Ciągła ocena dostępu dla Microsoft 365

Nowoczesne usługi w chmurze, które używają protokołu OAuth 2.0 do uwierzytelniania, tradycyjnie polegają na wygaśnięciu tokenu dostępu w celu odwołania dostępu do konta użytkownika. W praktyce oznacza to, że nawet jeśli administrator odwoła dostęp do konta użytkownika, użytkownik będzie nadal miał dostęp do momentu wygaśnięcia tokenu dostępu, co domyślnie dla Microsoft 365 trwało do godziny po początkowym zdarzeniu odwołania.

Ocena dostępu warunkowego dla Microsoft 365 i usługi Azure Active Directory (Azure AD) proaktywnie kończy aktywne sesje użytkowników i wymusza zmiany zasad dzierżawy niemal w czasie rzeczywistym, zamiast polegać na wygaśnięciu tokenu dostępu. Azure AD powiadamia o ciągłej ocenie dostępu usług Microsoft 365 (takich jak SharePoint, Teams i Exchange), gdy konto użytkownika lub dzierżawa uległy zmianie w sposób, który wymaga ponownej oceny stanu uwierzytelniania konta użytkownika.

Gdy klient z obsługą ciągłego dostępu, taki jak Program Outlook, próbuje uzyskać dostęp do programu Exchange przy użyciu istniejącego tokenu dostępu, token jest odrzucany przez usługę, co powoduje wyświetlenie nowego uwierzytelniania Azure AD. Wynikiem jest niemal w czasie rzeczywistym wymuszanie zmian konta użytkownika i zasad.

Oto kilka dodatkowych korzyści:

  • W przypadku złośliwego insidera, który kopiuje i eksportuje prawidłowy token dostępu poza organizacją, ocena ciągłego dostępu uniemożliwia użycie tego tokenu za pośrednictwem zasad lokalizacji adresów IP Azure AD. Dzięki ciągłej ocenie dostępu Azure AD synchronizuje zasady z obsługiwanymi usługami Microsoft 365, dlatego gdy token dostępu próbuje uzyskać dostęp do usługi spoza zakresu adresów IP w zasadach, usługa odrzuca token.

  • Ciągła ocena dostępu zwiększa odporność, wymagając mniejszej ilości odświeżeń tokenów. Ponieważ usługi pomocnicze otrzymują proaktywne powiadomienia o wymaganiu ponownego uwierzytelniania, Azure AD mogą wystawiać tokeny o dłuższym okresie życia, na przykład dłużej niż jedna godzina. W przypadku tokenów o dłuższym okresie życia klienci nie muszą żądać odświeżania tokenu z Azure AD tak często, aby środowisko użytkownika było bardziej odporne.

Oto kilka przykładów sytuacji, w których ciągła ocena dostępu poprawia bezpieczeństwo kontroli dostępu użytkowników:

  • Hasło konta użytkownika zostało naruszone, więc administrator unieważnia wszystkie istniejące sesje i resetuje hasło z Centrum administracyjne platformy Microsoft 365. Niemal w czasie rzeczywistym wszystkie istniejące sesje użytkowników z usługami Microsoft 365 są unieważniane.

  • Użytkownik pracujący nad dokumentem w programie Word przenosi tablet do publicznej kawiarni, która nie znajduje się w zakresie adresów IP zdefiniowanych przez administratora i zatwierdzonych. W kawiarni dostęp użytkownika do dokumentu jest natychmiast blokowany.

W przypadku Microsoft 365 ciągła ocena dostępu jest obecnie obsługiwana przez:

  • Usługi Exchange, SharePoint i Teams.
  • Aplikacje Outlook, Teams, Office i OneDrive w przeglądarce internetowej oraz dla klientów win32, iOS, Android i Mac.

Microsoft pracuje nad dodatkowymi usługami i klientami Microsoft 365 w celu obsługi ciągłej oceny dostępu.

Ciągła ocena dostępu zostanie uwzględniona we wszystkich wersjach Office 365 i Microsoft 365. Konfigurowanie zasad dostępu warunkowego wymaga Azure AD — wersja Premium P1, który jest uwzględniony we wszystkich wersjach Microsoft 365.

Uwaga

Zobacz ten artykuł , aby zapoznać się z ograniczeniami ciągłej oceny dostępu.

Scenariusze obsługiwane przez Microsoft 365

Ocena ciągłego dostępu obsługuje dwa typy zdarzeń:

  • Zdarzenia krytyczne to zdarzenia, w których użytkownik powinien utracić dostęp.
  • Ocena zasad dostępu warunkowego występuje, gdy użytkownik powinien utracić dostęp do zasobu na podstawie zasad zdefiniowanych przez administratora.

Zdarzenia krytyczne obejmują:

  • Konto użytkownika jest wyłączone
  • Hasło zostało zmienione
  • Sesje użytkowników są odwoływane
  • Uwierzytelnianie wieloskładnikowe jest włączone dla użytkownika
  • Zwiększone ryzyko konta w oparciu o ocenę dostępu z usługi Azure AD Identity Protection

Ocena zasad dostępu warunkowego występuje, gdy konto użytkownika nie łączy się już z zaufanej sieci.

Następujące usługi Microsoft 365 obsługują obecnie ciągłą ocenę dostępu przez nasłuchiwanie zdarzeń z Azure AD.

Typ wymuszania Exchange SharePoint Teams
Zdarzenia krytyczne:
Odwoływanie użytkowników Obsługiwane Obsługiwane Obsługiwane
Ryzyko związane z użytkownikiem Obsługiwane Nieobsługiwane Obsługiwane
Ocena zasad dostępu warunkowego:
Zasady lokalizacji adresów IP Obsługiwane Obsługiwane* Obsługiwane**

* Dostęp do przeglądarki internetowej pakietu SharePoint Office obsługuje natychmiastowe wymuszanie zasad adresów IP przez włączenie trybu ścisłego. Bez trybu ścisłego okres istnienia tokenu dostępu wynosi jedną godzinę.

** Połączenia, spotkania i czaty w usłudze Teams nie są zgodne z zasadami dostępu warunkowego opartego na protokole IP.

Aby uzyskać więcej informacji na temat konfigurowania zasad dostępu warunkowego, zobacz ten artykuł.

Microsoft 365 klientów obsługujących ciągłą ocenę dostępu

Klienci z obsługą ciągłej oceny dostępu dla Microsoft 365 obsługują żądanie oświadczeń, które jest przekierowaniem sesji użytkownika do Azure AD w celu ponownego uwierzytelnienia, gdy buforowany token użytkownika jest odrzucany przez usługę Microsoft 365 z włączoną ciągłą oceną dostępu.

Następujący klienci obsługują ciągłą ocenę dostępu w sieci Web, Win32, iOS, Android i Mac:

  • Outlook
  • Teams
  • Office*
  • SharePoint
  • OneDrive

* Żądanie oświadczeń nie jest obsługiwane w pakiecie Office dla Sieci Web.

W przypadku klientów, którzy nie obsługują ciągłej oceny dostępu, okres istnienia tokenu dostępu do Microsoft 365 domyślnie trwa jedną godzinę.

Zobacz też