Folyamatos hozzáférés-kiértékelés

A jogkivonatok lejárata és frissítése szabványos mechanizmus az iparágban. Amikor egy ügyfélalkalmazás, például az Outlook csatlakozik egy olyan szolgáltatáshoz, mint az Exchange Online, az API-kérések OAuth 2.0 hozzáférési jogkivonatokkal vannak engedélyezve. Alapértelmezés szerint a hozzáférési jogkivonatok egy órán át érvényesek, amikor lejárnak, a rendszer átirányítja az ügyfelet a Microsoft Entra-ba a frissítéshez. Ez a frissítési időszak lehetőséget nyújt a felhasználói hozzáférésre vonatkozó szabályzatok újraértékelésére. Előfordulhat például, hogy feltételes hozzáférési szabályzat miatt nem frissítjük a jogkivonatot, vagy mert a felhasználó le van tiltva a címtárban.

Az ügyfelek aggodalmát fejezik ki a felhasználó feltételeinek változása és a szabályzatmódosítások érvénybe léptetése közötti késéssel kapcsolatban. A Microsoft kísérletezett a csökkentett jogkivonat-élettartam "tompa objektum" megközelítésével, de úgy találta, hogy csökkentik a felhasználói élményt és a megbízhatóságot a kockázatok kiküszöbölése nélkül.

A szabályzatsértésekre vagy biztonsági problémákra való időben történő válaszadáshoz valóban "beszélgetésre" van szükség a jogkivonat-kiállító Microsoft Entra és a függő entitás (felvilágosított alkalmazás) között. Ez a kétirányú beszélgetés két fontos képességet biztosít számunkra. A függő entitás láthatja, hogy mikor változnak a tulajdonságok, például a hálózati hely, és tájékoztathatja a jogkivonat-kiállítót. Emellett lehetővé teszi a jogkivonat-kiállító számára, hogy a fiók biztonsága, letiltása vagy egyéb problémák miatt a függő entitásnak ne tartsa tiszteletben az adott felhasználó jogkivonatait. A beszélgetés mechanizmusa a folyamatos hozzáférés-kiértékelés (CAE), amely a nyílt azonosítójú folyamatos hozzáférés-kiértékelési profilon (CAEP) alapuló iparági szabvány. A kritikus eseményértékelés célja, hogy a válasz közel valós idejű legyen, de akár 15 perces késés is megfigyelhető az esemény propagálási ideje miatt; Azonban az IP-helyek házirend-kényszerítése azonnali.

A folyamatos hozzáférés-kiértékelés kezdeti implementálása az Exchange, a Teams és a SharePoint Online szolgáltatásokra összpontosít.

Ha elő szeretné készíteni az alkalmazásokat a CAE használatára, olvassa el a folyamatos hozzáférés-kiértékelést engedélyező API-k használatát az alkalmazásokban.

Fő előnyök

  • Felhasználói megszüntetés vagy jelszómódosítás/visszaállítás: A felhasználói munkamenet visszavonását a rendszer közel valós időben kényszeríti ki.
  • Hálózati hely módosítása: A feltételes hozzáférési hely szabályzatai közel valós időben lesznek kikényszeríthetők.
  • A jogkivonatok megbízható hálózaton kívüli gépre való exportálása feltételes hozzáférési helyszabályzatokkal megakadályozható.

Forgatókönyvek

Két forgatókönyv alkotja a folyamatos hozzáférés kiértékelését, a kritikus események kiértékelését és a feltételes hozzáférési szabályzatok kiértékelését.

Kritikus esemény kiértékelése

A folyamatos hozzáférés-kiértékelést úgy hajtjuk végre, hogy lehetővé teszi az olyan szolgáltatások számára, mint az Exchange Online, a SharePoint Online és a Teams, hogy feliratkozzanak a kritikus Microsoft Entra-eseményekre. Ezeket az eseményeket ezután közel valós időben lehet kiértékelni és kikényszeríteni. A kritikus események kiértékelése nem feltételes hozzáférési szabályzatokra támaszkodik, így bármely bérlőben elérhető. A rendszer jelenleg a következő eseményeket értékeli ki:

  • A felhasználói fiók törölve vagy letiltva
  • A felhasználó jelszava módosul vagy alaphelyzetbe áll
  • A többtényezős hitelesítés engedélyezve van a felhasználó számára
  • Rendszergazda istrator kifejezetten visszavonja a felhasználó összes frissítési jogkivonatát
  • A Microsoft Entra ID-védelem által észlelt magas felhasználói kockázat

Ez a folyamat lehetővé teszi, hogy a felhasználók egy kritikus esemény után percek alatt elveszítik a hozzáférést a vállalati SharePoint Online-fájlokhoz, e-mailekhez, naptárhoz vagy feladatokhoz és Teamshez a Microsoft 365-ügyfélalkalmazásokból.

Feljegyzés

A SharePoint Online nem támogatja a felhasználói kockázati eseményeket.

Feltételes hozzáférési szabályzat kiértékelése

Az Exchange Online, a SharePoint Online, a Teams és az MS Graph képes szinkronizálni a fő feltételes hozzáférési szabályzatokat a szolgáltatáson belüli kiértékeléshez.

Ez a folyamat lehetővé teszi azt a forgatókönyvet, amelyben a felhasználók közvetlenül a hálózati hely változása után elveszítik a hozzáférést a Microsoft 365 ügyfélalkalmazásaiból vagy a SharePoint Online-ból származó fájlokhoz, e-mailekhez, naptárhoz vagy feladatokhoz.

Feljegyzés

Nem minden ügyfélalkalmazás és erőforrás-szolgáltató kombináció támogatott. Tekintse meg a következő táblázatokat. A táblázat első oszlopa a webböngészőn keresztül indított (azaz webböngészőben indított PowerPoint) webalkalmazásokra vonatkozik, míg a fennmaradó négy oszlop az egyes platformokon futó natív alkalmazásokra vonatkozik. Emellett az "Office" hivatkozásai a Wordre, az Excelre és a PowerPointra is kiterjednek.

Outlook Web Outlook Win32 iOS Outlook Outlook Android Outlook Mac
SharePoint Online Támogatott Támogatott Támogatott Támogatott Támogatott
Exchange Online Támogatott Támogatott Támogatott Támogatott Támogatott
Office-webalkalmazások Office Win32-alkalmazások iOS Office Android Office Mac Office
SharePoint Online Nem támogatott * Támogatott Támogatott Támogatott Támogatott
Exchange Online Nem támogatott Támogatott Támogatott Támogatott Támogatott
OneDrive web OneDrive Win32 OneDrive iOS OneDrive Android OneDrive Mac
SharePoint Online Támogatott Nem támogatott Támogatott Támogatott Nem támogatott
Teams web Teams Win32 Teams iOS Teams Android Teams Mac
Teams-szolgáltatás Részben támogatott Részben támogatott Részben támogatott Részben támogatott Részben támogatott
SharePoint Online Részben támogatott Részben támogatott Részben támogatott Részben támogatott Részben támogatott
Exchange Online Részben támogatott Részben támogatott Részben támogatott Részben támogatott Részben támogatott

* Az Office-webalkalmazások jogkivonat-élettartama a feltételes hozzáférési szabályzat beállításakor 1 órára csökken.

Feljegyzés

A Teams több szolgáltatásból áll, és ezek közül a hívások és csevegési szolgáltatások nem tartják be az IP-alapú feltételes hozzáférési szabályzatokat.

A folyamatos hozzáférés-értékelés az Azure Government-bérlőkben (GCC High és DOD) is elérhető az Exchange Online-hoz.

Ügyfélképességek

Ügyféloldali jogcímek kihívása

A folyamatos hozzáférés kiértékelése előtt az ügyfelek visszajátszják a hozzáférési jogkivonatot a gyorsítótárból, amíg az nem járt le. A CAE-vel bevezetünk egy új esetet, amelyben az erőforrás-szolgáltató elutasíthat egy jogkivonatot, ha az még nem járt le. Annak érdekében, hogy tájékoztassa az ügyfeleket a gyorsítótár megkerüléséről annak ellenére, hogy a gyorsítótárazott jogkivonatok még nem jártak le, bevezetünk egy jogcím-kihívás nevű mechanizmust, amely azt jelzi, hogy a jogkivonatot elutasították, és egy új hozzáférési jogkivonatot kell kiadnia a Microsoft Entra-nak. A CAE-nak szüksége van egy ügyfélfrissítésre a jogcímek kihívásának megértéséhez. A következő alkalmazások legújabb verziói támogatják a jogcímek kihívását:

Webes Win32 iOS Android Mac
Outlook Támogatott Támogatott Támogatott Támogatott Támogatott
Csapat Támogatott Támogatott Támogatott Támogatott Támogatott
Office Nem támogatott Támogatott Támogatott Támogatott Támogatott
OneDrive Támogatott Támogatott Támogatott Támogatott Támogatott

A tokenek élettartama

Mivel a kockázat és a szabályzat valós időben van kiértékelve, a folyamatos hozzáférés-kiértékelési munkameneteket tárgyaló ügyfelek már nem támaszkodnak a statikus hozzáférési jogkivonat élettartam-szabályzataira. Ez a változás azt jelenti, hogy a konfigurálható jogkivonat élettartam-szabályzata nem érvényes a CAE-val kapcsolatos munkameneteket tárgyaló ügyfelek számára.

A jogkivonat élettartama a CAE-munkamenetekben akár 28 órára is nő. A kritikus események és a szabályzatértékelések visszavonása nem csupán egy tetszőleges időszak. Ez a változás a biztonsági helyzet befolyásolása nélkül növeli az alkalmazások stabilitását.

Ha nem használ CAE-kompatibilis ügyfeleket, az alapértelmezett hozzáférési jogkivonat élettartama 1 óra marad. Az alapértelmezett csak akkor változik, ha a hozzáférési jogkivonat élettartamát a Konfigurálható jogkivonat élettartamának (CTL) előzetes verziójával konfigurálta.

Példa folyamatábrákra

Felhasználó visszavont eseményfolyamata

Felhasználó visszavont eseményfolyamata

  1. A CAE-kompatibilis ügyfél hitelesítő adatokat vagy frissítési jogkivonatokat jelenít meg a Microsoft Entra számára, és hozzáférési jogkivonatot kér egy erőforráshoz.
  2. A rendszer a hozzáférési jogkivonatot más összetevőkkel együtt adja vissza az ügyfélnek.
  3. A Rendszergazda istrator explicit módon visszavonja a felhasználó összes frissítési jogkivonatát, majd a Microsoft Entra elküldi a visszavonási eseményt az erőforrás-szolgáltatónak.
  4. Megjelenik egy hozzáférési jogkivonat az erőforrás-szolgáltató számára. Az erőforrás-szolgáltató kiértékeli a jogkivonat érvényességét, és ellenőrzi, hogy van-e visszavonási esemény a felhasználó számára. Az erőforrás-szolgáltató ezen információk alapján dönti el, hogy hozzáférést biztosít-e az erőforráshoz.
  5. Ebben az esetben az erőforrás-szolgáltató tagadja a hozzáférést, és 401+ jogcímre vonatkozó kihívást küld vissza az ügyfélnek.
  6. A CAE-kompatibilis ügyfél tisztában van a 401+ jogcímekkel. Átmegy a gyorsítótárakon, és visszatér az 1. lépéshez, és elküldi a frissítési jogkivonatát, valamint a jogcímre vonatkozó kihívást a Microsoft Entra-nak. A Microsoft Entra ezután újraértékeli az összes feltételt, és felkéri a felhasználót, hogy ebben az esetben újrahitelesítse a feltételeket.

Felhasználói feltétel változási folyamata

A következő példában egy feltételes hozzáférési Rendszergazda istrator egy helyalapú feltételes hozzáférési szabályzatot konfigurált, hogy csak meghatározott IP-tartományokból engedélyezze a hozzáférést:

Felhasználói feltétel eseményfolyamata

  1. A CAE-kompatibilis ügyfél hitelesítő adatokat vagy frissítési jogkivonatokat jelenít meg a Microsoft Entra számára, és hozzáférési jogkivonatot kér egy erőforráshoz.
  2. A Microsoft Entra kiértékeli az összes feltételes hozzáférési szabályzatot annak megállapításához, hogy a felhasználó és az ügyfél megfelel-e a feltételeknek.
  3. A rendszer a hozzáférési jogkivonatot más összetevőkkel együtt adja vissza az ügyfélnek.
  4. A felhasználó egy engedélyezett IP-címtartományból lép ki.
  5. Az ügyfél egy hozzáférési jogkivonatot mutat be az erőforrás-szolgáltatónak egy engedélyezett IP-tartományon kívülről.
  6. Az erőforrás-szolgáltató kiértékeli a jogkivonat érvényességét, és ellenőrzi a Microsoft Entra által szinkronizált helyszabályzatot.
  7. Ebben az esetben az erőforrás-szolgáltató tagadja a hozzáférést, és 401+ jogcímre vonatkozó kihívást küld vissza az ügyfélnek. Az ügyfél azért van megtámadva, mert nem engedélyezett IP-címtartományból származik.
  8. A CAE-kompatibilis ügyfél tisztában van a 401+ jogcímekkel. Átmegy a gyorsítótárakon, és visszatér az 1. lépéshez, és elküldi a frissítési jogkivonatát, valamint a jogcímre vonatkozó kihívást a Microsoft Entra-nak. A Microsoft Entra újraértékeli az összes feltételt, és ebben az esetben tagadja a hozzáférést.

Az IP-címvariációk kivétele és a kivétel kikapcsolása

A fenti 8. lépésben, amikor a Microsoft Entra újraértékeli a feltételeket, tagadja a hozzáférést, mert a Microsoft Entra által észlelt új hely kívül esik az engedélyezett IP-tartományon. Nem mindig ez a helyzet. Néhány összetett hálózati topológia miatt a hitelesítési kérés akkor is érkezhet egy engedélyezett kimenő IP-címről, ha az erőforrás-szolgáltató által fogadott hozzáférési kérelem egy nem engedélyezett IP-címről érkezett. Ilyen feltételek mellett a Microsoft Entra úgy értelmezi, hogy az ügyfél továbbra is engedélyezett helyen van, és hozzáférést kell biztosítani. Ezért a Microsoft Entra egy egyórás jogkivonatot ad ki, amely felfüggeszti az IP-címek ellenőrzését az erőforráson a jogkivonat lejáratáig. A Microsoft Entra továbbra is kikényszeríti az IP-címek ellenőrzését.

Ha nem Microsoft 365-erőforrásokba küld forgalmat globális biztonságos hozzáféréssel, az erőforrás-szolgáltatók nem ismerik a felhasználó forrás IP-címét, mivel ezek az erőforrások jelenleg nem támogatják a forrás IP-visszaállítását . Ebben az esetben, ha a felhasználó a megbízható IP-címen van (a Microsoft Entra szerint), a Microsoft Entra kiad egy egyórás jogkivonatot, amely felfüggeszti az IP-címek ellenőrzését az erőforráson a jogkivonat lejáratáig. A Microsoft Entra továbbra is helyesen kényszeríti ki az IP-címek ellenőrzését ezekre az erőforrásokra vonatkozóan.

Standard és szigorú mód. A hozzáférés engedélyezése ebben a kivételben (azaz a Microsoft Entra-azonosító és az erőforrás-szolgáltató által észlelt nem engedélyezett hely között észlelt engedélyezett hely) a kritikus erőforrásokhoz való hozzáférés fenntartásával védi a felhasználók termelékenységét. Ez a szokásos helyérvényesítés. Másrészről a Rendszergazda istratorok, akik stabil hálózati topológiák alatt működnek, és el szeretnék távolítani ezt a kivételt, használhatják a Szigorú helyérvényesítést (nyilvános előzetes verzió) is.

CaE engedélyezése vagy letiltása

A CAE-beállítás a feltételes hozzáférésre került. Az új CAE-ügyfelek a feltételes hozzáférési szabályzatok létrehozásakor közvetlenül érhetik el, illetve kapcsolhatják be és ki a CAE-t. Egyes meglévő ügyfelek azonban csak migrálás után férhetnek hozzá a feltételes hozzáféréssel történő CAE-hez.

Migrálás

Azoknak az ügyfeleknek, akik a Biztonság területen konfigurálták a CAE-beállításokat, a beállításokat egy új feltételes hozzáférési szabályzatba kell migrálniuk.

Az alábbi táblázat az egyes ügyfélcsoportok áttelepítési élményét ismerteti a korábban konfigurált CAE-beállítások alapján.

Meglévő CAE-beállítás Szükség van a migrálásra Automatikusan engedélyezve a CAE-hez Várható migrálási élmény
Új bérlők, amelyek nem konfigurálnak semmit a régi felületen. Nem Igen A régi CAE-beállítás rejtett, mivel ezek az ügyfelek valószínűleg nem láthatták a felhasználói élményt az általános rendelkezésre állás előtt.
Azok a bérlők, amelyek kifejezetten engedélyezve van a régi felhasználói felülettel rendelkező összes felhasználó számára. Nem Igen A régi CAE-beállítás szürkítve van. Mivel ezek az ügyfelek kifejezetten engedélyezték ezt a beállítást az összes felhasználó számára, nem kell migrálniuk.
Azok a bérlők, amelyek kifejezetten engedélyezték a bérlőik bizonyos felhasználóit a régi felhasználói felülettel. Igen Nem A régi CAE-beállítások szürkítve jelennek meg. A Migrálás gombra kattintva elindítja az új feltételes hozzáférési szabályzat varázslót, amely a Minden felhasználót tartalmazza, miközben kizárja a CAE-ból másolt felhasználókat és csoportokat. Emellett az új Folyamatos hozzáférés-kiértékelési munkamenet-vezérlés testreszabása beállítás letiltva értékre van kapcsolva.
Azok a bérlők, amelyek kifejezetten letiltották az előnézetet. Igen Nem A régi CAE-beállítások szürkítve jelennek meg. A Migrálás gombra kattintva elindítja az új feltételes hozzáférési szabályzat varázslót, amely a Minden felhasználót tartalmazza, és letiltottra állítja az új Folyamatos hozzáférés-kiértékelési munkamenet-vezérlés testreszabása beállítást.

A folyamatos hozzáférés munkamenet-vezérlésként történő kiértékeléséről a folyamatos hozzáférés-értékelés testreszabása című szakaszban talál további információt.

Korlátozások

Csoporttagság és szabályzatfrissítés érvényes ideje

A feltételes hozzáférési szabályzatok és a csoporttagság rendszergazdák által végzett módosítása akár egy napot is igénybe vehet, amíg érvénybe lép. A késés a Microsoft Entra és az olyan erőforrás-szolgáltatók közötti replikációból származik, mint az Exchange Online és a SharePoint Online. Bizonyos optimalizálás megtörtént a szabályzatfrissítések esetében, ami két órára csökkenti a késést. Ez azonban még nem fedi le az összes forgatókönyvet.

Ha a feltételes hozzáférési szabályzatot vagy a csoporttagság módosítását azonnal alkalmazni kell bizonyos felhasználókra, két lehetősége van.

  • Futtassa a revoke-mgusersign PowerShell parancsot egy adott felhasználó összes frissítési jogkivonatának visszavonásához.
  • A felhasználói profil oldalán válassza a "Munkamenet visszavonása" lehetőséget a felhasználói munkamenet visszavonásához, hogy a frissített szabályzatok azonnal érvényesüljenek.

IP-cím variációja és megosztott IP-címmel rendelkező hálózatok vagy ismeretlen kimenő IP-címek

A modern hálózatok gyakran eltérő módon optimalizálják a kapcsolatokat és a hálózati útvonalakat az alkalmazásokhoz. Ez az optimalizálás gyakran okoz eltéréseket a kapcsolatok útválasztási és forrás IP-címeinek, ahogyan azt az identitásszolgáltató és az erőforrás-szolgáltatók látják. Ezt az osztott elérési utat vagy IP-címvariációt több hálózati topológiában is megfigyelheti, beleértve, de nem kizárólagosan az alábbiakat:

  • Helyszíni és felhőalapú proxyk.
  • Virtuális magánhálózati (VPN-) implementációk, például osztott bújtatás.
  • Szoftveralapú széleshálózati (SD-WAN) üzemelő példányok.
  • Terheléselosztásos vagy redundáns hálózati kimenő hálózati topológiák, például az SNAT-t használók.
  • Fiókirodai üzemelő példányok, amelyek lehetővé teszik a közvetlen internetkapcsolatot adott alkalmazásokhoz.
  • IPv6-ügyfeleket támogató hálózatok.
  • Egyéb topológiák, amelyek az alkalmazás- vagy erőforrás-forgalmat az identitásszolgáltató felé irányuló forgalomtól eltérően kezelik.

Az IP-változatok mellett az ügyfelek olyan hálózati megoldásokat és szolgáltatásokat is alkalmazhatnak, amelyek:

  • Olyan IP-címeket használjon, amelyek megoszthatóak más ügyfelekkel. Például olyan felhőalapú proxyszolgáltatások, amelyekben a kimenő IP-címek meg vannak osztva az ügyfelek között.
  • Használjon könnyen változó vagy meghatározhatatlan IP-címeket. Például olyan topológiák, ahol nagy, dinamikus kimenő IP-címek vannak használatban, például nagyvállalati forgatókönyvek vagy osztott VPN- és helyi kimenő hálózati forgalom.

Azok a hálózatok, ahol a kimenő IP-címek gyakran változnak vagy meg vannak osztva, hatással lehetnek a Microsoft Entra feltételes hozzáférésére és a hozzáférés-értékelés folytatására (CAE). Ez a variabilitás hatással lehet a funkciók működésére és az ajánlott konfigurációkra. A felosztási bújtatás váratlan blokkokat is okozhat, ha egy környezet a Split Tunneling VPN ajánlott eljárásaival van konfigurálva. Előfordulhat, hogy az optimalizált IP-címek megbízható IP-címen/VPN-en keresztül történő átirányítására lehet szükség a insufficient_claims vagy az azonnali IP-kényszerítési ellenőrzéssel kapcsolatos blokkok sikertelenségének megakadályozásához.

Az alábbi táblázat összefoglalja a feltételes hozzáférés és a CAE szolgáltatás viselkedését, valamint a különböző típusú hálózati üzembe helyezésekre és erőforrás-szolgáltatókra (RP) vonatkozó javaslatokat:

Hálózat típusa Példa A Microsoft Entra által látott IP-címek Az RP által látott IP-címek Alkalmazható feltételes hozzáférési konfiguráció (megbízható névvel ellátott hely) CaE-kényszerítés CAE hozzáférési jogkivonat Ajánlások
1. A kimenő IP-címek dedikáltak és számbavehetők mind a Microsoft Entra, mind az összes RP-forgalom számára A Microsoft Entra felé bejövő hálózati forgalom és az RPs az 1.1.1.1 és/vagy a 2.2.2.2 közötti kimenő forgalomból 1.1.1.1 2.2.2.2 1.1.1.1
2.2.2.2
Kritikus események
IP-cím helyének változásai
Hosszú életű – akár 28 óra Ha a feltételes hozzáférés nevesített helyeket definiálja, győződjön meg arról, hogy tartalmazzák az összes lehetséges kimenő IP-címet (a Microsoft Entra és az összes RP által látható)
2. A kimenő ip-címek dedikáltak és számbavehetők a Microsoft Entra számára, de az RP-forgalomhoz nem. A Microsoft Entra felé történő hálózati forgalom az 1.1.1.1-en keresztül halad ki. Az RP-forgalom az x.x.x.x.x rendszeren keresztül halad ki 1.1.1.1 x.x.x.x 1.1.1.1 Kritikus események Alapértelmezett hozzáférési jogkivonat élettartama – 1 óra Ne adjon hozzá nem dedikált vagy nem számozható kimenő IP-címeket (x.x.x.x.x) a megbízható névvel ellátott hely feltételes hozzáférési szabályaihoz, mert ez gyengítheti a biztonságot
3. A kimenő ip-címek nem dedikáltak/megosztottak, vagy nem számozhatók mind a Microsoft Entra, mind az RP-forgalom esetében A Microsoft Entra felé kimenő hálózati forgalom az y.y.y.y. RP-forgalom x.x.x.x-en keresztül történik y.y.y.y x.x.x.x N/A –nincs IP-feltételes hozzáférési szabályzat/Megbízható helyek vannak konfigurálva Kritikus események Hosszú életű – akár 28 óra Ne adjon hozzá nem dedikált vagy nem számlálható kimenő IP-címeket (x.x.x.x/y.y.y.y.y) a megbízható névvel ellátott hely feltételes hozzáférési szabályaihoz, mivel ez gyengítheti a biztonságot

Az identitás- és erőforrás-szolgáltatókhoz csatlakozó ügyfelek által használt hálózatok és hálózati szolgáltatások folyamatosan fejlődnek, és a modern trendek szerint változnak. Ezek a módosítások hatással lehetnek a feltételes hozzáférésre és az alapul szolgáló IP-címekre támaszkodó CAE-konfigurációkra. Amikor ezekről a konfigurációkról dönt, vegye figyelembe a technológia jövőbeni változásait, és vegye figyelembe a tervben szereplő címek meghatározott listáját.

Támogatott helyszabályzatok

A CAE csak az IP-alapú névvel ellátott helyekre nyújt betekintést. A CAE nem rendelkezik más helyfeltételekkel, például az MFA megbízható IP-címekkel vagy ország-/régióalapú helyekkel. Ha egy felhasználó megbízható MFA IP-címről, megbízható ip-címről vagy ország/régió helyről származik, a hitelesítésszolgáltató nem lesz kényszerítve, miután a felhasználó másik helyre lép. Ezekben az esetekben a Microsoft Entra egy egyórás hozzáférési jogkivonatot ad ki azonnali IP-kényszerítési ellenőrzés nélkül.

Fontos

Ha azt szeretné, hogy a helyszabályzatokat a folyamatos hozzáférés kiértékelése valós időben kényszerítse ki, csak az IP-alapú feltételes hozzáférés helyfeltételét használja, és konfigurálja az identitásszolgáltató és az erőforrás-szolgáltató által látható összes IP-címet, beleértve az IPv4-et és az IPv6-ot is. Ne használja az ország/régió helyfeltételeit vagy a Microsoft Entra többtényezős hitelesítés szolgáltatásbeállítási lapján elérhető megbízható IPS-szolgáltatást.

Elnevezett hely korlátozásai

Ha a helyszabályzatokban megadott összes IP-tartomány összege meghaladja az 5000-et, a CAE nem tudja valós időben kikényszeríteni a felhasználók változási helyének folyamatát. Ebben az esetben a Microsoft Entra egy egyórás CAE-jogkivonatot ad ki. A CAE továbbra is kikényszerít minden más eseményt és szabályzatot az ügyfél helyváltozási eseményein kívül. Ezzel a változással a hagyományos egyórás jogkivonatokhoz képest továbbra is erősebb biztonsági állapotot tart fenn, mivel a többi eseményt továbbra is közel valós időben értékeli ki a rendszer.

Az Office és a Web Account Manager beállításai

Office-frissítési csatorna DisableADALatopWAMOverride DisableAADWAM
Féléves nagyvállalati csatorna Ha engedélyezve vagy 1-es értékre van állítva, a CAE nem támogatott. Ha engedélyezve vagy 1-es értékre van állítva, a CAE nem támogatott.
Aktuális csatorna
vagy
Havi nagyvállalati csatorna
A CAE a beállítástól függetlenül támogatott A CAE a beállítástól függetlenül támogatott

Az office frissítési csatornáinak magyarázatáért lásd a Microsoft 365-alkalmazások frissítési csatornáinak áttekintését. A javaslat az, hogy a szervezetek ne tiltják le a Web Account Managert (WAM).

Társszerzőség Office-app

Ha egyszerre több felhasználó is együttműködik egy dokumentumon, előfordulhat, hogy a CAE nem vonja vissza azonnal a dokumentumhoz való hozzáférését a szabályzatmódosítási események alapján. Ebben az esetben a felhasználó teljesen elveszíti a hozzáférést a következő után:

  • A dokumentum bezárása
  • A Office-app bezárása
  • 1 óra elteltével, amikor a feltételes hozzáférési IP-szabályzat be van állítva

Az idő további csökkentése érdekében a SharePoint Rendszergazda istrator egy hálózati helyszabályzat konfigurálásával csökkentheti a SharePoint Online-ban és a Microsoft OneDrive-ban tárolt dokumentumok társszerzői munkameneteinek maximális élettartamát. A konfiguráció módosítása után a társszerzői munkamenetek maximális élettartama 15 percre csökken, és a Set-SPOTenant –IPAddressWACTokenLifetime SharePoint Online PowerShell-paranccsal tovább módosítható.

Engedélyezés a felhasználó letiltása után

Ha a letiltás után közvetlenül engedélyezi a felhasználót, némi késés áll fenn, mielőtt a fiók engedélyezve lesz az alsóbb rétegbeli Microsoft-szolgáltatások.

  • A SharePoint Online és a Teams általában 15 perces késéssel rendelkezik.
  • Az Exchange Online általában 35–40 perces késéssel rendelkezik.

Leküldéses értesítések

A rendszer nem értékeli ki az IP-címházirendet a leküldéses értesítések kiadása előtt. Ez a forgatókönyv azért létezik, mert a leküldéses értesítések kimenőek, és nem rendelkeznek társított IP-címmel, amely alapján kiértékelhető. Ha egy felhasználó ezt a leküldéses értesítést választja, például egy e-mailt az Outlookban, a CAE IP-címszabályzatai továbbra is érvénybe lépnek, mielőtt az e-mail megjeleníthető. A leküldéses értesítések egy üzenet előnézetét jelenítik meg, amelyet nem véd IP-címházirend. Az összes többi CAE-ellenőrzés a leküldéses értesítés elküldése előtt történik. Ha egy felhasználó vagy eszköz hozzáférése el lett távolítva, a kényszerítés a dokumentált időszakon belül történik.

Vendégfelhasználók

A CAE nem támogatja a vendégfelhasználói fiókokat. A CAE visszavonási eseményei és az IP-alapú feltételes hozzáférési szabályzatok nem lesznek azonnal kényszerítve.

CAE és bejelentkezési gyakoriság

A bejelentkezési gyakoriság hitelesítésszolgáltatóval vagy anélkül történik.