持續性存取評估
權杖到期和重新整理是產業中的標準機制。 當用戶端應用程式 (例如 Outlook) 連線到 Exchange Online 之類的服務時,就會使用 OAuth 2.0 存取權杖來授權 API 要求。 存取權杖的有效期預設為一小時,當存取權杖到期時,用戶端會重新導向 Microsoft Entra 來重新整理權杖。 該重新整理期間會提供機會來重新評估使用者存取的原則。 例如:由於條件式存取原則,或因為目錄中已停用使用者,我們可能選擇不重新整理權杖。
客戶擔心變更使用者的條件與實施原則變更之間有所延遲。 Microsoft 實驗了「鈍器」方法來縮短權杖存留期,但發現會降低使用者體驗和可靠性,也沒排除風險。
其實需要權杖簽發者 Microsoft Entra 和信賴憑證者 (已啟用的應用程式) 之間的「對話」,才能及時回應原則違規或安全性問題。 這種雙向交談為我們提供兩項重要的功能。 信賴憑證者可以看到屬性變更 (例如網路位置),以及告知權杖簽發者。 此外,其也會為權杖簽發者提供一種方法,告知信賴憑證者因為帳戶入侵、停用或其他考慮,而停止對給定使用者的權杖。 此交談的機制是持續性存取評估 (CAE),這是以 Open ID 持續性存取評估設定檔 (CAEP) 為基礎的業界標準。 關鍵事件評估的目標是使回應接近即時,但由於事件傳播時間的原因,可能會觀察到長達 15 分鐘的延遲;不過,會即時強制執行 IP 位置原則。
持續性存取評估的初期實作著重於 Exchange、Teams 和 SharePoint Online。
若要讓您的應用程式準備好使用 CAE,請參閱如何在您的應用程式中使用已啟用持續性存取評估的 API。
重點優勢
- 使用者終止或密碼變更/重設:會以近乎即時的方式強制執行使用者工作階段撤銷。
- 網路位置變更:會以近乎即時的方式強制執行條件式存取位置原則。
- 您可以使用條件式存取位置原則來防止將權杖匯出至受信任網路外部的機器。
案例
有兩種案例組成持續性存取評估、重大事件評估和條件式存取原則評估。
重大事件評估
持續性存取評估的實作方式是藉由啟用 Exchange Online、SharePoint Online 和 Teams 等服務來訂閱重大 Microsoft Entra 事件。 然後,就可以評估這些事件並近乎即時地強制執行。 重大事件評估不會依賴條件式存取原則,因此可在任何租用戶中使用。 目前會評估下列事件:
- 使用者帳戶已刪除或停用
- 使用者的密碼已變更或重設
- 已針對使用者啟用多重要素驗證
- 系統管理員會明確撤銷使用者的所有重新整理權杖
- Microsoft Entra ID Protection 偵測到的高使用者風險
此程序可讓使用者在重大事件後幾分鐘內無法從 Microsoft 365 用戶端應用程式存取組織 SharePoint Online 檔案、電子郵件、行事曆或工作,以及 Teams。
注意
SharePoint Online 不支援使用者風險事件。
條件式存取原則評估
Exchange Online、SharePoint Online、Teams 和 MS Graph 可以同步處理關鍵條件式存取原則,以在服務本身內進行評估。
在網路位置變更之後,此流程可立即處理使用者無法從 Microsoft 365 用戶端應用程式或 SharePoint Online 存取檔案、電子郵件、行事曆或工作的情況。
注意
並不完全支援所有用戶端應用程式和資源提供者組合。 請參見後面的表格。 下表第一欄是指透過網頁瀏覽器啟動的 Web 應用程式 (例如在網頁瀏覽器中啟動的 PowerPoint),而其餘四欄是指在所述每個平台上執行的原生應用程式。 此外,提及 "Office" 時包括 Word、Excel 和 PowerPoint。
Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
---|---|---|---|---|---|
SharePoint Online | 支援 | 支援 | 支援 | 支援 | 支援 |
Exchange Online | 支援 | 支援 | 支援 | 支援 | 支援 |
Office Web 應用程式 | Office Win32 應用程式 | iOS 版 Office | Android 版 Office | Mac 版 Office | |
---|---|---|---|---|---|
SharePoint Online | 不支援 * | 支援 | 支援 | 支援 | 支援 |
Exchange Online | 不支援 | 支援 | 支援 | 支援 | 支援 |
OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
---|---|---|---|---|---|
SharePoint Online | 支援 | 不支援 | 支援 | 已支援 | 不支援 |
Teams Web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
---|---|---|---|---|---|
Teams 服務 | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
SharePoint Online | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
Exchange Online | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
* 設定條件式存取原則時,Office Web 應用程式的權杖存留期會縮減為 1 小時。
注意
Teams 是由多個服務所組成,在這些服務中,通話和聊天服務不會遵守 IP 型條件式存取原則。
Exchange Online 的 Azure Government 租用戶 (GCC High 和 DOD) 也提供持續性存取評估。
用戶端功能
用戶端宣告挑戰
在持續性存取評估之前,用戶端會從快取中重新執行存取權杖 (只要尚未到期)。 在 CAE 中,我們提出一種新的情況,即使權杖未過期,資源提供者也可能拒絕權杖。 為了通知用戶端即使快取令牌尚未過期,我們還是引進了稱為 宣告挑戰 的機制,以指出令牌遭到拒絕,而且必須Microsoft Entra 發出新的存取令牌。 CAE 需要用戶端更新以理解宣告挑戰。 下列應用程式的最新版本支援宣告挑戰:
Web | Win32 | iOS | Android | Mac | |
---|---|---|---|---|---|
Outlook | 支援 | 支援 | 支援 | 支援 | 支援 |
團隊 | 支援 | 支援 | 支援 | 支援 | 支援 |
Office | 不支援 | 支援 | 支援 | 支援 | 支援 |
OneDrive | 支援 | 支援 | 支援 | 支援 | 支援 |
權杖存留期
由於是即時評估風險和原則,用戶端在協商持續性存取評估感知工作階段時,不再依賴靜態存取權杖存留期原則。 這項改變表示協商 CAE 感知工作階段的用戶端不遵循可設定的權杖存留期原則。
在 CAE 工作階段中,權杖存留期變得更久,最長 28 小時。 不只在任意期間,重大事件和原則評估也會引起撤銷。 這項改變提高應用程式的穩定性,但不影響安全性態勢。
如果您使用的用戶端不支援 CAE,則預設存取權杖存留期仍為 1 小時。 只有當您使用可設定的權杖存留期 (CTL) 預覽功能來設定存取權杖存留期時,才會變更預設。
範例流程圖
使用者撤銷事件流程
- 支援 CAE 的用戶端向 Microsoft Entra 出示認證或重新整理權杖,以要求某項資源的存取權杖。
- 存取權杖會連同其他成品一起傳回至用戶端。
- 系統管理員會明確撤銷使用者的所有重新整理權杖,然後從 Microsoft Entra 向資源提供者傳送撤銷事件。
- 系統會向資源提供者展示存取權杖。 資源提供者會評估權杖的有效性,並檢查是否有任何使用者的撤銷事件。 資源提供者會使用此資訊來決定是否要授與資源的存取權。
- 在此案例中,資源提供者拒絕存取,並將 401+ 宣告挑戰傳回至用戶端。
- 支援 CAE 的用戶端了解 401+ 宣告挑戰。 用戶端略過快取並回到步驟 1,將重新整理權杖連同宣告挑戰一起傳回至 Microsoft Entra。 在此案例中,Microsoft Entra 接著重新評估所有條件,並提示使用者重新驗證。
使用者條件變更流程
在下列範例中,條件式存取管理員已根據條件式存取原則來設定位置,只允許從特定 IP 範圍存取:
- 支援 CAE 的用戶端向 Microsoft Entra 出示認證或重新整理權杖,以要求某項資源的存取權杖。
- Microsoft Entra 評估所有條件式存取原則,檢查使用者和用戶端是否符合條件。
- 存取權杖會連同其他成品一起傳回至用戶端。
- 使用者脫離允許的 IP 範圍。
- 用戶端從允許的 IP 範圍外面向資源提供者出示存取權杖。
- 資源提供者評估權杖的有效性,並檢查從 Microsoft Entra 同步的位置原則。
- 在此案例中,資源提供者拒絕存取,並將 401+ 宣告挑戰傳回至用戶端。 用戶端不是來自允許的 IP 範圍,所以受到質疑。
- 支援 CAE 的用戶端了解 401+ 宣告挑戰。 用戶端略過快取並回到步驟 1,將重新整理權杖連同宣告挑戰一起傳回至 Microsoft Entra。 在此案例中,Microsoft Entra 重新評估所有條件並拒絕存取。
IP 位址變化的例外狀況,以及如何關閉例外狀況
在上述步驟 8 中,Microsoft Entra 重新評估條件時,會拒絕存取,因為 Microsoft Entra 偵測到的新位置超出允許的 IP 範圍。 情況不一定是如此。 由於某些複雜的網路拓撲,即使資源提供者收到的存取要求來自不允許的 IP 位址,驗證要求也可能來自允許的輸出 IP 位址。 在這些情況下,Microsoft Entra 會認為用戶端繼續位於允許的位置,並且應該獲得存取權。 因此,Microsoft Entra 會發出一小時的權杖,該權杖會暫停對資源的 IP 位址檢查,直到權杖過期。 Microsoft Entra 會繼續強制執行 IP 位址檢查。
如果您要透過「全球安全存取」將流量傳送至非 Microsoft 365 資源,則資源提供者不會察覺到使用者的來源 IP 位址,因為這些資源目前不支援來源 IP 還原。 在此情況下,如果使用者位於受信任的 IP 位置 (如 Microsoft Entra 所見),Microsoft Entra 會發出一小時權杖,該權杖會暫停資源的 IP 位址檢查,直到權杖過期。 Microsoft Entra 會繼續針對這些資源正確強制執行 IP 位址檢查。
標準與Strict 模式。 在此例外狀況下 (即 Microsoft Entra ID 偵測到的允許位置與資源提供者偵測到的禁止位置之間) 授予存取權限,可以透過維持對重要資源的存取,來保護使用者生產力。 這是標準位置強制執行。 另一方面,在穩定網路拓撲下運作並希望移除此例外狀況的系統管理員可以使用嚴格位置強制執行 (公開預覽版)。
啟用或停用 CAE
CAE 設定已移至條件式存取。 新的 CAE 客戶在建立條件式存取原則時,可以直接存取和切換 CAE。 然而,某些現有的客戶必須先經過移轉,才能透過條件式存取來存取 CAE。
遷移
先前已在 [安全性] 下完成 CAE 設定的客戶,必須將設定遷移至新的條件式存取原則。
下表根據先前完成的 CAE 設定,說明每個客戶群組的移轉體驗。
現有的 CAE 設定 | 需要移轉 | 對 CAE 自動啟用 | 預期的移轉體驗 |
---|---|---|---|
新租用戶在舊體驗中完全未設定過。 | No | Yes | 已知這些客戶在正式發行之前可能從未看過體驗,因此會隱藏舊的 CAE 設定。 |
租用戶明確支援所有具有舊體驗的使用者。 | No | Yes | 舊的 CAE 設定呈現灰色。由於這些客戶對所有使用者明確啟用此設定,所以不需要遷移。 |
租用戶明確支援一些在租用戶中具有舊體驗的使用者。 | 是 | No | 舊的 CAE 設定呈現灰色。按一下 [遷移] 會啟動新的條件式存取原則精靈,其中包含 [所有使用者],但排除從 CAE 複製的使用者和群組。 還會將新的 [自訂持續性存取評估] 工作階段控制項設定為 [已停用]。 |
租用戶明確停用預覽。 | 是 | No | 舊的 CAE 設定呈現灰色。按一下 [遷移] 會啟動新的條件式存取原則精靈,其中包含 [所有使用者],並將新的 [自訂持續性存取評估] 工作階段控制項設定為 [已停用]。 |
如需將持續性存取評估當作工作階段控制項的詳細資訊,請參閱自訂持續性存取評估一節。
限制
群組成員資格和原則更新生效時間
管理員對條件式存取原則和群組成員資格所做的變更,可能需要將近一天的時間才會生效。 延遲起因於 Microsoft Entra 與資源提供者 (例如 Exchange Online 和 SharePoint Online) 之間的複寫。 原則更新已稍微經過最佳化,使延遲縮短為兩小時。 但仍未涵蓋所有情況。
當條件式存取原則或群組成員資格的變更必須立即套用至某些使用者時,您有兩種作法。
- 執行 revoke-mgusersign PowerShell 命令,以撤銷特定使用者的所有重新整理權杖。
- 在使用者設定檔頁面上,選取 [撤銷工作階段] 來撤銷使用者的工作階段,以確保立即套用更新的原則。
IP 位址變化以及具有共用 IP 位址或未知輸出 IP 的網路
新式網路通常會以不同方式最佳化應用程式的連線和網路路徑。 此最佳化經常會導致連線路由和來源 IP 位址的變化,如您的識別提供者和資源提供者所見。 您可能會在多個網路拓撲中觀察到此分割路徑或 IP 位址變化,包括但不限於:
- 內部部署和雲端式 Proxy。
- 虛擬私人網路 (VPN )實作,例如分割通道。
- 軟體定義廣域網路 (SD-WAN) 部署。
- 負載平衡或備援網路輸出網路拓撲,例如使用 SNAT 的網路拓撲。
- 允許特定應用程式直接連接網際網路的分公司部署。
- 支援 IPv6 用戶端的網路。
- 其他拓撲,其處理應用程式或資源流量的方式,不同於處理識別提供者流量的方式。
除了 IP 變化之外,客戶也可能採用下列網路解決方案和服務:
- 使用可能與其他客戶共用的 IP 位址。 例如,雲端式 Proxy 服務,其中輸出 IP 位址會在客戶之間共用。
- 使用容易變化或無法定義的 IP 位址。 例如,使用大型動態輸出 IP 位址集的拓撲,例如大型企業案例或分割 VPN 和本機輸出網路流量。
輸出 IP 位址可能會經常變更或共用的網路,可能會影響 Microsoft Entra 條件式存取和持續性存取評估 (CAE)。 這種變化可能會影響這些功能的運作方式及其建議組態。 當使用分割通道 VPN 最佳實務設定環境時,分割通道也可能導致意外封鎖。 可能需要透過受信任的 IP/VPN 路由最佳化 IP,以防止與 insufficient_claims 或即時 IP 強制執行檢查失敗相關的封鎖。
下表摘要說明不同類型的網路部署和資源提供者 (RP) 的條件式存取和 CAE 功能行為與建議:
網路類型 | 範例 | Microsoft Entra 所見的 IP | RP 所見的IP | 適用的條件式存取組態 (受信任的具名位置) | CAE 強制執行 | CAE 存取權杖 | 建議 |
---|---|---|---|---|---|---|---|
1.輸出 IP 是 Microsoft Entra 和所有 RP 流量專用且可列舉 | 所有流向 Microsoft Entra 和 RP 的網路流量,均透過 1.1.1.1 和/或 2.2.2.2 輸出 | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
嚴重事件 IP 位置變更 |
長時間存留 – 最多 28 小時 | 如果已定義條件式存取具名位置,請確定它們包含所有可能的輸出 IP (Microsoft Entra 及所有 RP 所見) |
2.輸出 IP 是 Microsoft Entra 專用且可列舉,但不適用於 RP 流量 | 流向 Microsoft Entra 的網路流量透過 1.1.1.1 輸出。 RP 流量透過 x.x.x.x 輸出 | 1.1.1.1 | X.X.X.X | 1.1.1.1 | 嚴重事件 | 預設存取權杖存留期 – 1 小時 | 請勿將非專用或不可列舉的輸出 IP (x.x.x.x) 新增至受信任具名位置條件式存取規則中,因為這可能會削弱安全性 |
3.針對 Microsoft Entra 和 RP 流量,輸出 IP 不是專用/共用或不可列舉 | 流向 Microsoft Entra 的網路流量透過 y.y.y.y 輸出。RP 流量透過 x.x.x.x 輸出 | y.y.y.y | X.X.X.X | N/A - 未設定 IP 條件式存取原則/受信任位置 | 嚴重事件 | 長時間存留 – 最多 28 小時 | 請勿將非專用或不可列舉的輸出 IP (x.x.x.x/y.y.y.y) 新增至受信任具名位置條件式存取規則中,因為這可能會削弱安全性 |
連線至身分識別和資源提供者的用戶端所使用的網路和網路服務會繼續演進和變更,以回應現代趨勢。 這些變更可能會影響依賴基礎 IP 位址的條件式存取和 CAE 組態。 在決定這些組態時,請考慮未來的技術變更,並保留方案中定義的位址清單。
支援的位置原則
CAE 只深入解析以 IP 為主的具名位置。 CAE 無法深入解析其他位置條件,例如 MFA 信任 IP 或基於國家/地區的位置。 當使用者來自 MFA 信任的 IP、含 MFA 信任 IP 的信任位置,或國家/地區位置時,在該使用者移至不同的位置之後,不會強制執行 CAE。 在這些情況下,Microsoft Entra 會發出一小時的存取權杖,而不立即執行 IP 強制檢查。
重要
如果希望持續性存取評估即時強制執行位置原則,請只使用以 IP 為主的條件式存取位置條件,並設定可讓識別提供者和資源提供者看到的所有 IP 位址,包括 IPv4 和 IPv6。 請勿使用 Microsoft Entra 多重要素驗證服務設定頁面中提供的國家/地區位置條件或信任的 IP 功能。
具名位置限制
當位置原則中指定的所有 IP 範圍總和超過 5,000 時,CAE 將不會即時強制執行使用者變更位置流程。 在此情況下,Microsoft Entra 會發出一小時的 CAE 權杖。 CAE 將繼續強制執行除客戶端位置變更事件以外的所有其他事件和原則。 有了這項變更,相較於傳統的一小時權杖,您仍可維持更強大的安全性狀態,因為系統會以接近即時的方式評估其他事件。
Office 和 Web 帳戶管理員設定
Office 更新通道 | DisableADALatopWAMOverride | DisableAADWAM |
---|---|---|
半年企業通道 | 如果設定為已啟用 (即 1),則不支援 CAE。 | 如果設定為已啟用 (即 1),則不支援 CAE。 |
目前通道 或 每月企業頻道 |
無論如何設定都支援 CAE | 無論如何設定都支援 CAE |
如需 Office 更新通道的說明,請參閱 Microsoft 365 Apps 更新通道的概觀。 建議組織不要停用 Web 帳戶管理員 (WAM)。
在 Office app 中共同撰寫
當多個使用者同時在一份文件上共同作業時,CAE 無法根據原則變更事件來立即撤銷使用者對文件的存取權。 在此情況下,要等到下列情形之後,使用者才會完全失去存取權:
- 關閉文件
- 關閉 Office app
- 在設定條件式存取 IP 原則的 1 小時之後
為了進一步縮短這段時間,SharePoint 管理員可以在 SharePoint Online 中設定網路位置原則,針對 SharePoint Online 和 Microsoft OneDrive 中儲存的文件,縮短共同撰寫工作階段的最長存留期。 變更此設定之後,共同工作階段的最長存留期會縮短為 15 分鐘,還可以使用 SharePoint Online PowerShell 命令 Set-SPOTenant –IPAddressWACTokenLifetime 來進一步調整。
停用使用者之後啟用
如果您在使用者停用之後馬上啟用,則在下游 Microsoft 服務將帳戶辨識為已啟用之前會稍微延遲。
- SharePoint Online 和 Teams 通常會延遲 15 分鐘。
- Exchange Online 通常會延遲 35-40 分鐘。
推播通知
發出推播通知之前不會評估 IP 位址原則。 此情況起因於推播通知是對外,沒有相關聯的 IP 位址可供評估。 如果使用者選取該推播通知,例如 Outlook 中的電子郵件,則仍會強制執行 CAE IP 位址原則,之後才會顯示電子郵件。 推播通知會顯示未受 IP 位址原則保護的訊息預覽。 傳送推播通知之前會完成所有其他 CAE 檢查。 如果移除使用者或裝置的存取權,則會在規定期間內強制執行。
來賓使用者
CAE 不支援來賓使用者帳戶。 CAE 撤銷事件和 IP 型條件式存取原則不會立即強制執行。
CAE 和登入頻率
不論有無 CAE 都會注意登入頻率。