel Outlook, prøver å få tilgang til Exchange med et eksisterende tilgangstoken, blir tokenet avvist av tjenesten, noe som fører til en ny Azure AD-godkjenning. Resultatet er nesten sanntidshåndhevelse av brukerkontoer og policyendringer.
Her er noen ekstra fordeler:
For en ondsinnet insider som kopierer og eksporterer et gyldig tilgangstoken utenfor organisasjonen, hindrer kontinuerlig tilgangsevaluering bruk av dette tokenet gjennom Azure AD policy for IP-adresseplassering. Med kontinuerlig tilgangsevaluering synkroniserer Azure AD policyer ned til støttede Microsoft 365-tjenester, slik at når et tilgangstoken forsøker å få tilgang til tjenesten fra utenfor IP-adresseområdet i policyen, avviser tjenesten tokenet.
Kontinuerlig tilgangsevaluering forbedrer robustheten ved å kreve færre tokenoppdateringer. Fordi støttetjenester mottar proaktive varsler om å kreve reauthentication, kan Azure AD utstede lengre levetid tokener, for eksempel utover en time. Med tokener med lengre levetid trenger ikke klienter å be om en tokenoppdatering fra Azure AD så ofte, slik at brukeropplevelsen er mer robust.
Her er noen eksempler på situasjoner der kontinuerlig tilgangsevaluering forbedrer sikkerheten for brukertilgangskontroll:
Passordet for en brukerkonto er kompromittert, slik at en administrator gjør alle eksisterende økter ugyldige og tilbakestiller passordet fra Administrasjonssenter for Microsoft 365. I nær sanntid blir alle eksisterende brukerøkter med Microsoft 365-tjenester ugyldiggjort.
En bruker som arbeider på et dokument i Word tar nettbrettet til en offentlig kaffebar som ikke er i et administratordefinert og godkjent IP-adresseområde. På kaffebaren blokkeres brukerens tilgang til dokumentet umiddelbart.
For Microsoft 365 støttes kontinuerlig tilgangsevaluering av:
- Exchange-, SharePoint- og Teams-tjenester.
- Outlook, Teams, Office og OneDrive i en nettleser og for Win32-, iOS-, Android- og Mac-klienter.
Microsoft arbeider med flere Microsoft 365-tjenester og -klienter for å støtte kontinuerlig tilgangsevaluering.
Evaluering av kontinuerlig tilgang inkluderes i alle versjoner av Office 365 og Microsoft 365. Konfigurering av policyer for betinget tilgang krever Azure AD Premium P1, som er inkludert i alle Microsoft 365-versjoner.
Obs!
Se denne artikkelen for begrensningene for kontinuerlig tilgangsevaluering.
Scenarioer som støttes av Microsoft 365
Evaluering av kontinuerlig tilgang støtter to typer hendelser:
- Kritiske hendelser er de der en bruker skal miste tilgang.
- Evaluering av betinget tilgangspolicy oppstår når en bruker skal miste tilgang til en ressurs basert på en administratordefinert policy.
Kritiske hendelser omfatter:
- Brukerkonto er deaktivert
- Passordet er endret
- Brukerøkter tilbakekalles
- Godkjenning med flere faktorer er aktivert for brukeren
- Kontorisiko økt basert på evalueringen av tilgangen fra Azure AD Identity Protection
Evaluering av betinget tilgangspolicy oppstår når brukerkontoen ikke lenger kobler til fra et klarert nettverk.
Følgende Microsoft 365-tjenester støtter for øyeblikket kontinuerlig tilgangsevaluering ved å lytte til hendelser fra Azure AD.
| Håndhevelsestype | Exchange | SharePoint | Team |
|---|---|---|---|
| Kritiske hendelser: | |||
| Brukeropphevelser | Støttes | Støttes | Støttes |
| Brukerrisiko | Støttes | Støttes ikke | Støttes |
| Evaluering av betinget tilgangspolicy: | |||
| Policy for ip-adresseplassering | Støttes | Støttes* | Støttes** |
* SharePoint Office-nettlesertilgang støtter øyeblikkelig IP-policyhåndhevelse ved å aktivere streng modus. Uten streng modus er levetiden for tilgangstokenet én time.
** Samtaler, møter og chat i Teams samsvarer ikke med IP-baserte policyer for betinget tilgang.
Hvis du vil ha mer informasjon om hvordan du konfigurerer en policy for betinget tilgang, kan du se denne artikkelen.
Microsoft 365-klienter som støtter kontinuerlig tilgangsevaluering
Klienter som er aktivert for evaluering av kontinuerlig tilgang for Microsoft 365, støtter en kravutfordring, som er en omdirigering av en brukerøkt for å Azure AD for ny godkjenning, når et bufret brukertoken avvises av en kontinuerlig tilgangsevalueringsaktivert Microsoft 365-tjeneste.
Følgende klienter støtter kontinuerlig tilgangsevaluering på nettet, Win32, iOS, Android og Mac:
- Outlook
- Team
- Office*
- SharePoint
- OneDrive
* Kravutfordringen støttes ikke på Office for nettet.
For klienter som ikke støtter kontinuerlig tilgangsevaluering, forblir tilgangstokenets levetid for Microsoft 365 som standard som standard.