连续访问评估

令牌过期和刷新是业界的一种标准机制。 当客户端应用程序(如 Outlook)连接到服务(如 Exchange Online)时,API 请求通过 OAuth 2.0 访问令牌得到授权。 默认情况下,访问令牌的有效期为一小时,超过此时间后,客户端会重定向回 Microsoft Entra ID 来刷新这些令牌。 该刷新期间为重新评估用户访问策略提供了机会。 例如,我们可能会选择不刷新令牌,原因是存在条件访问策略,或是用户在目录中已被禁用。

对用户条件发生变化之后、强制实施策略更改之前的这段滞后时间,客户表达了忧虑。 Microsoft Entra ID 已经尝试了降低令牌寿命的“生硬”方法,但发现这种方法会降低用户体验和可靠性,而不会消除风险。

对策略冲突或安全问题的及时响应实际上需要令牌颁发者 (Microsoft Entra ID) 和信赖方(令牌提供到的应用)之间进行“对话”。 这种双向对话提供了两项重要功能。 信赖方可以查看属性更改(例如网络位置),并通知令牌颁发者。 通过此对话,令牌颁发者也可通知信赖方由于帐户泄露、禁用或其他问题而停止采用给定用户的令牌。 此对话的机制是持续访问评估 (CAE),这是一种基于 Open ID Continuous Access Evaluation Profile (CAEP) 的行业标准。 关键事件评估的目标是使响应接近实时,但由于事件传播时间的原因,可能会观察到长达 15 分钟的延迟;但是,IP 位置策略的实施是即时的。

连续访问评估的初始实现侧重于 Exchange、Teams 和 SharePoint Online。

若要准备应用程序以使用 CAE,请参阅如何在应用程序中使用启用了连续访问评估的 API

主要优点

  • 用户终止或密码更改/重置:用户会话吊销近乎实时执行。
  • 网络位置更改:条件访问位置策略近乎实时执行。
  • 可以使用条件访问位置策略阻止将令牌导出到受信任网络外部的计算机。

方案

可以通过两种方案进行连续访问评估、关键事件评估和条件访问策略评估。

关键事件评估

连续访问评估是通过允许服务(例如 Exchange Online、SharePoint Online 和 Teams)订阅关键 Microsoft Entra 事件来实现的。 然后,可以近乎实时地评估和强制实施这些事件。 关键事件评估不依赖于条件访问策略,因此,可在任何租户中使用。 当前评估以下事件:

  • 用户帐户已删除或禁用
  • 用户的密码已更改或已重置
  • 已为用户启用多重身份验证
  • 管理员显式撤销用户的所有刷新令牌

此过程会导致用户在关键事件发生后的数分钟内失去对 Microsoft 365 客户端应用中的组织 SharePoint Online 文件、电子邮件、日历或任务和 Teams 的访问权限。

注意

SharePoint Online 不支持用户风险事件。

条件访问策略评估

Exchange Online、SharePoint Online、Teams 和 MS Graph 能够同步要在服务本身中评估的关键条件访问策略。

此过程会导致用户在网络位置发生更改后立即失去对 Microsoft 365 客户端应用或 SharePoint Online 中的组织文件、电子邮件、日历或任务的访问权限。

注意

并非所有客户端应用和资源提供程序组合都受支持。 请参阅下表。 此表的第一列是指通过 Web 浏览器启动的 Web 应用程序(即在 Web 浏览器中启动的 PowerPoint),而其余四列是指在所述的每个平台上运行的原生应用程序。 此外,对“Office”的引用包含 Word、Excel 和 PowerPoint。

Outlook Web Outlook Win32 Outlook iOS Outlook Android Outlook Mac
SharePoint Online 支持 支持 支持 支持 支持
Exchange Online 支持 支持 支持 支持 支持
Office Web 应用 Office Win32 应用 Office for iOS Office for Android Office for Mac
SharePoint Online 不支持* 支持 支持 支持 支持
Exchange Online 不支持 支持 支持 支持 支持
OneDrive web OneDrive Win32 OneDrive iOS OneDrive Android OneDrive Mac
SharePoint Online 支持 不支持 支持 支持 不支持
Teams Web Teams Win32 Teams iOS Teams Android Teams Mac
Teams 服务 部分支持 部分支持 部分支持 部分支持 部分支持
SharePoint Online 部分支持 部分支持 部分支持 部分支持 部分支持
Exchange Online 部分支持 部分支持 部分支持 部分支持 部分支持

* 设置条件访问策略时,Office Web 应用的令牌生存期缩短为 1 小时。

注意

Teams 由多个服务组成,其中通话和聊天服务不遵循基于 IP 的条件访问策略。

客户端功能

客户端声明质询

在进行连续访问评估之前,只要访问令牌未过期,客户端就会从其缓存中重播访问令牌。 我们通过 CAE 引入了一种新用例 - 即使令牌没有过期,资源提供程序也可以拒绝令牌。 为了通知客户端绕过其缓存(即使在缓存的令牌尚未过期的情况下),我们引入了一种称为“声明质询”的机制,用于指示令牌已被拒绝,并需要由 Microsoft Entra ID 颁发一个新的访问令牌。 CAE 要求客户端更新以理解声明质询。 以下应用程序的最新版本支持声明质询:

Web Win32 iOS Android Mac
Outlook 支持 支持 支持 支持 支持
Teams 支持 支持 支持 支持 支持
Office 不支持 支持 支持 支持 支持
OneDrive 支持 支持 支持 支持 支持

令牌生存期

由于风险和策略是实时评估的,协商连续访问评估感知会话的客户端将不再依赖于静态访问令牌生存期策略。 此项更改意味着,协商 CAE 感知会话的客户端将不遵守可配置的令牌生存期策略。

在 CAE 会话中,令牌生存期增加,可以长时间生存,最长可达 28 小时。 关键事件和策略评估会驱动吊销,并非可以随时吊销。 此更改提高了应用程序的稳定性,而不会影响安全状况。

如果未使用支持 CAE 的客户端,默认访问令牌生存期会保持为 1 小时。 仅当你已使用可配置的令牌生存期 (CTL) 预览版功能配置了访问令牌生存期时,默认生存期才会更改。

示例流示意图

用户吊销事件流

User revocation event flow

  1. 支持 CAE 的客户端向 Microsoft Entra ID 提供凭据或刷新令牌,要求获得某个资源的访问令牌。
  2. 访问令牌与其他项目一起返回到客户端。
  3. 管理员显式撤销用户的所有刷新令牌,然后从 Microsoft Entra ID 将吊销事件发送到资源提供程序。
  4. 向资源提供程序提供访问令牌。 资源提供程序评估令牌的有效性,并检查用户是否存在任何吊销事件。 资源提供程序使用此信息来决定是否授予对资源的访问权限。
  5. 在这种情况下,资源提供程序会拒绝访问,并将 401+ 声明质询发送回客户端。
  6. 支持 CAE 的客户端理解 401+ 声明质询。 它绕过缓存并返回到步骤 1,将其刷新令牌和声明质询一起发送回 Microsoft Entra ID。 然后在此情况下,Microsoft Entra ID 会重新评估所有条件,并提示用户重新进行身份验证。

用户条件更改流

在下面的示例中,条件访问管理员配置了一个基于位置的条件访问策略,仅允许来自特定 IP 范围的访问:

User condition event flow

  1. 支持 CAE 的客户端向 Microsoft Entra ID 提供凭据或刷新令牌,要求获得某个资源的访问令牌。
  2. Microsoft Entra ID 会评估所有条件访问策略,看用户和客户端是否满足条件。
  3. 访问令牌与其他项目一起返回到客户端。
  4. 用户从允许的 IP 范围移出。
  5. 客户端从允许的 IP 范围之外向资源提供程序提供访问令牌。
  6. 资源提供程序评估令牌的有效性,并检查从 Microsoft Entra ID 同步的位置策略。
  7. 在这种情况下,资源提供程序会拒绝访问,并将 401+ 声明质询发送回客户端。 客户端将受到质询,因为它并非来自允许的 IP 范围。
  8. 支持 CAE 的客户端理解 401+ 声明质询。 它绕过缓存并返回到步骤 1,将其刷新令牌和声明质询一起发送回 Microsoft Entra ID。 在这种情况下,Microsoft Entra ID 会重新评估所有条件并拒绝访问。

IP 地址变体的异常以及如何关闭异常

在上面的步骤 8 中,当 Microsoft Entra ID 重新评估条件时,它会拒绝访问,因为 Microsoft Entra ID 检测到的新位置超出了允许的 IP 范围。 但不总是这样。 由于一些复杂的网络拓扑,即使资源提供程序收到的访问请求来自不允许的 IP 地址,身份验证请求也可以从允许的出口 IP 地址到达。 在这些情况下,Microsoft Entra ID 会解释客户端继续位于允许的位置,应授予访问权限。 因此,Microsoft Entra ID 颁发了一小时令牌,该令牌会暂停资源中的 IP 地址检查,直到令牌过期。 Microsoft Entra ID 会继续强制实施 IP 地址检查。

标准模式与严格模式。 在此异常(即,在 Microsoft Entra ID 之间检测到的允许位置与资源提供程序检测到的不允许位置)下授予访问权限可保持对关键资源的访问,从而保护用户生产力。 这是标准位置强制执行。 另一方面,在稳定网络拓扑下运行并希望删除此异常的管理员可以使用严格位置强制执行(公共预览版)

启用或禁用 CAE

CAE 设置已移动到“条件访问”边栏选项卡下。 创建条件访问策略时,新 CAE 客户可直接访问和切换 CAE。 但是,一些现有客户必须先进行迁移,然后才能通过条件访问来访问 CAE。

迁移

之前在“安全性”下配置了 CAE 设置的客户必须将这些设置迁移到新的条件访问策略。

下表根据以前配置的 CAE 设置描述了每个客户组的迁移体验。

现有 CAE 设置 是否需要迁移 为 CAE 自动启用 预期的迁移体验
未在旧体验中配置任何内容的新租户。 由于这些客户在正式发布之前可能看不到体验,因此旧 CAE 设置会隐藏。
为具有旧体验的所有用户显式启用的租户。 旧的 CAE 设置会灰显。由于这些客户为所有用户显式启用了此设置,因此他们无需迁移。
在其租户中显式启用具有旧体验的某些用户的租户。 旧的 CAE 设置会灰显。点击“迁移”会启动新的条件访问策略向导(其中包括“所有用户”),同时排除从 CAE 复制的用户和组。 它还将新的“自定义持续访问评估”会话控制设置为“已禁用” 。
显式禁用预览的租户。 旧的 CAE 设置会灰显。点击“迁移”会启动新的条件访问策略向导(其中包括“所有用户”),并将新的“自定义持续访问评估”会话控制设置为“已禁用”。

有关连续访问评估作为会话控制的详细信息,请参阅自定义连续访问评估部分。

限制

组成员身份和策略更新的有效时间

管理员对条件访问策略和组成员身份所做的更改最多可能需要一天才会生效。 存在这种延迟的原因是需要在 Microsoft Entra ID 与资源提供程序(例如 Exchange Online 和 SharePoint Online)之间进行复制。 已针对策略更新进行了一些优化,将延迟缩短到了两小时。 但是,这还未涵盖所有方案。

需要立即将条件访问策略或组成员身份更改应用于某些用户时,可以采取两种做法。

  • 运行 revoke-mgusersign PowerShell 命令以撤销指定用户的所有刷新令牌。
  • 在用户配置文件页上选择“撤销会话”来撤销用户的会话,确保立即应用更新后的策略。

IP 地址差异和具有共享 IP 地址或未知出口 IP 的网络

新式网络通常以不同的方式优化应用程序的连接和网络路径。 与在标识提供者和资源提供程序中那样,这种优化经常会导致连接的路由和源 IP 地址出现差异。 你可能会在多种网络拓扑中观察到这种拆分路径或 IP 地址差异,包括但不限于:

  • 本地代理和基于云的代理。
  • 虚拟专用网 (VPN) 实施,例如拆分隧道
  • 软件定义的广域网 (SD-WAN) 部署。
  • 负载均衡或冗余的网络出口网络拓扑,例如使用 SNAT 的拓扑。
  • 允许特定应用程序直接连接 Internet 的分支机构部署。
  • 支持 IPv6 客户端的网络。
  • 其他拓扑,它们处理应用程序或资源流量的方式不同于处理发往标识提供者的流量。

除了 IP 差异之外,客户还可以采用以下网络解决方案和服务:

  • 使用可与其他客户共享的 IP 地址。 例如,使用基于云的代理服务,其中的出口 IP 地址在客户之间共享。
  • 使用容易变化或无法定义的 IP 地址。 例如,使用大量动态出口 IP 地址的拓扑,如大型企业方案或拆分 VPN 和本地出口网络流量。

其中出口 IP 地址频繁变化或共享的网络可能会影响 Microsoft Entra 条件访问和连续访问评估 (CAE)。 这种差异可能会影响这些功能的工作方式及其建议的配置。 使用拆分隧道 VPN 最佳做法配置环境时,拆分隧道还可能导致意外阻止。 可能需要通过受信任的 IP/VPN 路由优化的 IP 来防止与insufficient_claims即时 IP 强制检查失败相关的阻止。

下表汇总了针对不同类型的网络部署的条件访问和 CAE 功能行为与建议:

网络类型 示例 Microsoft Entra ID 看到的 IP RP 看到的 IP 适用的条件访问配置(受信任命名位置) CAE 强制实施 CAE 访问令牌 建议
1. 出口 IP 专用于 Microsoft Entra ID 和所有 RP 流量并且可枚举 发往 Microsoft Entra ID 和 RP 的所有网络流量通过 1.1.1.1 和/或 2.2.2.2 传出 1.1.1.1 2.2.2.2 1.1.1.1
2.2.2.2
关键事件
IP 位置更改
生存期较长 - 长达 28 小时 如果定义了条件访问命名位置,请确保它们包含所有可能的出口 IP(Microsoft Entra ID 和所有 RP 看到的 IP)
2. 出口 IP 专用于 Microsoft Entra ID 并且可枚举的,但不用于 RP 流量 发往 Microsoft Entra 的网络流量通过 1.1.1.1 传出。 RP 流量通过 x.x.x.x 传出 1.1.1.1 x.x.x.x 1.1.1.1 关键事件 默认访问令牌生存期 - 1 小时 不要将非专用或不可枚举的出口 IP (xxxx)添加到受信任命名位置条件访问规则中,这会削弱安全性
3. 出口 IP 对于 Microsoft Entra ID 和 RP 流量不是专用/共享的或者不可枚举 发往 Microsoft Entra 的网络流量通过 y.y.y.y 传出。RP 流量通过 x.x.x.x 传出 y.y.y.y x.x.x.x 不适用 - 未配置 IP 条件访问策略/受信任位置 关键事件 生存期较长 - 长达 28 小时 不要将非专用或不可枚举的出口 IP (x.x.x.x/y.y.y.y) 添加到受信任命名位置条件访问规则中,这会削弱安全性

连接到标识提供者和资源提供程序的客户端使用的网络和网络服务会持续演变以应对现代趋势。 这些变化可能会影响依赖于基础 IP 地址的条件访问和 CAE 配置。 在确定这些配置时,请考虑到将来的技术变化,以及计划中定义的地址列表的维护。

支持的位置策略

CAE 只能识别基于 IP 的命名位置。 CAE 无法了解其他位置条件,例如 MFA 信任的 IP 或基于国家/地区的位置。 如果用户来自 MFA 信任的 IP、受信任的位置(其中包含受 MFA 信任的 IP)或国家/地区位置,则在该用户移到其他位置之后,将不会强制执行 CAE。 在这种情况下,Microsoft Entra ID 会颁发有效期为 1 小时的访问令牌,而不执行即时 IP 强制检查。

重要

如果希望通过连续访问评估实时强制实施位置策略,请仅使用基于 IP 的条件访问位置条件,并配置可由标识提供者和资源提供程序查看的所有 IP 地址(包括 IPv4 和 IPv6)。 请勿使用国家/地区位置条件,也不要使用 Microsoft Entra 多重身份验证的服务设置页中提供的受信任的 IP 功能。

命名位置限制

当位置策略中指定的所有 IP 范围的总和超过 5,000 时,CAE 不会实时强制执行用户更改位置流。 在这种情况下,Microsoft Entra ID 会颁发一小时的 CAE 令牌。 CAE 会继续强制执行除了客户端位置更改事件之外的所有其他事件和策略。 进行此更改后,与传统的一小时令牌相比,仍可保持更强的安全状况,因为其他事件仍然以近实时的方式进行评估。

Office 和 Web 帐户管理器设置

Office 更新通道 DisableADALatopWAMOverride DisableAADWAM
半年企业频道 如果设置为 enabled 或 1,则不支持 CAE。 如果设置为 enabled 或 1,则不支持 CAE。
当前频道

每月企业频道
无论采用哪种设置,都支持 CAE 无论采用哪种设置,都支持 CAE

有关 Office 更新通道的说明,请参阅 Microsoft 365 应用的更新通道概述。 建议组织不要禁用 Web 帐户管理器 (WAM)。

Office 应用中的共同创作

当多个用户同时针对某个文档进行协作时,CAE 可能不会根据策略更改事件立即撤销用户对文档的访问权限。 在这种情况下,用户会在执行以下操作或经过以下时间后完全失去访问权限:

  • 关闭文档
  • 关闭 Office 应用
  • 设置条件访问 IP 策略 1 小时后

若要进一步缩短这一时间,SharePoint 管理员可以通过在 SharePoint Online 中配置网络位置策略,来减少存储在 SharePoint Online 和 OneDrive for Business 中的文档的共同创作会话的最大生存期。 更改此配置后,共同创作会话的最长生存期会缩短到 15 分钟,可以使用 SharePoint Online PowerShell 命令 Set-SPOTenant -IPAddressWACTokenLifetime 进一步调整此生存期。

在禁用用户后启用

如果在禁用用户权限后再将其启用,则需要经过一段延迟时间,才会在下游 Microsoft 服务中将帐户识别为已启用。

  • SharePoint Online 和 Teams 通常有 15 分钟的延迟。
  • Exchange Online 通常有 35-40 分钟的延迟。

推送通知

在发布推送通知之前不会评估 IP 地址策略。 存在这种情况的原因是,推送通知是出站的,并且没有要用于评估的关联 IP 地址。 如果用户选择了该推送通知(例如,在 Outlook 电子邮件中),则仍会强制实施 CAE IP 地址策略,然后才能显示电子邮件。 推送通知显示消息预览,后者不受 IP 地址策略保护。 所有其他 CAE 检查将在发送推送通知之前执行。 如果删除了用户或设备的访问权限,则强制实施将在记录的时间段内发生。

来宾用户

CAE 不支持来宾用户帐户。 CAE 吊销事件和基于 IP 的条件访问策略不会立即强制执行。

CAE 和登录频率

无论是否使用 CAE,登录频率都会得到遵循。

后续步骤