SharePoint

Continuous Access Evaluation für SharePoint und OneDrive

15. November 2021

Mit Continuous Access Evaluation kann Azure AD fast in Echtzeit Zugriffstoken zurückziehen und die unterstützen Dienste proaktiv über den Widerruf informieren. SharePoint und OneDrive zählen ab sofort zu den unterstützen Diensten.

Mit Continuous Access Evaluation (CAE) will Microsoft den Gültigkeitszeitraum von widerrufenen Zugriffstoken reduzieren. Wird ein Zugriffstoken ausgestellt ist dieser oft solange gültig bis sein Gültigkeitszeitraum abläuft. Erst dann fordert ein Dienst oder Applikation einen neuen Zugriffstoken an. Je nach Konfiguration und Dienst/Applikation/Client können es zwischen einer und mehrerer Stunden sein in denen ein Token für den Einsatz noch gültig ist, obwohl Azure AD einen neuen Antrag nicht mehr ausstellen würde. Über CAE signalisiert Azure AD dem Dienst/Applikation/Client aktiv der Token wurde widerrufen und der Absender muss einen neuen Token beziehen. Ein alter Zeitraum oder Cache verfällt mit der Methode und der noch bestehende, alte Gültigkeitszeitraum reduziert sich mit CAE auf 0 bis 15 Minuten.

Im Mai wurde für Continuous Access Evaluation in Azure AD eine Preview gestartet und Administratoren, die nicht teilnehmen wollten, konnten es deaktivieren. Mittlerweile ist CAE in allen Tenants standardmässig aktiv. War es im Mai noch eine eigene Einstellung in Azure AD ist CAE jetzt Bestandteil von Conditional Access Policies. Da CAE standardmässig aktiv ist könnte es über eine Conditional Access Policy für gewünschte Fälle deaktiviert werden.

Conditional Access Policy

Wie Microsoft informiert unterstützen SharePoint und OneDrive nun ebenfalls CAE. Für CAE wird unterschieden welche Plattform es betrifft. In einer Tabelle sind die Unterstützungen pro Dienst und Plattform zusammengefasst. Für SharePoint Online ist fast in allen Angaben ein Supported vermerkt, ausser beim OneDrive Sync Client für Windows und Mac.

Alle Events für Continuous Access Evaluation protokolliert Azure AD in den Sign-in Logs. Das System protokolliert für CAE Events ein Ja / Nein im Filter “Is CAE Token”.

Für meine Kollegin simulierte ich ein CAE Event indem ich das Konto deaktivierte. Das Konto war angemeldet und konnte an einem Dokument arbeiten. Wenige Sekunden später hat das System ihr Konto abgemeldet und in den Sign-in Logs ein CAE Event erstellt.

Update vom 11. Januar 2022:
Am 10. Januar hat Continuous Access Evaluation die Preview verlassen und ist ab sofort global verfügbar.

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert