継続的アクセス評価(CAE)について
CAEの概要については、以下のページで説明しています。
本記事では、CAEについて深堀して説明します。
2つの評価(CAE)
重要なイベントのCAE
こちらは条件付きアクセスポリシーの設定(有無含めて)は関係なく、Entra IDユーザに対して行われる評価です。以下のイベントが発生した場合に、CAEがサポートされているシナリオ(クライアントアプリおよびリソースプロバイダ)において、アクセスのブロックまたは再認証が発生します。
- ユーザーアカウントが削除または無効化された
- ユーザーのパスワードが変更またはリセットされた
- ユーザーに多要素認証が有効化された
- 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
- 高いユーザー リスクが Microsoft Entra ID 保護によって検出された
条件付きアクセスポリシーのCAE
「クライアントアプリ」→「リソースプロバイダ」へのアクセスが、条件付きアクセスポリシーの内容と合致しているか常にチェックしてくれる機能です。
しかし、チェックしてくれる条件付きアクセスポリシーの設定項目は、「「場所 (ネットワークの変化)」のみとなります。
~~~~~ 抜粋 ~~~~~
条件付きアクセス ポリシーの評価
Exchange Online、SharePoint Online、Teams、MS Graph は、重要な条件付きアクセス ポリシーを、サービス自体内で評価するために同期できます。
このプロセスにより、ネットワークの場所が変更された場合はただちに、Microsoft 365 クライアント アプリまたは SharePoint Online からファイル、Email、予定表、タスクにアクセスできなくなるというシナリオが有効になります。
– 条件付きアクセス ポリシーの評価
<https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/concept-continuous-access-evaluation#conditional-access-policy-evaluation>
~~~~~~~~~~~~~~
たとえば、「デバイスが準拠しているとしてマーク済みである」という条件付きアクセスポリシーの設定があり、準拠しているデバイスのみリソースプロバイダへのアクセスを許可させるようなケースで使われます。この「デバイスが準拠しているとしてマーク済みである」という設定は、CAEの評価対象外となります。そのため、一度「デバイスが準拠しているとしてマーク済みである」で認証が完了したら、「デバイスが準拠していない状態に遷移」したとしても、CAE評価対象外であるため、アクセスはブロックされず、引き続きリソースプロバイダへアクセスできてしまう状態となります(リソースプロバイダは、クライアントアプリからのアクセスが、条件付きアクセスポリシーと合致しているかを判断できる状態である必要がありますが、この「デバイスが準拠しているとしてマーク済みである」かどうかは、リソースプロバイダ単独では判別することはできず、Intune等とのサービス間連携が必要になるため、実現のハードルが高いのだと思います。その点、「場所(アクセス元IP」については、リソースプロバイダでも判別できるので、その値がを使って、条件付きアクセスポリシーに違反していないかチェックできるのだと思います)
条件付きアクセスポリシーのCAEがサポートされているクラウドアプリとリソースプロバイダ
基本的には、MS公式ページのこちらを確認いただくのが確実ですが、わかりにくいところがあるので補足します。
表の見方
①がリソースプロバイダです。具体的なデータの置き場をイメージしてください。
②がクライアントアプリです。①にアクセスするためのアプリのことであり、Webアプリ、デスクトップアプリ、スマホアプリがあります。
クライアントアプリが、Outlook系のパターン
Outlook系アプリ → SPO にアクセスするケースって、どんなケース?と思われるかと思います。
いくつかシナリオがありますが、代表的な例としては以下のようなシナリオがあります。
- ユーザがOutlookで受け取った添付ファイルを「このコンピュータに保存」ではなく、SPOのライブラリに保存するシナリオ
- SPOに保存されているファイルをOutlookのメールに添付するシナリオ(以下図)
クライアントアプリが、Office系のパターン
ここでは、Officeは、Word、Excel、PowerPoint を意味しています。以下の通り、ドキュメントにも明記されています。
Office系アプリ → SPOについてですが、Officeで作成したファイルをSPOに保存するときのアクセスとなります。
Office系アプリ → Exchange Online は以下のようなシナリオがあります。
- Word から Copilot を使用して ExO に保存されたデータを参照するケース
- PowerPoint の [最近使ったアイテム] や [自分と共有] からメールに添付されたドキュメントを直接参照するようなケース(以下)
クライアントアプリが、One Drive 系のパターン
OneDrive系のクライアントアプリからの接続先として、OneDrive for Businessがないことに違和感を持たれる方もいるかもしれませんが、SharePoint Onlineに、OneDrive for Businessが包含されていると理解ください。OneDrive for Businessは裏側でSPOが利用されています(OneDrive for Businessは、内部的にはSPOのサイトコレクション(ユーザ専用の個人サイト)として提供されています)
クライアントアプリが、Teams 系のパターン
Teams系アプリ → Exchange Onlineですが、Teams系アプリが、Exchange Onlineの予定表へアクセスするようなケースやTeams会議を開催する際のメール送信するケースとなります。
条件付きアクセスポリシー設定における「場所ポリシーを厳密に適用する (プレビュー) 」について
条件付きアクセスポリシーの設定において、「特定のIPアドレスからのアクセス以外はブロック」という設定があるとします。
その場合、CAEがサポートされているシナリオであれば、「許可されているIPアドレスで認証クリア」後に、「許可されていないIPアドレスへ移動しリソースへアクセス」した場合、ブロックされるはずです。
しかしながら、これがブロックされないシナリオが存在します。
たとえば、Entra IDへのアクセスは、許可されているIPアドレスを利用し、リソースへのアクセスは許可されていないIPアドレスを利用するようなケースです(セキュリティ的な理由により、Entra IDへのアクセスだけはクラウドプロキシ経由にするようなケースです)
このシナリオにおいて、Entra IDからトークンを受領し、そのトークンを利用し、リソースへアクセスする際、CAEは同一の場所からのアクセスだと判断し、リソースへのアクセスをブロックしません(CAEの理屈からすれば、ブロックされるはずだが、例外的にブロックされないシナリオがあるということです)。
この通信を、ブロックさせたい場合に、条件付きアクセスポリシーにおいて「場所ポリシーを厳密に適用する (プレビュー) 」を有効にします(例外を作らず、許可されていないIPアドレスからのリソースへのアクセスを確実にブロックしたい場合に、この機能を使います)
(公開情報)
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
上記の手順 8 で、Microsoft Entra が条件を再評価すると、Microsoft Entra によって検出された新しい場所が許可される IP 範囲外であるため、アクセスは拒否されます。 これが常に当てはまるわけではありません。 一部の 複雑なネットワーク トポロジが原因で、リソース プロバイダーが受信したアクセス要求が許可されていない IP アドレスから到着した後であっても、認証要求は許可されたエグレス IP アドレスから到着する可能性があります。 これらの条件下で、Microsoft Entra は、クライアントが引き続き許可される場所に存在し、アクセスを許可される必要があると解釈します。 そのため、Microsoft Entra は 1 時間のトークンを発行し、トークンの有効期限が切れるまでリソースでの IP アドレス チェックが中断されます。 Microsoft Entra は引き続き IP アドレス チェックを適用します。
条件付きアクセスポリシーを変更してから、CAEに反映されるまでのタイムラグについて
CAEに対応しているリソースプロバイダは、ユーザからアクセスがあるたびに、条件付きアクセスポリシーの情報を参照するためにEntra IDへアクセスしている訳ではありません。Entra IDの条件付きアクセスポリシーが、定期的にリソースプロバイダに同期され、リソースプロバイダはその情報を参照しています。
参考 : ユーザー状態変更のフロー
/////一部抜粋/////
6.リソース プロバイダーは、トークンの有効性を評価し、Microsoft Entra から同期された場所のポリシーを確認します。
/////一部抜粋/////
では、Entra ID側で条件付きアクセスポリシーが変更された場合、CAEに対応しているリソースプロバイダ側に変更情報が同期されるまで、どの程度タイムラグがあるのでしょうか。
結論として、ポリシーの変更が反映されるまでには最大 1 日を要する可能性があります。。
なお、一部シナリオにおいては、遅延が 2 時間に短縮される可能性もありますが、基本的には変更の反映までに最大 1 日を要する可能性があると認識しておくのがよいと思います。
参考 : グループ メンバーシップとポリシー更新が有効になる時間
/////一部抜粋/////
管条件付きアクセスポリシーとグループ メンバーシップに管理者が加えた変更内容は、有効になるまでに最大 1 日かかることがあります。 この遅延は、Microsoft Entra とリソース プロバイダー (Exchange Online や SharePoint Online など) との間のレプリケーションによるものです。 ポリシーの更新に対して一部の最適化が行われ、遅延が 2 時間に短縮されます。 ただし、まだすべてのシナリオに対応しているわけではありません。
条件付きアクセス ポリシーまたはグループ メンバーシップの変更内容をすぐに特定のユーザーに適用する必要がある場合は、2 つのオプションがあります。
• revoke-mgusersign PowerShell コマンドを実行して、指定したユーザーのすべての更新トークンを取り消します。
• ユーザー プロファイル ページで “セッションの取り消し" を選択してユーザーのセッションを取り消し、更新したポリシーが直ちに適用されるようにします。
/////一部抜粋/////
アクセストークンの有効期限について
「CAE セッションでは、トークンの有効期間は最大 28 時間まで延長されます」と以下の記事に記載されています。 詳細について追加で確認をしてみました。
継続的アクセス評価 (CAE) に対応しているリソース (SharePoint Online、Exchange Online、Teams サービス、Microsoft Graph) に対してアクセス トークンを要求している状況であり、かつ、クライアント アプリが CAE に対応している場合のみ、アクセス トークンの有効期限が最大で 28 時間になります。
注意点
条件付きアクセスの「許可」設定で「デバイスは準拠しているとしてマーク済みである必要があります」など、CAE では検知できない制御を構成している場合などは例外となります。
このような制御が含まれる場合、CAE により「場所」などの変化は検知可能であっても、アクセス トークンは通常の有効期限(60 分 – 90 分)で発行される動作となります。
具体例を挙げて説明します。
たとえば、ユーザAとユーザBがいて、
ユーザAを対象とする条件付きアクセスは、場所のみを設定している。
ユーザBを対象とする条件付きアクセスは、場所と「デバイスは準拠しているとしてマーク済みである必要があります」の設定をしている。
この場合、ユーザー B は通常の有効期限 (60 分 – 90 分) のアクセス トークンが発行されます。一方で、ユーザー A のアクセス トークンは最大 28 時間まで延長されます。
サードパーティのクライアントアプリでもCAEは成立するのか
ここでいう「クライアントアプリ」については、Outlook等のMS製品に限らず、サードパーティのクライアントアプリも含まれます。
ただし、サードパーティのクライアントアプリで CAE へ対応するには、実装が追加で必要であり、MSサポート曰く、ほとんど存在しないとのことでした。
ちなみに、サードパーティのクライアントアプリでCAEに対応させる方法は以下の記事が参考になります。
(公開情報)継続的アクセス評価が有効になった API をアプリケーションで使用する方法
少しまとめとなりますが、サードパーティのクライアントアプリ利用時にCAE が成立する前提としては、サードパーティのクライアントアプリが自体がCAE に対応しており、かつそのサードパーティのクライアントアプリが CAE に対応するリソース (SharePoint Online、Exchange Online、Teams サービス、Microsoft Graph) に対するアクセス トークンを要求する場合のみ、ということになります。
CAEが成立しないシナリオにおけるアクセストークンの有効時間
60 分から 90 分 (平均 75 分) の範囲のランダムな値が割り当てられます(MSサポート情報)