Непрерывная оценка доступа для Microsoft 365

Современные облачные службы, использующие OAuth 2.0 для проверки подлинности, обычно используют срок действия маркера доступа для отмены доступа учетной записи пользователя. На практике это означает, что даже если администратор отозвал доступ к учетной записи пользователя, пользователь по-прежнему будет иметь доступ до истечения срока действия маркера доступа, который по умолчанию для Microsoft 365 использовался до часа после первоначального отзыва.

Оценка условного доступа для Microsoft 365 и Azure Active Directory (Azure AD) заблаговременно завершает активные сеансы пользователей и применяет изменения политики клиента практически в реальном времени вместо того, чтобы полагаться на срок действия маркера доступа. Azure AD уведомляет службы Microsoft 365 с поддержкой непрерывной оценки доступа (например, SharePoint, Teams и Exchange), если учетная запись пользователя или клиент изменились таким образом, что требуется повторно оценить состояние проверки подлинности учетной записи пользователя.

Когда клиент с поддержкой непрерывной оценки доступа, например Outlook, пытается получить доступ к Exchange с помощью существующего маркера доступа, токен отклоняется службой, запрашивая новую Azure AD проверку подлинности. Результатом является применение изменений учетной записи пользователя и политики практически в реальном времени.

Ниже приведены некоторые дополнительные преимущества.

  • Для злоумышленника, который копирует и экспортирует действительный маркер доступа за пределами вашей организации, непрерывная оценка доступа предотвращает использование этого маркера с помощью Azure AD ip-адреса. При непрерывной оценке доступа Azure AD синхронизирует политики с поддерживаемыми службами Microsoft 365, поэтому, когда маркер доступа пытается получить доступ к службе извне диапазона IP-адресов в политике, служба отклоняет маркер.

  • Непрерывная оценка доступа повышает устойчивость за счет меньшего числа обновлений маркеров. Так как вспомогательные службы получают упреждающие уведомления о необходимости повторной проверки подлинности, Azure AD могут создавать долгосрочные маркеры, например более одного часа. При работе с долгосрочными маркерами клиентам не нужно запрашивать обновление маркера из Azure AD так часто, поэтому взаимодействие с пользователем становится более устойчивым.

Ниже приведены некоторые примеры ситуаций, когда непрерывная оценка доступа повышает безопасность контроля доступа пользователей.

  • Пароль учетной записи пользователя был скомпрометирован, поэтому администратор недействителен для всех существующих сеансов и сбрасывает пароль из Центр администрирования Microsoft 365. Практически в реальном времени все существующие сеансы пользователей со службами Microsoft 365 являются недействительными.

  • Пользователь, работающий над документом в Word, принимает планшет в общедоступную кафе, которая не находится в диапазоне IP-адресов, определенных администратором и утвержденным. В кафе доступ пользователя к документу немедленно блокируется.

Для Microsoft 365 в настоящее время непрерывная оценка доступа поддерживается в следующих целях:

  • Службы Exchange, SharePoint и Teams.
  • Outlook, Teams, Office и OneDrive в веб-браузере, а также для клиентов Win32, iOS, Android и Mac.

Корпорация Майкрософт работает над дополнительными службами и клиентами Microsoft 365 для поддержки непрерывной оценки доступа.

Непрерывная оценка доступа будет включена во все версии Office 365 и Microsoft 365. Для настройки политик условного доступа Azure AD Premium P1, которые включены во все версии Microsoft 365.

Примечание.

Ограничения непрерывной оценки доступа см. в этой статье.

Сценарии, поддерживаемые Microsoft 365

Непрерывная оценка доступа поддерживает два типа событий:

  • Критическими событиями являются события, в которых пользователь должен потерять доступ.
  • Оценка политики условного доступа происходит, когда пользователь должен потерять доступ к ресурсу на основе политики, определяемой администратором.

К критически важным событиям относятся:

  • Учетная запись пользователя отключена
  • Пароль изменен
  • Пользовательские сеансы отменяются
  • Для пользователя включена многофакторная проверка подлинности
  • Риск учетной записи увеличивается в зависимости от оценки доступа из Azure AD identity Protection

Оценка политики условного доступа происходит, когда учетная запись пользователя больше не подключается из доверенной сети.

Следующие службы Microsoft 365 в настоящее время поддерживают непрерывную оценку доступа, прослушивая события из Azure AD.

Тип принудительного применения Exchange SharePoint Teams
Критические события:
Отзыв пользователя Поддерживается Поддерживается Поддерживается
Риск пользователя Поддерживается Не поддерживается Поддерживается
Оценка политики условного доступа:
Политика расположения IP-адресов Поддерживается Поддерживается* Поддерживается**

* Доступ к веб-браузеру SharePoint Office поддерживает мгновенное применение политики IP-адресов, включив строгий режим. Без строгого режима время существования маркера доступа равно одному часу.

** Звонки, собрания и чат в Teams не соответствуют политикам условного доступа на основе IP-адресов.

Дополнительные сведения о настройке политики условного доступа см. в этой статье.

Клиенты Microsoft 365, поддерживающие непрерывную оценку доступа

Клиенты с поддержкой непрерывной оценки доступа для Microsoft 365 поддерживают запрос на утверждение, который представляет собой перенаправление сеанса пользователя в Azure AD для повторной проверки подлинности, когда кэшированный маркер пользователя отклоняется службой Microsoft 365 с поддержкой непрерывной оценки доступа.

Следующие клиенты поддерживают непрерывную оценку доступа в Интернете, Win32, iOS, Android и Mac:

  • Outlook
  • Teams
  • Офис*
  • SharePoint;
  • OneDrive;

* Запрос на утверждение не поддерживается в Office для Интернета.

Для клиентов, которые не поддерживают непрерывную оценку доступа, срок действия маркера доступа для Microsoft 365 по умолчанию остается в течение одного часа.

См. также