Microsoft 365

Continuous Access Evaluation wird in Azure AD aktiviert

22. Mai 2021

Microsoft informiert über die Aktivierung von Continuous Access Evaluation (CAE) im Zeitraum zwischen 15. Juni und Ende September. Es betrifft alle Tenants die Azure AD Premium einsetzen, ausser ein Administrator deaktiviert CAE vorab.

Mit Continuous Access Evaluation will Microsoft den Gültigkeitszeitraum von widerrufenen Zugriffstoken reduzieren. Wird heute ein Zugriffstoken ausgestellt ist dieser oft solange gültig bis sein Gültigkeitszeitraum abläuft. Erst dann fordert ein Dienst oder Applikation einen neuen Zugriffstoken an. Je nach Konfiguration und Dienst/Applikation/Client können es zwischen einer und mehrerer Stunden sein in denen ein Token für den Einsatz noch gültig ist, obwohl Azure AD einen neuen Antrag nicht mehr ausstellen würde. Über CAE teilt Azure AD dem Dienst/Applikation/Client proaktiv mit der Token wurde widerrufen und es muss einen neuen Token beziehen. Ein alter Zeitraum oder Cache verfällt mit der Methode und der noch bestehende, alte Gültigkeitszeitraum reduziert sich mit CAE auf 0 bis 15 Minuten. Ein Dienst/Applikation/Client würde in dem Fall eine Anfrage für einen neuen Zugriffstoken stellen. Ist der Antragssteller nicht mehr berechtigt wird kein neuer Token ausgestellt.

Unterstützte Microsoft 365 Dienste und Aktivitäten

Im Moment unterstützt Continuous Access Evaluation die Dienste Exchange, Teams und SharePoint Online. Bei den Diensten sind aktuell folgende Arten von Anpassungen mit CAE inkludiert:

  • User Account is deleted or disabled
  • Password for a user is changed or reset
  • Multi-factor authentication is enabled for the user
  • Administrator explicitly revokes all refresh tokens for a user
  • High user risk detected by Azure AD Identity Protection (Exchange Online only)

Weiters ist CAE für Exchange und SharePoint in Conditional Access Policies inkludiert. Je nach Applikation, Betriebssystem und Client ist die Unterstützung unterschiedlich. Die Tabelle über unterstützte Antragssteller sollte beachtet werden.

Neue Gültigkeit für Zugriffstoken 

Zugriffstoken für Dienste die CAE unterstützen sind nach der Anpassung pro Session global 28 Stunden gültig. Hat ein Administrator benutzerdefinierte Zeiträume definiert ignoriert es das System für CAE unterstützte Dienste.
Zugriffstoken für Dienste oder Applikationen die CAE nicht unterstützen sind eine Stunde gültig, oder je nach Konfiguration benutzerdefinierte Zeiträume.

Ab wann ist mein Tenant betroffen?

Für Tenants mit Azure AD Premium im Zeitraum zwischen 15. Juni und Ende September 2021. Im M365 Message Center solltest du nach der Nachricht MC255540 “Continuous access evaluation on by default” suchen.

Wie könnte ich es vorab deaktivieren?

In Azure AD unter Security > Continuous access evaluation steht die Option zur Verfügung es ein- oder auszuschalten. Im Moment ist hier noch eine Preview vermerkt.

Hier sollte der Hinweis beachtet werden wie eine Deaktivierung möglich ist.

To disable continuous access evaluation please select Enable preview then Disable preview and select Save.

Wo finde ich weitere Informationen?

Beachte für eine vollständige Zusammenfassung die Dokumentation.

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert