[玩转系统] 持续访问评估伴随位置策略执行

作者：精品下载站日期：2024-12-14 08:37:36 浏览：14 分类：玩电脑

持续访问评估伴随位置策略执行

技术在不断发展，网络攻击也在不断发展！网络犯罪分子总是在寻找破坏 Microsoft 365 安全和泄露数据的机会。为了防御此类安全威胁，制定强有力的安全实践至关重要，例如实施Continuous访问评估（CAE）。

为了让事情变得更好，引入了一项名为“通过持续访问评估执行位置策略”的新功能。

如果用户不在允许的位置范围内，此功能会立即阻止对资源的访问，从而增加额外的保护层。

让我们深入研究这个主题，探索如何在 CAE 中严格执行位置策略！

什么是 Microsoft Entra 中的持续访问评估？

连续访问评估 (CAE) 是一种以更灵敏、更即时的方式控制对某些资源或信息的访问的方法。 CAE 不会等待访问权限在设定时间后过期，而是持续监视重要事件和规则。如果发生任何关键事件或违反策略配置，则可以快速取消访问令牌，作为 Azure AD 条件访问中的令牌保护的行为。默认情况下，每个条件访问策略中都会启用 CAE。

Azure AD 中的持续访问评估有哪些新功能？

要在 Azure AD 中自定义连续访问评估，可以使用条件访问会话控制部分。早些时候，只有禁用连续访问评估的选项。现在，微软在 CAE 配置中添加了一项新功能，即“严格执行位置策略”选项。此功能目前处于预览阶段。

严格执行位置政策，持续评估接入

CAE 严格执行的位置策略拒绝基于 IP 命名位置的用户访问。这样，支持 CAE 的应用程序（例如 Exchange Online、SharePoint、Teams 和 Microsoft Graph）现在能够快速有效地撤销访问令牌，以响应应用程序检测到的任何网络更改。

配置严格执行位置策略

要在 CAE 中启用严格的位置实施，请按照下列步骤操作。

第 1 步：登录 Azure 门户并打开条件访问页面。
第 2 步：从 CA 策略模板创建一个策略模板，或在 Azure AD 中打开现有策略。
第 3 步：访问政策的“会话控制”部分。
第 4 步：在弹出页面上选择“自定义持续访问评估”选项。
第 5 步：启用“严格执行位置策略（预览）”选项，然后保存（确保选中支持的客户端和资源提供商列表）。
第 6 步：通过从策略的“条件”选项卡进行配置，根据位置控制用户访问（位置必须属于以下任一类别）。

根据 CA 策略中的位置控制用户访问

由于 CAE 仅支持基于 IP 的命名位置，因此按 IP 范围配置命名位置后，您可以使用它们通过 CAE 严格执行位置策略。

您可以选择这些位置类型之一，然后配置访问策略以允许或限制来自特定位置的访问。

任何位置：此选项包括所有位置，例如指定位置、受信任位置和任何未指定位置。选择“任何位置”允许您授予或阻止来自任何位置的用户访问权限。
所有受信任位置：此选项涵盖命名位置（标记为受信任位置的位置）和 MFA 受信任的 IP。它确保从所有受信任的位置进行访问。
选定位置：此选项仅显示管理员已配置的命名位置。这些命名位置可以通过国家范围、IP 范围和 MFA 信任的 IP 来确定。

重要提示：确保您已在基于 IP 的命名位置策略中包含用户可以访问资源的所有 IP 地址。为了确保这一点，您可以使用 CAE 工作簿或登录日志来确定 Azure AD 和资源看到的 IP 地址。

基于场景的位置策略执行解释

假设您的员工约翰通常在公司的办公室工作，该办公室位于批准的位置范围内。但有一天，约翰的访问令牌在他使用公共 Wi-Fi 网络时被网络攻击者窃取了！窃贼尝试使用窃取的令牌从未经授权的位置访问 Microsoft 365。

现在，通过 Azure AD 中严格的位置强制执行，Microsoft 365 应用程序（例如 Exchange Online、Teams 和 SharePoint Online）会不断检查与用户访问相关的条件的变化。当他们注意到网络更改事件（例如 John 尝试从意外位置访问 Microsoft 365）时，他们会立即向身份提供商（令牌颁发者）发出警报，表明出现问题。

然后，身份提供商与 Microsoft 365 应用程序进行通信，并告诉它们停止尊重 John 被盗的令牌，从而近乎实时地有效撤销他的访问权限。

因此，即使窃贼成功窃取了令牌并尝试使用它，他们也会立即被阻止，因为由于检测到未经授权的位置，令牌已失效。