持續性存取評估
權杖到期和重新整理是產業中的標準機制。 當用戶端應用程式 (例如 Outlook) 連線到 Exchange Online 之類的服務時,就會使用 OAuth 2.0 存取權杖來授權 API 要求。 根據預設,當存取令牌到期時,用戶端會重新導向至 Microsoft Entra 以重新整理令牌一小時。 該重新整理期間會提供機會來重新評估使用者存取的原則。 例如:我們可能會選擇不要因為條件式存取原則或目錄中停用使用者而重新整理令牌。
客戶對用戶的條件變更和強制執行原則變更之間的延遲表示擔憂。 Microsoft 試驗了降低令牌存留期的「直率物件」方法,但發現它們會降低用戶體驗和可靠性,而不會消除風險。
及時回應原則違規或安全性問題確實需要令牌簽發者 Microsoft Entra 與信賴憑證者(覺察型應用程式)之間的「交談」。 這種雙向交談為我們提供兩項重要的功能。 信賴憑證者可以看到屬性變更 (例如網路位置),以及告知權杖簽發者。 此外,其也會為權杖簽發者提供一種方法,告知信賴憑證者因為帳戶入侵、停用或其他考慮,而停止對給定使用者的權杖。 此交談的機制是持續存取評估 (CAE),這是以開放式標識符持續存取評估配置檔 (CAEP) 為基礎的業界標準。 關鍵事件評估的目標是回應近乎即時,但可能會因為事件傳播時間而觀察到最多 15 分鐘的延遲;不過,IP 位置原則強制執行是立即的。
持續性存取評估的初期實作著重於 Exchange、Teams 和 SharePoint Online。
若要準備您的應用程式以使用 CAE,請參閱 如何在應用程式中使用已啟用連續存取評估的 API。
重點優勢
- 使用者終止或密碼變更/重設:會以近乎即時的方式強制執行使用者工作階段撤銷。
- 網路位置變更:會以近乎即時的方式強制執行條件式存取位置原則。
- 您可以使用條件式存取位置原則來防止將權杖匯出至受信任網路外部的機器。
案例
有兩種案例組成持續性存取評估、重大事件評估和條件式存取原則評估。
重大事件評估
持續性存取評估的實作方式是藉由啟用 Exchange Online、SharePoint Online 和 Teams 等服務來訂閱重大 Microsoft Entra 事件。 然後,就可以評估這些事件並近乎即時地強制執行。 重大事件評估不會依賴條件式存取原則,因此可在任何租用戶中使用。 目前會評估下列事件:
- 使用者帳戶已刪除或停用
- 使用者的密碼已變更或重設
- 已為用戶啟用多重要素驗證
- 系統管理員會明確撤銷使用者的所有重新整理權杖
- Microsoft Entra ID Protection 偵測到的高使用者風險
此程序可讓使用者在重大事件後幾分鐘內無法從 Microsoft 365 用戶端應用程式存取組織 SharePoint Online 檔案、電子郵件、行事曆或工作,以及 Teams。
注意
SharePoint Online 不支援用戶風險事件。
條件式存取原則評估
Exchange Online、SharePoint Online、Teams 和 MS Graph 可以同步處理關鍵條件式存取原則,以在服務本身內進行評估。
此程式可讓使用者在網路位置變更後立即無法存取 Microsoft 365 用戶端應用程式或 SharePoint Online 的檔案、電子郵件、行事曆或工作。
注意
並非所有用戶端應用程式和資源提供者組合都受到支援。 請參見後面的表格。 此表格的第一個數據行是指透過網頁瀏覽器啟動的 Web 應用程式(也就是在網頁瀏覽器中啟動的 PowerPoint),而其餘四個數據行則是指在每個平台上執行的原生應用程式。 此外,「Office」的參考包含 Word、Excel 和 PowerPoint。
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 支援 | 支援 | 支援 | 支援 | 支援 |
| Exchange Online | 支援 | 支援 | 支援 | 支援 | 支援 |
| Office Web 應用程式 | Office Win32 應用程式 | iOS 版 Office | Android 版 Office | Mac 版 Office | |
|---|---|---|---|---|---|
| SharePoint Online | 不支援 * | 支援 | 支援 | 支援 | 支援 |
| Exchange Online | 不支援 | 支援 | 支援 | 支援 | 支援 |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 支援 | 不支援 | 支援 | 已支援 | 不支援 |
| Teams Web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Teams 服務 | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
| SharePoint Online | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
| Exchange Online | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
* 設定條件式存取原則時,Office Web 應用程式的權杖存留期會縮減為 1 小時。
注意
Teams 是由多個服務所組成,在這些服務中,通話和聊天服務不會遵守以IP為基礎的條件式存取原則。
Exchange Online 的 Azure Government 租使用者 (GCC High 和 DOD) 也提供持續存取評估。
用戶端功能
用戶端宣告挑戰
在持續存取評估之前,只要用戶端未過期,用戶端就會從其快取重新執行存取令牌。 透過 CAE,我們引進了資源提供者在令牌未過期時可以拒絕令牌的新案例。 為了通知用戶端即使快取令牌尚未過期,我們還是引進了稱為 宣告挑戰 的機制,指出令牌遭到拒絕,而且 Microsoft Entra 必須發出新的存取令牌。 CAE 需要用戶端更新才能瞭解宣告挑戰。 下列應用程式的最新版本支援宣告挑戰:
| Web | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | 支援 | 支援 | 支援 | 支援 | 支援 |
| 團隊 | 支援 | 支援 | 支援 | 支援 | 支援 |
| Office | 不支援 | 支援 | 支援 | 支援 | 支援 |
| OneDrive | 支援 | 支援 | 支援 | 支援 | 支援 |
權杖存留期
因為風險和原則會即時評估,因此交涉持續存取評估感知會話的用戶端不再依賴靜態存取令牌存留期原則。 這項變更表示可設定的令牌存留期原則不適用於交涉 CAE 感知會話的用戶端。
令牌存留期會在 CAE 會話中延長至最長 28 小時。 重大事件和原則評估會撤銷,而不只是任意時間週期。 這項變更會增加應用程式的穩定性,而不會影響安全性狀態。
如果您未使用支援 CAE 的客戶端,預設存取令牌存留期會維持 1 小時。 只有在您使用可設定令牌存留期 (CTL) 預覽功能來設定存取令牌存留期時,預設值才會變更。
範例流程圖
使用者撤銷事件流程
- 支援 CAE 的用戶端會將認證或重新整理令牌呈現給 Microsoft Entra,要求取得某些資源的存取令牌。
- 存取權杖會連同其他成品一起傳回至用戶端。
- 管理員 istrator 會明確撤銷使用者的所有重新整理令牌,然後將撤銷事件從 Microsoft Entra 傳送給資源提供者。
- 系統會向資源提供者展示存取權杖。 資源提供者會評估權杖的有效性,並檢查是否有任何使用者的撤銷事件。 資源提供者會使用此資訊來決定是否要授與資源的存取權。
- 在此情況下,資源提供者會拒絕存取,並將 401+ 宣告挑戰傳回用戶端。
- 支援 CAE 的用戶端了解 401+ 宣告挑戰。 它會略過快取並返回步驟 1,將重新整理令牌連同宣告挑戰傳送回 Microsoft Entra。 Microsoft Entra 接著會重新評估所有條件,並提示使用者在此案例中重新驗證。
用戶條件變更流程
在下列範例中,條件式存取 管理員 istrator 設定了以位置為基礎的條件式存取原則,只允許來自特定IP範圍的存取:
- 支援 CAE 的用戶端會將認證或重新整理令牌呈現給 Microsoft Entra,要求取得某些資源的存取令牌。
- Microsoft Entra 會評估所有條件式存取原則,以查看使用者和用戶端是否符合條件。
- 存取權杖會連同其他成品一起傳回至用戶端。
- 使用者移出允許的IP範圍。
- 用戶端會從允許的IP範圍之外,向資源提供者提供存取令牌。
- 資源提供者會評估令牌的有效性,並檢查從 Microsoft Entra 同步的位置原則。
- 在此情況下,資源提供者會拒絕存取,並將 401+ 宣告挑戰傳回用戶端。 用戶端會受到挑戰,因為它不是來自允許的IP範圍。
- 支援 CAE 的用戶端了解 401+ 宣告挑戰。 它會略過快取並返回步驟 1,將重新整理令牌連同宣告挑戰傳送回 Microsoft Entra。 Microsoft Entra 會重新評估所有條件,並在此案例中拒絕存取。
IP 位址變化的例外狀況,以及如何關閉例外狀況
在上述步驟 8 中,當 Microsoft Entra 重新評估條件時,會拒絕存取,因為 Microsoft Entra 偵測到的新位置超出允許的 IP 範圍。 情況不一定如此。 由於 某些複雜的網路拓撲,即使資源提供者收到的存取要求來自不允許的IP位址,驗證要求也可以從允許的輸出IP位址抵達。 在這些情況下,Microsoft Entra 會解譯用戶端繼續位於允許的位置,且應授與存取權。 因此,Microsoft Entra 會發出一小時令牌,以暫停資源上的IP位址檢查,直到令牌到期為止。 Microsoft Entra 會繼續強制執行IP位址檢查。
如果您要透過全域安全存取將流量傳送至非 Microsoft 365 資源,則資源提供者不會察覺到使用者的來源 IP 位址,因為 這些資源目前不支援來源 IP 還原 。 在此情況下,如果用戶位於受信任的IP位置(如 Microsoft Entra 所示),Microsoft Entra 會發出一小時令牌,以暫停資源 IP 位址檢查,直到令牌到期為止。 Microsoft Entra 會繼續針對這些資源正確強制執行IP位址檢查。
標準與嚴格模式。 在此例外狀況下授與存取權(也就是 Microsoft Entra 標識符之間偵測到不允許的位置與資源提供者偵測到的位置允許的位置)可藉由維護對重要資源的存取,來保護用戶生產力。 這是標準位置強制執行。 另一方面,在穩定網路拓撲下運作的 管理員 istrators,並希望移除此例外狀況可以使用 Strict Location Enforcement (Public Preview) 。
啟用或停用 CAE
CAE 設定已移至條件式存取。 新的 CAE 客戶在建立條件式存取原則時,可以直接存取和切換 CAE。 然而,某些現有的客戶必須先經過移轉,才能透過條件式存取來存取 CAE。
遷移
在 [安全性] 底下設定 CAE 設定的客戶,必須先將設定移轉至新的條件式存取原則。
下表說明根據先前設定的 CAE 設定,每個客戶群組的移轉體驗。
| 現有的 CAE 設定 | 是否需要移轉 | 自動啟用 CAE | 預期的移轉體驗 |
|---|---|---|---|
| 未在舊體驗中設定任何專案的新租使用者。 | No | Yes | 舊 CAE 設定會隱藏,因為這些客戶可能未在正式運作之前看到體驗。 |
| 已針對具有舊體驗的所有用戶明確啟用的租使用者。 | No | Yes | 舊的 CAE 設定呈現灰色。由於這些客戶已針對所有使用者明確啟用此設定,因此不需要移轉。 |
| 明確在其租用戶中啟用某些使用者且具有舊體驗的租使用者。 | 是 | No | 舊的 CAE 設定呈現灰色。按兩下 [移 轉] 會啟動新的條件式存取原則精靈,其中包含 [所有使用者],同時排除從CAE複製的使用者和群組。 它也會將新的 [自定義持續存取評估 會話] 控件設定為 [已停用]。 |
| 明確停用預覽的租使用者。 | 是 | No | 舊的 CAE 設定呈現灰色。按兩下 [ 移 轉] 會啟動新的條件式存取原則精靈,其中包含 [ 所有使用者],並將新的 [自定義持續存取評估 會話] 控件設定為 [已停用]。 |
如需持續存取評估作為會話控件的詳細資訊,請參閱自定義持續存取評估一節。
限制
群組成員資格和原則更新有效時間
系統管理員對條件式存取原則和群組成員資格所做的變更最多可能需要一天才會生效。 延遲來自 Microsoft Entra 與 Exchange Online 和 SharePoint Online 等資源提供者之間的複寫。 已針對原則更新進行一些優化,這會將延遲減少到兩小時。 不過,它尚未涵蓋所有案例。
當條件式存取原則或群組成員資格變更需要立即套用至特定使用者時,您有兩個選項。
- 執行 revoke-mgusersign PowerShell 命令,以撤銷指定使用者的所有重新整理令牌。
- 在使用者配置檔頁面上選取 [撤銷工作階段],以撤銷使用者的會話,以確保會立即套用更新的原則。
IP 位址變化和具有IP位址共用或未知輸出IP的網路
新式網路通常會以不同方式優化應用程式的連線和網路路徑。 此優化經常會導致連線路由和來源IP位址的變化,如您的識別提供者和資源提供者所見。 您可能會在多個網路拓撲中觀察到此分割路徑或 IP 位址變化,包括但不限於:
- 內部部署和雲端式 Proxy。
- 虛擬專用網 (VPN) 實作,例如 分割通道。
- 軟體定義的廣域網 (SD-WAN) 部署。
- 負載平衡或備援網路輸出網路拓撲,例如使用 SNAT 的網路拓撲。
- 允許特定應用程式的直接因特網連線的分公司部署。
- 支援 IPv6 用戶端的網路。
- 其他拓撲,其處理應用程式或資源流量的方式與身分識別提供者的流量不同。
除了IP變化之外,客戶也可能採用下列網路解決方案和服務:
- 使用可能與其他客戶共用的IP位址。 例如,雲端式 Proxy 服務,其中輸出 IP 位址會在客戶之間共用。
- 使用容易變化或無法定義的IP位址。 例如,使用大型輸出IP位址集的拓撲,例如大型企業案例,或 分割 VPN 和本機輸出網路流量。
輸出IP位址可能會經常變更或共用的網路可能會影響 Microsoft Entra 條件式存取和持續存取評估 (CAE)。 這種變化可能會影響這些功能的運作方式及其建議組態。 使用分割通道 VPN 最佳做法設定環境時,分割通道也可能造成非預期的區塊。 可能需要透過受信任的IP/VPN路由優化IP,以防止與insufficient_claims或立即IP強制檢查相關的區塊失敗。
下表摘要說明不同類型的網路部署和資源提供者的條件式存取和 CAE 功能行為和建議:
| 網路類型 | 範例 | Microsoft Entra 看到的 IP | RP 看到的IP | 適用的條件式存取組態 (受信任的具名位置) | CAE 強制執行 | CAE 存取令牌 | 建議 |
|---|---|---|---|---|---|---|---|
| 1. 輸出 IP 是專用且可列舉的 Microsoft Entra 和所有 RP 流量 | 所有到網路流量到 Microsoft Entra 和 IP 輸出到 1.1.1.1 和/或 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
重大事件 IP 位置變更 |
長時間存留 – 最多 28 小時 | 如果已定義條件式存取具名位置,請確定它們包含所有可能的輸出 IP(由 Microsoft Entra 和所有 RP 看到) |
| 2. 輸出 IP 是專用且可列舉的 Microsoft Entra,但不適用於 RP 流量 | 透過 1.1.1.1.1 進入 Microsoft Entra 的網路流量。 RP 流量透過 x.x.x.x 輸出 | 1.1.1.1 | X.X.X.X | 1.1.1.1 | 重大事件 | 默認存取令牌存留期 – 1 小時 | 請勿將非專用或無數目的輸出IP新增至受信任的具名位置條件式存取規則,因為它可能會削弱安全性 |
| 3.輸出 IP 不是專用/共用,或無法列舉 Microsoft Entra 和 RP 流量 | 透過 y.y.y.y. RP 流量透過 x.x.x.x 輸出的網路流量 | y.y.y.y | X.X.X.X | N/A -沒有設定IP條件式存取原則/信任的位置 | 重大事件 | 長時間存留 – 最多 28 小時 | 請勿將非專用或無數目的輸出IP(x.x.x.x/y.y.y.y)新增至受信任的具名位置條件式存取規則,因為它可能會削弱安全性 |
聯機到身分識別和資源提供者的用戶端所使用的網路和網路服務會繼續演進和變更,以回應新式趨勢。 這些變更可能會影響依賴基礎 IP 位址的條件式存取和 CAE 組態。 在決定這些組態時,請考慮未來的技術變更,並保留方案中定義的位址清單。
支援的位置原則
CAE 僅能深入解析 以IP為基礎的具名位置。 CAE 無法深入瞭解其他位置條件,例如 MFA 信任的IP 或國家/地區型位置。 當使用者來自 MFA 信任的 IP、包含 MFA 信任 IP 或國家/地區位置的信任位置時,該使用者移至不同位置之後,將不會強制執行 CAE。 在這些情況下,Microsoft Entra 會發出一小時的存取令牌,而不需要立即進行IP強制檢查。
重要
如果您想要透過持續存取評估即時強制執行您的位置原則,請只 使用以IP為基礎的條件式存取位置條件 ,並設定所有IP位址, 包括IPv4和IPv6,識別提供者和資源提供者可以看到該條件。 請勿使用 Microsoft Entra 多重要素驗證服務設定頁面中可用的國家/地區位置條件或受信任的 ips 功能。
具名位置限制
當位置原則中指定的所有IP範圍總和超過5,000時,CAE 無法即時強制執行用戶變更位置流程。 在此情況下,Microsoft Entra 會發出一小時的 CAE 令牌。 除了用戶端位置變更事件之外,CAE 會繼續強制執行 所有其他事件和原則 。 透過這項變更,相較於傳統的一小時令牌,您仍會維持更強大的安全性狀態,因為 其他事件 仍會以近乎即時的方式進行評估。
Office 和 Web 帳戶管理員設定
| Office 更新通道 | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| 半年企業通道 | 如果設定為已啟用 或 1,則不支援 CAE。 | 如果設定為已啟用 或 1,則不支援 CAE。 |
| 目前通道 或 每月企業頻道 |
無論設定為何,都支援 CAE | 無論設定為何,都支援 CAE |
如需 Office 更新通道的說明,請參閱 Microsoft 365 Apps 的更新通道概觀。 建議組織不會停用 Web 帳戶管理員 (WAM)。
Office 應用程式中的 共同撰寫
當多個用戶同時在檔上共同作業時,CAE 可能不會根據原則變更事件立即撤銷檔的存取權。 在此情況下,使用者會在下列情況之後完全失去存取權:
- 關閉檔案
- 關閉 Office 應用程式
- 設定條件式存取IP原則1小時後
為了進一步減少這一次,SharePoint 管理員 istrator 可以藉由設定網路位置原則,減少儲存在 SharePoint Online 和 Microsoft OneDrive 中檔的共同撰寫會話最長存留期。 變更此設定之後,共同撰寫會話的最大存留期會縮減為 15 分鐘,而且可以使用 SharePoint Online PowerShell 命令 Set-SPOTenant –IPAddressWACTokenLifetime 進一步調整。
停用用戶之後啟用
如果您在停用后立即啟用使用者,在下游 Microsoft 服務 中將帳戶辨識為啟用之前,會有一些延遲。
- SharePoint Online 和 Teams 通常會延遲 15 分鐘。
- Exchange Online 通常延遲 35-40 分鐘。
推播通知
發佈推播通知之前,不會評估IP位址原則。 此案例存在,因為推播通知是輸出的,而且沒有要評估的相關聯IP位址。 如果使用者選取該推播通知,例如 Outlook 中的電子郵件,在電子郵件顯示之前,仍會強制執行 CAE IP 地址原則。 推播通知會顯示不受IP位址原則保護的訊息預覽。 所有其他 CAE 檢查都會在傳送推播通知之前完成。 如果使用者或裝置已移除其存取權,則會在記載的期間內強制執行。
來賓使用者
CAE 不支援來賓用戶帳戶。 CAE 撤銷事件和以IP為基礎的條件式存取原則不會立即強制執行。
CAE 和登入頻率
使用或不使用 CAE 接受登入頻率。