Microsoft 365 的持续访问评估
使用 OAuth 2.0 进行身份验证的新式云服务传统上依赖于访问令牌过期来撤销用户帐户的访问权限。 实际上,这意味着即使管理员撤销了用户帐户的访问权限,该用户仍有权访问,直到访问令牌过期(对于 Microsoft 365 来说,默认情况下,该令牌在初始吊销事件发生后最多为一小时)。
Microsoft 365 和 Azure Active Directory (Azure AD 的条件访问评估) 主动终止活动用户会话,并近乎实时地强制实施租户策略更改,而不是依赖于访问令牌过期。 当用户帐户或租户以需要重新评估用户帐户的身份验证状态的方式发生更改时,Azure AD 会通知启用了持续访问评估的 Microsoft 365 服务 ((如 SharePoint、Teams 和 Exchange) )。
当启用了持续访问评估的客户端(如 Outlook)尝试使用现有访问令牌访问 Exchange 时,服务会拒绝该令牌,从而提示进行新的 Azure AD 身份验证。 结果是近乎实时地强制实施用户帐户和策略更改。
下面是一些其他优势:
对于在组织外部复制和导出有效访问令牌的恶意内部人员,持续访问评估会阻止通过 Azure AD IP 地址位置策略使用此令牌。 通过持续访问评估,Azure AD 会将策略同步到支持的 Microsoft 365 服务,因此当访问令牌尝试从策略中的 IP 地址范围之外访问服务时,服务会拒绝令牌。
持续访问评估通过减少令牌刷新量来提高复原能力。 由于支持服务会收到有关要求重新进行身份验证的主动通知,因此 Azure AD 可以颁发生存期较长的令牌,例如超过一小时。 使用生存期较长的令牌,客户端不必像经常那样从 Azure AD 请求令牌刷新,因此用户体验更具弹性。
下面是持续访问评估可提高用户访问控制安全性的一些情况示例:
用户帐户的密码已泄露,因此管理员使所有现有会话失效,并从Microsoft 365 管理中心重置其密码。 使用 Microsoft 365 服务的所有现有用户会话几乎实时失效。
在 Word 中处理文档的用户将其平板电脑带到不在管理员定义和批准的 IP 地址范围内的公共咖啡店。 在咖啡店,用户对文档的访问立即被阻止。
对于 Microsoft 365,以下项当前支持持续访问评估:
- Exchange、SharePoint 和 Teams 服务。
- Web 浏览器中的 Outlook、Teams、Office 和 OneDrive 以及 Win32、iOS、Android 和 Mac 客户端。
Microsoft 正在开发其他 Microsoft 365 服务和客户端,以支持持续访问评估。
持续访问评估将包含在 Office 365 和 Microsoft 365 的所有版本中。 配置条件访问策略需要Azure AD Premium P1,这包含在所有 Microsoft 365 版本中。
注意
有关持续访问评估的限制,请参阅 此文 。
Microsoft 365 支持的方案
持续访问评估支持两种类型的事件:
- 关键事件是用户应失去访问权限的事件。
- 当用户应根据管理员定义的策略失去对资源的访问权限时,将进行条件访问策略评估。
关键事件包括:
- 用户帐户已禁用
- 密码已更改
- 用户会话被撤销
- 为用户启用了多重身份验证
- 根据对 Azure AD 标识保护的访问进行评估,帐户风险增加
当用户帐户不再从受信任的网络进行连接时,将进行条件访问策略评估。
以下 Microsoft 365 服务当前支持通过侦听来自 Azure AD 的事件进行持续访问评估。
| 强制类型 | Exchange | SharePoint | Teams |
|---|---|---|---|
| 关键事件: | |||
| 用户吊销 | 支持 | 支持 | 支持 |
| 用户风险 | 支持 | 不支持 | 支持 |
| 条件访问策略评估: | |||
| IP 地址位置策略 | 支持 | 支持* | 支持** |
* SharePoint Office Web 浏览器访问通过启用严格模式支持即时实施 IP 策略。 如果没有严格模式,访问令牌生存期为 1 小时。
** Teams 中的通话、会议和聊天不符合基于 IP 的条件访问策略。
有关如何设置条件访问策略的详细信息,请参阅 此文。
支持持续访问评估的 Microsoft 365 客户端
启用连续访问评估的 Microsoft 365 客户端支持声明质询,这是在启用持续访问评估的 Microsoft 365 服务拒绝缓存用户令牌时,将用户会话重定向到 Azure AD 以进行重新身份验证。
以下客户端支持在 Web、Win32、iOS、Android 和 Mac 上进行持续访问评估:
- Outlook
- Teams
- 办公室*
- SharePoint
- OneDrive
* Office 网页版不支持索赔质询。
对于不支持持续访问评估的客户端,Microsoft 365 的访问令牌生存期默认保留为一小时。