Kontinuerlig åtkomstutvärdering för Microsoft 365

Moderna molntjänster som använder OAuth 2.0 för autentisering förlitar sig traditionellt på att åtkomsttoken upphör att gälla för att återkalla ett användarkontos åtkomst. I praktiken innebär detta att även om en administratör återkallar ett användarkontos åtkomst, kommer användaren fortfarande att ha åtkomst tills åtkomsttoken upphör att gälla, vilket för Microsoft 365 som standard brukade vara upp till en timme efter att den första återkallningshändelsen ägde rum.

Utvärdering av villkorsstyrd åtkomst för Microsoft 365 och Azure Active Directory (Azure AD) avslutar proaktivt aktiva användarsessioner och framtvingar principändringar i nästan realtid i stället för att förlita sig på förfallotid för åtkomsttoken. Azure AD meddelar utvärderingsaktiverade Microsoft 365-tjänster (till exempel SharePoint, Teams och Exchange) när användarkontot eller klienten har ändrats på ett sätt som kräver omvärdering av användarkontots autentiseringstillstånd.

När en utvärderingsaktiverad klient för kontinuerlig åtkomst, till exempel Outlook, försöker komma åt Exchange med en befintlig åtkomsttoken avvisas token av tjänsten, vilket leder till en ny Azure AD autentisering. Resultatet är nästan realtidsframtvingande av användarkonto- och principändringar.

Här följer några ytterligare fördelar:

  • För en obehörig insider som kopierar och exporterar en giltig åtkomsttoken utanför organisationen förhindrar kontinuerlig åtkomstutvärdering användning av denna token via Azure AD ip-adressplatsprincip. Med kontinuerlig åtkomstutvärdering synkroniserar Azure AD principer ned till Microsoft 365-tjänster som stöds, så när en åtkomsttoken försöker komma åt tjänsten utanför IP-adressintervallet i principen avvisar tjänsten token.

  • Kontinuerlig åtkomstutvärdering förbättrar återhämtning genom att kräva mindre tokenuppdateringar. Eftersom stödtjänster får proaktiva meddelanden om att kräva omautentisering kan Azure AD utfärda token med längre livslängd, till exempel mer än en timme. Med token med längre livslängd behöver klienterna inte begära en tokenuppdatering från Azure AD så ofta, så användarupplevelsen är mer motståndskraftig.

Här följer några exempel på situationer där kontinuerlig åtkomstutvärdering förbättrar säkerheten för användaråtkomstkontroll:

  • Ett användarkontos lösenord har komprometterats så att en administratör ogiltigförklarar alla befintliga sessioner och återställer sitt lösenord från Administrationscenter för Microsoft 365. I nära realtid ogiltigförklaras alla befintliga användarsessioner med Microsoft 365-tjänster.

  • En användare som arbetar med ett dokument i Word tar sin surfplatta till ett offentligt kafé som inte finns i ett administratörsdefinierat och godkänt IP-adressintervall. På kaféet blockeras användarens åtkomst till dokumentet omedelbart.

För Microsoft 365 stöds kontinuerlig åtkomstutvärdering för närvarande av:

  • Exchange-, SharePoint- och Teams-tjänster.
  • Outlook, Teams, Office och OneDrive i en webbläsare och för Win32-, iOS-, Android- och Mac-klienterna.

Microsoft arbetar med ytterligare Microsoft 365-tjänster och -klienter för att stödja kontinuerlig åtkomstutvärdering.

Kontinuerlig åtkomstutvärdering kommer att ingå i alla versioner av Office 365 och Microsoft 365. För att konfigurera principer för villkorsstyrd åtkomst krävs Azure AD Premium P1, som ingår i alla Microsoft 365-versioner.

Obs!

Se den här artikeln för begränsningarna för kontinuerlig åtkomstutvärdering.

Scenarier som stöds av Microsoft 365

Kontinuerlig åtkomstutvärdering stöder två typer av händelser:

  • Kritiska händelser är de där en användare ska förlora åtkomst.
  • Utvärdering av principer för villkorsstyrd åtkomst sker när en användare ska förlora åtkomsten till en resurs baserat på en administratörsdefinierad princip.

Viktiga händelser är:

  • Användarkontot är inaktiverat
  • Lösenordet har ändrats
  • Användarsessioner återkallas
  • Multifaktorautentisering är aktiverat för användaren
  • Kontorisken ökade baserat på utvärderingen av åtkomsten från Azure AD Identity Protection

Principutvärdering för villkorsstyrd åtkomst sker när användarkontot inte längre ansluter från ett betrott nätverk.

Följande Microsoft 365-tjänster stöder för närvarande kontinuerlig åtkomstutvärdering genom att lyssna på händelser från Azure AD.

Tillämpningstyp Exchange SharePoint Teams
Kritiska händelser:
Återkallande av användare Stöds Stöds Stöds
Användarrisk Stöds Stöds inte Stöds
Principutvärdering för villkorsstyrd åtkomst:
Platsprincip för IP-adress Stöds Stöds* Stöds**

* SharePoint Office-webbläsaråtkomst stöder omedelbar tillämpning av IP-principer genom att aktivera strikt läge. Utan strikt läge är åtkomsttokens livslängd en timme.

** Samtal, möten och chatt i Teams överensstämmer inte med IP-baserade principer för villkorsstyrd åtkomst.

Mer information om hur du konfigurerar en princip för villkorsstyrd åtkomst finns i den här artikeln.

Microsoft 365-klienter som stöder kontinuerlig åtkomstutvärdering

Utvärderingsaktiverade klienter med kontinuerlig åtkomst för Microsoft 365 stöder en anspråksutmaning, som är en omdirigering av en användarsession till Azure AD för omautentisering, när en cachelagrad användartoken avvisas av en utvärderingsaktiverad Microsoft 365-tjänst för kontinuerlig åtkomst.

Följande klienter stöder kontinuerlig åtkomstutvärdering på webben, Win32, iOS, Android och Mac:

  • Outlook
  • Teams
  • Office*
  • SharePoint
  • OneDrive

* Anspråksutmaning stöds inte på Office för webben.

För klienter som inte stöder kontinuerlig åtkomstutvärdering förblir åtkomsttokens livslängd för Microsoft 365 som standard en timme.

Se även