Folyamatos hozzáférés-kiértékelés
A jogkivonatok lejárata és frissítése szabványos mechanizmus az iparágban. Amikor egy ügyfélalkalmazás, például az Outlook csatlakozik egy olyan szolgáltatáshoz, mint az Exchange Online, az API-kérések OAuth 2.0 hozzáférési jogkivonatokkal vannak engedélyezve. Alapértelmezés szerint a hozzáférési jogkivonatok egy órán át érvényesek, amikor lejárnak, a rendszer átirányítja az ügyfelet a Microsoft Entra-ba a frissítéshez. Ez a frissítési időszak lehetőséget nyújt a felhasználói hozzáférésre vonatkozó szabályzatok újraértékelésére. Előfordulhat például, hogy feltételes hozzáférési szabályzat miatt nem frissítjük a jogkivonatot, vagy mert a felhasználó le van tiltva a címtárban.
Az ügyfelek aggodalmát fejezik ki a felhasználó feltételeinek változása és a szabályzatmódosítások érvénybe léptetése közötti késéssel kapcsolatban. A Microsoft kísérletezett a csökkentett jogkivonat-élettartam "tompa objektum" megközelítésével, de úgy találta, hogy csökkentik a felhasználói élményt és a megbízhatóságot a kockázatok kiküszöbölése nélkül.
A szabályzatsértésekre vagy biztonsági problémákra való időben történő válaszadáshoz valóban "beszélgetésre" van szükség a jogkivonat-kiállító Microsoft Entra és a függő entitás (felvilágosított alkalmazás) között. Ez a kétirányú beszélgetés két fontos képességet biztosít számunkra. A függő entitás láthatja, hogy mikor változnak a tulajdonságok, például a hálózati hely, és tájékoztathatja a jogkivonat-kiállítót. Emellett lehetővé teszi a jogkivonat-kiállító számára, hogy a fiók biztonsága, letiltása vagy egyéb problémák miatt a függő entitásnak ne tartsa tiszteletben az adott felhasználó jogkivonatait. A beszélgetés mechanizmusa a folyamatos hozzáférés-kiértékelés (CAE), amely a nyílt azonosítójú folyamatos hozzáférés-kiértékelési profilon (CAEP) alapuló iparági szabvány. A kritikus eseményértékelés célja, hogy a válasz közel valós idejű legyen, de akár 15 perces késés is megfigyelhető az esemény propagálási ideje miatt; Azonban az IP-helyek házirend-kényszerítése azonnali.
A folyamatos hozzáférés-kiértékelés kezdeti implementálása az Exchange, a Teams és a SharePoint Online szolgáltatásokra összpontosít.
Ha elő szeretné készíteni az alkalmazásokat a CAE használatára, olvassa el a folyamatos hozzáférés-kiértékelést engedélyező API-k használatát az alkalmazásokban.
Fő előnyök
- Felhasználói megszüntetés vagy jelszómódosítás/visszaállítás: A felhasználói munkamenet visszavonását a rendszer közel valós időben kényszeríti ki.
- Hálózati hely módosítása: A feltételes hozzáférési hely szabályzatai közel valós időben lesznek kikényszeríthetők.
- A jogkivonatok megbízható hálózaton kívüli gépre való exportálása feltételes hozzáférési helyszabályzatokkal megakadályozható.
Forgatókönyvek
Két forgatókönyv alkotja a folyamatos hozzáférés kiértékelését, a kritikus események kiértékelését és a feltételes hozzáférési szabályzatok kiértékelését.
Kritikus esemény kiértékelése
A folyamatos hozzáférés-kiértékelést úgy hajtjuk végre, hogy lehetővé teszi az olyan szolgáltatások számára, mint az Exchange Online, a SharePoint Online és a Teams, hogy feliratkozzanak a kritikus Microsoft Entra-eseményekre. Ezeket az eseményeket ezután közel valós időben lehet kiértékelni és kikényszeríteni. A kritikus események kiértékelése nem feltételes hozzáférési szabályzatokra támaszkodik, így bármely bérlőben elérhető. A rendszer jelenleg a következő eseményeket értékeli ki:
- A felhasználói fiók törölve vagy letiltva
- A felhasználó jelszava módosul vagy alaphelyzetbe áll
- A többtényezős hitelesítés engedélyezve van a felhasználó számára
- Rendszergazda istrator kifejezetten visszavonja a felhasználó összes frissítési jogkivonatát
- A Microsoft Entra ID-védelem által észlelt magas felhasználói kockázat
Ez a folyamat lehetővé teszi, hogy a felhasználók egy kritikus esemény után percek alatt elveszítik a hozzáférést a vállalati SharePoint Online-fájlokhoz, e-mailekhez, naptárhoz vagy feladatokhoz és Teamshez a Microsoft 365-ügyfélalkalmazásokból.
Feljegyzés
A SharePoint Online nem támogatja a felhasználói kockázati eseményeket.
Feltételes hozzáférési szabályzat kiértékelése
Az Exchange Online, a SharePoint Online, a Teams és az MS Graph képes szinkronizálni a fő feltételes hozzáférési szabályzatokat a szolgáltatáson belüli kiértékeléshez.
Ez a folyamat lehetővé teszi azt a forgatókönyvet, amelyben a felhasználók közvetlenül a hálózati hely változása után elveszítik a hozzáférést a Microsoft 365 ügyfélalkalmazásaiból vagy a SharePoint Online-ból származó fájlokhoz, e-mailekhez, naptárhoz vagy feladatokhoz.
Feljegyzés
Nem minden ügyfélalkalmazás és erőforrás-szolgáltató kombináció támogatott. Tekintse meg a következő táblázatokat. A táblázat első oszlopa a webböngészőn keresztül indított (azaz webböngészőben indított PowerPoint) webalkalmazásokra vonatkozik, míg a fennmaradó négy oszlop az egyes platformokon futó natív alkalmazásokra vonatkozik. Emellett az "Office" hivatkozásai a Wordre, az Excelre és a PowerPointra is kiterjednek.
Outlook Web | Outlook Win32 | iOS Outlook | Outlook Android | Outlook Mac | |
---|---|---|---|---|---|
SharePoint Online | Támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
Exchange Online | Támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
Office-webalkalmazások | Office Win32-alkalmazások | iOS Office | Android Office | Mac Office | |
---|---|---|---|---|---|
SharePoint Online | Nem támogatott * | Támogatott | Támogatott | Támogatott | Támogatott |
Exchange Online | Nem támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
OneDrive web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
---|---|---|---|---|---|
SharePoint Online | Támogatott | Nem támogatott | Támogatott | Támogatott | Nem támogatott |
Teams web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
---|---|---|---|---|---|
Teams-szolgáltatás | Részben támogatott | Részben támogatott | Részben támogatott | Részben támogatott | Részben támogatott |
SharePoint Online | Részben támogatott | Részben támogatott | Részben támogatott | Részben támogatott | Részben támogatott |
Exchange Online | Részben támogatott | Részben támogatott | Részben támogatott | Részben támogatott | Részben támogatott |
* Az Office-webalkalmazások jogkivonat-élettartama a feltételes hozzáférési szabályzat beállításakor 1 órára csökken.
Feljegyzés
A Teams több szolgáltatásból áll, és ezek közül a hívások és csevegési szolgáltatások nem tartják be az IP-alapú feltételes hozzáférési szabályzatokat.
A folyamatos hozzáférés-értékelés az Azure Government-bérlőkben (GCC High és DOD) is elérhető az Exchange Online-hoz.
Ügyfélképességek
Ügyféloldali jogcímek kihívása
A folyamatos hozzáférés kiértékelése előtt az ügyfelek visszajátszják a hozzáférési jogkivonatot a gyorsítótárból, amíg az nem járt le. A CAE-vel bevezetünk egy új esetet, amelyben az erőforrás-szolgáltató elutasíthat egy jogkivonatot, ha az még nem járt le. Annak érdekében, hogy tájékoztassa az ügyfeleket a gyorsítótár megkerüléséről annak ellenére, hogy a gyorsítótárazott jogkivonatok még nem jártak le, bevezetünk egy jogcím-kihívás nevű mechanizmust, amely azt jelzi, hogy a jogkivonatot elutasították, és egy új hozzáférési jogkivonatot kell kiadnia a Microsoft Entra-nak. A CAE-nak szüksége van egy ügyfélfrissítésre a jogcímek kihívásának megértéséhez. A következő alkalmazások legújabb verziói támogatják a jogcímek kihívását:
Webes | Win32 | iOS | Android | Mac | |
---|---|---|---|---|---|
Outlook | Támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
Csapat | Támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
Office | Nem támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
OneDrive | Támogatott | Támogatott | Támogatott | Támogatott | Támogatott |
A tokenek élettartama
Mivel a kockázat és a szabályzat valós időben van kiértékelve, a folyamatos hozzáférés-kiértékelési munkameneteket tárgyaló ügyfelek már nem támaszkodnak a statikus hozzáférési jogkivonat élettartam-szabályzataira. Ez a változás azt jelenti, hogy a konfigurálható jogkivonat élettartam-szabályzata nem érvényes a CAE-val kapcsolatos munkameneteket tárgyaló ügyfelek számára.
A jogkivonat élettartama a CAE-munkamenetekben akár 28 órára is nő. A kritikus események és a szabályzatértékelések visszavonása nem csupán egy tetszőleges időszak. Ez a változás a biztonsági helyzet befolyásolása nélkül növeli az alkalmazások stabilitását.
Ha nem használ CAE-kompatibilis ügyfeleket, az alapértelmezett hozzáférési jogkivonat élettartama 1 óra marad. Az alapértelmezett csak akkor változik, ha a hozzáférési jogkivonat élettartamát a Konfigurálható jogkivonat élettartamának (CTL) előzetes verziójával konfigurálta.
Példa folyamatábrákra
Felhasználó visszavont eseményfolyamata
- A CAE-kompatibilis ügyfél hitelesítő adatokat vagy frissítési jogkivonatokat jelenít meg a Microsoft Entra számára, és hozzáférési jogkivonatot kér egy erőforráshoz.
- A rendszer a hozzáférési jogkivonatot más összetevőkkel együtt adja vissza az ügyfélnek.
- A Rendszergazda istrator explicit módon visszavonja a felhasználó összes frissítési jogkivonatát, majd a Microsoft Entra elküldi a visszavonási eseményt az erőforrás-szolgáltatónak.
- Megjelenik egy hozzáférési jogkivonat az erőforrás-szolgáltató számára. Az erőforrás-szolgáltató kiértékeli a jogkivonat érvényességét, és ellenőrzi, hogy van-e visszavonási esemény a felhasználó számára. Az erőforrás-szolgáltató ezen információk alapján dönti el, hogy hozzáférést biztosít-e az erőforráshoz.
- Ebben az esetben az erőforrás-szolgáltató tagadja a hozzáférést, és 401+ jogcímre vonatkozó kihívást küld vissza az ügyfélnek.
- A CAE-kompatibilis ügyfél tisztában van a 401+ jogcímekkel. Átmegy a gyorsítótárakon, és visszatér az 1. lépéshez, és elküldi a frissítési jogkivonatát, valamint a jogcímre vonatkozó kihívást a Microsoft Entra-nak. A Microsoft Entra ezután újraértékeli az összes feltételt, és felkéri a felhasználót, hogy ebben az esetben újrahitelesítse a feltételeket.
Felhasználói feltétel változási folyamata
A következő példában egy feltételes hozzáférési Rendszergazda istrator egy helyalapú feltételes hozzáférési szabályzatot konfigurált, hogy csak meghatározott IP-tartományokból engedélyezze a hozzáférést:
- A CAE-kompatibilis ügyfél hitelesítő adatokat vagy frissítési jogkivonatokat jelenít meg a Microsoft Entra számára, és hozzáférési jogkivonatot kér egy erőforráshoz.
- A Microsoft Entra kiértékeli az összes feltételes hozzáférési szabályzatot annak megállapításához, hogy a felhasználó és az ügyfél megfelel-e a feltételeknek.
- A rendszer a hozzáférési jogkivonatot más összetevőkkel együtt adja vissza az ügyfélnek.
- A felhasználó egy engedélyezett IP-címtartományból lép ki.
- Az ügyfél egy hozzáférési jogkivonatot mutat be az erőforrás-szolgáltatónak egy engedélyezett IP-tartományon kívülről.
- Az erőforrás-szolgáltató kiértékeli a jogkivonat érvényességét, és ellenőrzi a Microsoft Entra által szinkronizált helyszabályzatot.
- Ebben az esetben az erőforrás-szolgáltató tagadja a hozzáférést, és 401+ jogcímre vonatkozó kihívást küld vissza az ügyfélnek. Az ügyfél azért van megtámadva, mert nem engedélyezett IP-címtartományból származik.
- A CAE-kompatibilis ügyfél tisztában van a 401+ jogcímekkel. Átmegy a gyorsítótárakon, és visszatér az 1. lépéshez, és elküldi a frissítési jogkivonatát, valamint a jogcímre vonatkozó kihívást a Microsoft Entra-nak. A Microsoft Entra újraértékeli az összes feltételt, és ebben az esetben tagadja a hozzáférést.
Az IP-címvariációk kivétele és a kivétel kikapcsolása
A fenti 8. lépésben, amikor a Microsoft Entra újraértékeli a feltételeket, tagadja a hozzáférést, mert a Microsoft Entra által észlelt új hely kívül esik az engedélyezett IP-tartományon. Nem mindig ez a helyzet. Néhány összetett hálózati topológia miatt a hitelesítési kérés akkor is érkezhet egy engedélyezett kimenő IP-címről, ha az erőforrás-szolgáltató által fogadott hozzáférési kérelem egy nem engedélyezett IP-címről érkezett. Ilyen feltételek mellett a Microsoft Entra úgy értelmezi, hogy az ügyfél továbbra is engedélyezett helyen van, és hozzáférést kell biztosítani. Ezért a Microsoft Entra egy egyórás jogkivonatot ad ki, amely felfüggeszti az IP-címek ellenőrzését az erőforráson a jogkivonat lejáratáig. A Microsoft Entra továbbra is kikényszeríti az IP-címek ellenőrzését.
Ha nem Microsoft 365-erőforrásokba küld forgalmat globális biztonságos hozzáféréssel, az erőforrás-szolgáltatók nem ismerik a felhasználó forrás IP-címét, mivel ezek az erőforrások jelenleg nem támogatják a forrás IP-visszaállítását . Ebben az esetben, ha a felhasználó a megbízható IP-címen van (a Microsoft Entra szerint), a Microsoft Entra kiad egy egyórás jogkivonatot, amely felfüggeszti az IP-címek ellenőrzését az erőforráson a jogkivonat lejáratáig. A Microsoft Entra továbbra is helyesen kényszeríti ki az IP-címek ellenőrzését ezekre az erőforrásokra vonatkozóan.
Standard és szigorú mód. A hozzáférés engedélyezése ebben a kivételben (azaz a Microsoft Entra-azonosító és az erőforrás-szolgáltató által észlelt nem engedélyezett hely között észlelt engedélyezett hely) a kritikus erőforrásokhoz való hozzáférés fenntartásával védi a felhasználók termelékenységét. Ez a szokásos helyérvényesítés. Másrészről a Rendszergazda istratorok, akik stabil hálózati topológiák alatt működnek, és el szeretnék távolítani ezt a kivételt, használhatják a Szigorú helyérvényesítést (nyilvános előzetes verzió) is.
CaE engedélyezése vagy letiltása
A CAE-beállítás a feltételes hozzáférésre került. Az új CAE-ügyfelek a feltételes hozzáférési szabályzatok létrehozásakor közvetlenül érhetik el, illetve kapcsolhatják be és ki a CAE-t. Egyes meglévő ügyfelek azonban csak migrálás után férhetnek hozzá a feltételes hozzáféréssel történő CAE-hez.
Migrálás
Azoknak az ügyfeleknek, akik a Biztonság területen konfigurálták a CAE-beállításokat, a beállításokat egy új feltételes hozzáférési szabályzatba kell migrálniuk.
Az alábbi táblázat az egyes ügyfélcsoportok áttelepítési élményét ismerteti a korábban konfigurált CAE-beállítások alapján.
Meglévő CAE-beállítás | Szükség van a migrálásra | Automatikusan engedélyezve a CAE-hez | Várható migrálási élmény |
---|---|---|---|
Új bérlők, amelyek nem konfigurálnak semmit a régi felületen. | Nem | Igen | A régi CAE-beállítás rejtett, mivel ezek az ügyfelek valószínűleg nem láthatták a felhasználói élményt az általános rendelkezésre állás előtt. |
Azok a bérlők, amelyek kifejezetten engedélyezve van a régi felhasználói felülettel rendelkező összes felhasználó számára. | Nem | Igen | A régi CAE-beállítás szürkítve van. Mivel ezek az ügyfelek kifejezetten engedélyezték ezt a beállítást az összes felhasználó számára, nem kell migrálniuk. |
Azok a bérlők, amelyek kifejezetten engedélyezték a bérlőik bizonyos felhasználóit a régi felhasználói felülettel. | Igen | Nem | A régi CAE-beállítások szürkítve jelennek meg. A Migrálás gombra kattintva elindítja az új feltételes hozzáférési szabályzat varázslót, amely a Minden felhasználót tartalmazza, miközben kizárja a CAE-ból másolt felhasználókat és csoportokat. Emellett az új Folyamatos hozzáférés-kiértékelési munkamenet-vezérlés testreszabása beállítás letiltva értékre van kapcsolva. |
Azok a bérlők, amelyek kifejezetten letiltották az előnézetet. | Igen | Nem | A régi CAE-beállítások szürkítve jelennek meg. A Migrálás gombra kattintva elindítja az új feltételes hozzáférési szabályzat varázslót, amely a Minden felhasználót tartalmazza, és letiltottra állítja az új Folyamatos hozzáférés-kiértékelési munkamenet-vezérlés testreszabása beállítást. |
A folyamatos hozzáférés munkamenet-vezérlésként történő kiértékeléséről a folyamatos hozzáférés-értékelés testreszabása című szakaszban talál további információt.
Korlátozások
Csoporttagság és szabályzatfrissítés érvényes ideje
A feltételes hozzáférési szabályzatok és a csoporttagság rendszergazdák által végzett módosítása akár egy napot is igénybe vehet, amíg érvénybe lép. A késés a Microsoft Entra és az olyan erőforrás-szolgáltatók közötti replikációból származik, mint az Exchange Online és a SharePoint Online. Bizonyos optimalizálás megtörtént a szabályzatfrissítések esetében, ami két órára csökkenti a késést. Ez azonban még nem fedi le az összes forgatókönyvet.
Ha a feltételes hozzáférési szabályzatot vagy a csoporttagság módosítását azonnal alkalmazni kell bizonyos felhasználókra, két lehetősége van.
- Futtassa a revoke-mgusersign PowerShell parancsot egy adott felhasználó összes frissítési jogkivonatának visszavonásához.
- A felhasználói profil oldalán válassza a "Munkamenet visszavonása" lehetőséget a felhasználói munkamenet visszavonásához, hogy a frissített szabályzatok azonnal érvényesüljenek.
IP-cím variációja és megosztott IP-címmel rendelkező hálózatok vagy ismeretlen kimenő IP-címek
A modern hálózatok gyakran eltérő módon optimalizálják a kapcsolatokat és a hálózati útvonalakat az alkalmazásokhoz. Ez az optimalizálás gyakran okoz eltéréseket a kapcsolatok útválasztási és forrás IP-címeinek, ahogyan azt az identitásszolgáltató és az erőforrás-szolgáltatók látják. Ezt az osztott elérési utat vagy IP-címvariációt több hálózati topológiában is megfigyelheti, beleértve, de nem kizárólagosan az alábbiakat:
- Helyszíni és felhőalapú proxyk.
- Virtuális magánhálózati (VPN-) implementációk, például osztott bújtatás.
- Szoftveralapú széleshálózati (SD-WAN) üzemelő példányok.
- Terheléselosztásos vagy redundáns hálózati kimenő hálózati topológiák, például az SNAT-t használók.
- Fiókirodai üzemelő példányok, amelyek lehetővé teszik a közvetlen internetkapcsolatot adott alkalmazásokhoz.
- IPv6-ügyfeleket támogató hálózatok.
- Egyéb topológiák, amelyek az alkalmazás- vagy erőforrás-forgalmat az identitásszolgáltató felé irányuló forgalomtól eltérően kezelik.
Az IP-változatok mellett az ügyfelek olyan hálózati megoldásokat és szolgáltatásokat is alkalmazhatnak, amelyek:
- Olyan IP-címeket használjon, amelyek megoszthatóak más ügyfelekkel. Például olyan felhőalapú proxyszolgáltatások, amelyekben a kimenő IP-címek meg vannak osztva az ügyfelek között.
- Használjon könnyen változó vagy meghatározhatatlan IP-címeket. Például olyan topológiák, ahol nagy, dinamikus kimenő IP-címek vannak használatban, például nagyvállalati forgatókönyvek vagy osztott VPN- és helyi kimenő hálózati forgalom.
Azok a hálózatok, ahol a kimenő IP-címek gyakran változnak vagy meg vannak osztva, hatással lehetnek a Microsoft Entra feltételes hozzáférésére és a hozzáférés-értékelés folytatására (CAE). Ez a variabilitás hatással lehet a funkciók működésére és az ajánlott konfigurációkra. A felosztási bújtatás váratlan blokkokat is okozhat, ha egy környezet a Split Tunneling VPN ajánlott eljárásaival van konfigurálva. Előfordulhat, hogy az optimalizált IP-címek megbízható IP-címen/VPN-en keresztül történő átirányítására lehet szükség a insufficient_claims vagy az azonnali IP-kényszerítési ellenőrzéssel kapcsolatos blokkok sikertelenségének megakadályozásához.
Az alábbi táblázat összefoglalja a feltételes hozzáférés és a CAE szolgáltatás viselkedését, valamint a különböző típusú hálózati üzembe helyezésekre és erőforrás-szolgáltatókra (RP) vonatkozó javaslatokat:
Hálózat típusa | Példa | A Microsoft Entra által látott IP-címek | Az RP által látott IP-címek | Alkalmazható feltételes hozzáférési konfiguráció (megbízható névvel ellátott hely) | CaE-kényszerítés | CAE hozzáférési jogkivonat | Ajánlások |
---|---|---|---|---|---|---|---|
1. A kimenő IP-címek dedikáltak és számbavehetők mind a Microsoft Entra, mind az összes RP-forgalom számára | A Microsoft Entra felé bejövő hálózati forgalom és az RPs az 1.1.1.1 és/vagy a 2.2.2.2 közötti kimenő forgalomból | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Kritikus események IP-cím helyének változásai |
Hosszú életű – akár 28 óra | Ha a feltételes hozzáférés nevesített helyeket definiálja, győződjön meg arról, hogy tartalmazzák az összes lehetséges kimenő IP-címet (a Microsoft Entra és az összes RP által látható) |
2. A kimenő ip-címek dedikáltak és számbavehetők a Microsoft Entra számára, de az RP-forgalomhoz nem. | A Microsoft Entra felé történő hálózati forgalom az 1.1.1.1-en keresztül halad ki. Az RP-forgalom az x.x.x.x.x rendszeren keresztül halad ki | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Kritikus események | Alapértelmezett hozzáférési jogkivonat élettartama – 1 óra | Ne adjon hozzá nem dedikált vagy nem számozható kimenő IP-címeket (x.x.x.x.x) a megbízható névvel ellátott hely feltételes hozzáférési szabályaihoz, mert ez gyengítheti a biztonságot |
3. A kimenő ip-címek nem dedikáltak/megosztottak, vagy nem számozhatók mind a Microsoft Entra, mind az RP-forgalom esetében | A Microsoft Entra felé kimenő hálózati forgalom az y.y.y.y. RP-forgalom x.x.x.x-en keresztül történik | y.y.y.y | x.x.x.x | N/A –nincs IP-feltételes hozzáférési szabályzat/Megbízható helyek vannak konfigurálva | Kritikus események | Hosszú életű – akár 28 óra | Ne adjon hozzá nem dedikált vagy nem számlálható kimenő IP-címeket (x.x.x.x/y.y.y.y.y) a megbízható névvel ellátott hely feltételes hozzáférési szabályaihoz, mivel ez gyengítheti a biztonságot |
Az identitás- és erőforrás-szolgáltatókhoz csatlakozó ügyfelek által használt hálózatok és hálózati szolgáltatások folyamatosan fejlődnek, és a modern trendek szerint változnak. Ezek a módosítások hatással lehetnek a feltételes hozzáférésre és az alapul szolgáló IP-címekre támaszkodó CAE-konfigurációkra. Amikor ezekről a konfigurációkról dönt, vegye figyelembe a technológia jövőbeni változásait, és vegye figyelembe a tervben szereplő címek meghatározott listáját.
Támogatott helyszabályzatok
A CAE csak az IP-alapú névvel ellátott helyekre nyújt betekintést. A CAE nem rendelkezik más helyfeltételekkel, például az MFA megbízható IP-címekkel vagy ország-/régióalapú helyekkel. Ha egy felhasználó megbízható MFA IP-címről, megbízható ip-címről vagy ország/régió helyről származik, a hitelesítésszolgáltató nem lesz kényszerítve, miután a felhasználó másik helyre lép. Ezekben az esetekben a Microsoft Entra egy egyórás hozzáférési jogkivonatot ad ki azonnali IP-kényszerítési ellenőrzés nélkül.
Fontos
Ha azt szeretné, hogy a helyszabályzatokat a folyamatos hozzáférés kiértékelése valós időben kényszerítse ki, csak az IP-alapú feltételes hozzáférés helyfeltételét használja, és konfigurálja az identitásszolgáltató és az erőforrás-szolgáltató által látható összes IP-címet, beleértve az IPv4-et és az IPv6-ot is. Ne használja az ország/régió helyfeltételeit vagy a Microsoft Entra többtényezős hitelesítés szolgáltatásbeállítási lapján elérhető megbízható IPS-szolgáltatást.
Elnevezett hely korlátozásai
Ha a helyszabályzatokban megadott összes IP-tartomány összege meghaladja az 5000-et, a CAE nem tudja valós időben kikényszeríteni a felhasználók változási helyének folyamatát. Ebben az esetben a Microsoft Entra egy egyórás CAE-jogkivonatot ad ki. A CAE továbbra is kikényszerít minden más eseményt és szabályzatot az ügyfél helyváltozási eseményein kívül. Ezzel a változással a hagyományos egyórás jogkivonatokhoz képest továbbra is erősebb biztonsági állapotot tart fenn, mivel a többi eseményt továbbra is közel valós időben értékeli ki a rendszer.
Az Office és a Web Account Manager beállításai
Office-frissítési csatorna | DisableADALatopWAMOverride | DisableAADWAM |
---|---|---|
Féléves nagyvállalati csatorna | Ha engedélyezve vagy 1-es értékre van állítva, a CAE nem támogatott. | Ha engedélyezve vagy 1-es értékre van állítva, a CAE nem támogatott. |
Aktuális csatorna vagy Havi nagyvállalati csatorna |
A CAE a beállítástól függetlenül támogatott | A CAE a beállítástól függetlenül támogatott |
Az office frissítési csatornáinak magyarázatáért lásd a Microsoft 365-alkalmazások frissítési csatornáinak áttekintését. A javaslat az, hogy a szervezetek ne tiltják le a Web Account Managert (WAM).
Társszerzőség Office-app
Ha egyszerre több felhasználó is együttműködik egy dokumentumon, előfordulhat, hogy a CAE nem vonja vissza azonnal a dokumentumhoz való hozzáférését a szabályzatmódosítási események alapján. Ebben az esetben a felhasználó teljesen elveszíti a hozzáférést a következő után:
- A dokumentum bezárása
- A Office-app bezárása
- 1 óra elteltével, amikor a feltételes hozzáférési IP-szabályzat be van állítva
Az idő további csökkentése érdekében a SharePoint Rendszergazda istrator egy hálózati helyszabályzat konfigurálásával csökkentheti a SharePoint Online-ban és a Microsoft OneDrive-ban tárolt dokumentumok társszerzői munkameneteinek maximális élettartamát. A konfiguráció módosítása után a társszerzői munkamenetek maximális élettartama 15 percre csökken, és a Set-SPOTenant –IPAddressWACTokenLifetime SharePoint Online PowerShell-paranccsal tovább módosítható.
Engedélyezés a felhasználó letiltása után
Ha a letiltás után közvetlenül engedélyezi a felhasználót, némi késés áll fenn, mielőtt a fiók engedélyezve lesz az alsóbb rétegbeli Microsoft-szolgáltatások.
- A SharePoint Online és a Teams általában 15 perces késéssel rendelkezik.
- Az Exchange Online általában 35–40 perces késéssel rendelkezik.
Leküldéses értesítések
A rendszer nem értékeli ki az IP-címházirendet a leküldéses értesítések kiadása előtt. Ez a forgatókönyv azért létezik, mert a leküldéses értesítések kimenőek, és nem rendelkeznek társított IP-címmel, amely alapján kiértékelhető. Ha egy felhasználó ezt a leküldéses értesítést választja, például egy e-mailt az Outlookban, a CAE IP-címszabályzatai továbbra is érvénybe lépnek, mielőtt az e-mail megjeleníthető. A leküldéses értesítések egy üzenet előnézetét jelenítik meg, amelyet nem véd IP-címházirend. Az összes többi CAE-ellenőrzés a leküldéses értesítés elküldése előtt történik. Ha egy felhasználó vagy eszköz hozzáférése el lett távolítva, a kényszerítés a dokumentált időszakon belül történik.
Vendégfelhasználók
A CAE nem támogatja a vendégfelhasználói fiókokat. A CAE visszavonási eseményei és az IP-alapú feltételes hozzáférési szabályzatok nem lesznek azonnal kényszerítve.
CAE és bejelentkezési gyakoriság
A bejelentkezési gyakoriság hitelesítésszolgáltatóval vagy anélkül történik.