通用连续访问评估(预览版)
通用连续访问评估 (CAE) 是全球安全访问 (GSA) 的一项平台功能,与 Microsoft Entra ID 协同工作,以确保每次与新的应用程序资源建立连接时都会验证对 GSA 边缘的访问。 通用 CAE 可保护 GSA 访问令牌免被盗窃和重放。 每当 Entra ID 检测到标识更改时,通用 CAE 将近乎实时地撤销和重新评估网络访问权限。 传统的 Entra ID CAE 要求每个工作负载采用特殊的库,并且仅限于第一方应用程序。 通用 CAE 将 CAE 的优势扩展到任何使用全球安全访问的应用程序,而无需让应用程序了解 CAE。
下面是当 Entra ID 检测到标识更改并近乎实时地触发 CAE 时,通用 CAE 为你的组织带来好处的示例:
- 专用访问 - 用户通过远程桌面进行的会话、对文件服务器的访问以及对受专用访问保护的所有专用资源的访问都会中断,因而降低了离职员工或恶意内部活动泄露数据的风险。
- Internet 访问 - 用户对所有 Internet 资源的访问,包括可能保存公司数据的服务(例如非 Microsoft 文件共享服务和公司协作工具)都会中断,从而降低离职员工泄露数据的风险。
- Microsoft 服务 - 虽然许多 Microsoft 服务原本已使用 CAE,但有些应用程序没有。 使用通用 CAE 时,无论应用程序是否会感知到 CAE,用户对 Microsoft 应用程序的访问都会中断。
- 你可以要求你的用户在被允许使用 GSA 连接到服务之前处于特定网络上,即使在初始隧道身份验证之后,也阻止将其移动到其他网络。 在这种情况下,当用户更改网络时,通过 GSA 进行的网络访问将重新进行身份验证,并重新评估基于位置的条件访问策略。
- 可选的严格强制模式,在条件访问中配置,可防止 GSA 访问令牌被盗/重放。 如果尝试从与身份验证期间使用的原始 IP 地址不同的 IP 地址重放令牌,则会阻止网络访问。
全球安全访问依赖于 Entra ID 访问令牌对服务隧道(Microsoft 流量、Internet 访问和专用访问流量转发配置文件)进行身份验证。 访问令牌的有效期为 60 至 90 分钟。 在访问令牌过期之前,GSA 客户端使用 Entra ID 刷新令牌来获取新的访问令牌。
根据 OAuth2 规范,访问令牌在过期之前有效。 例如,当你禁用某个用户帐户时,Entra ID 会立即使刷新令牌失效,但 GSA 访问令牌最长需要 90 分钟才会过期。
使用通用 CAE,用户标识的更改将近乎实时地传达给全球安全访问。 即使访问令牌仍然有效,全球安全访问也会向最终用户发送特殊的声明质询,要求用户重新进行身份验证。 如果用户无法完成 Entra ID 身份验证质询,则会阻止通过 GSA 进行网络访问。 通用 CAE 缩短了 Entra ID 帐户状态更改与要求用户重新进行身份验证之间的时间窗口,从而降低了离职员工泄露数据的风险。
启用全球安全访问后,可以近乎实时地接收来自 Entra ID 的有关以下事件的信号:
- 用户帐户已删除或禁用
- 用户的密码已更改或已重置
- 已为用户启用多重身份验证
- 管理员显式撤销用户的所有刷新令牌
- Microsoft Entra ID 保护检测到高用户风险
收到安全事件后,全球安全访问客户端将提示用户重新进行身份验证。 如果身份重新验证成功,则会还原用户与受全球安全访问保护的资源的网络连接。
使用严格强制模式时,如果条件访问策略不允许资源提供程序检测到的 IP 地址,则通用 CAE 会立即停止访问。 此选项是 CAE 位置强制实施的最高安全模式,要求管理员了解其网络环境中的身份验证和访问请求的路由。 启用严格强制后,只有在用户从组织授权的 IP 地址范围连接到 GSA 服务时,才能访问全球安全访问服务。
Entra ID 条件访问可用于控制租户中的 CAE 行为。 默认情况下,CAE 针对所有支持它的应用程序启用。 你可以在 Entra ID 租户中禁用 CAE,这将为所有服务(包括全球安全访问)禁用 CAE。 若要在租户中禁用 CAE,请遵循条件访问文档中的步骤
备注
除非在条件访问中启用可选的严格强制模式并将其应用于 GSA 工作负载标识,否则通用 CAE 是机会性的。 默认情况下,受支持的全球安全访问客户端将尝试从 Entra ID 获取 CAE 访问令牌。 如果无法从 Entra ID 获取 CAE 令牌(例如,由于客户端版本不受支持),则会颁发常规访问令牌。 使用回退行为时,无需禁用通用 CAE。
此功能具有一个或多个已知限制。 有关此功能的已知问题和限制的更多详细信息,请参阅全球安全访问的已知限制。