条件访问策略禁用连续访问评估

当用户通过 Microsoft Entra ID 对应用程序或 API 进行身份验证时，他们会收到具有设定过期时间的访问令牌。然而，当此令牌过期时，用户必须再次联系 Entra ID 以刷新令牌。只有在这种情况下，Entra ID 才能拒绝令牌更新并切断访问。此拒绝可能是由于用户的安全态势更改（例如，切换到未经授权的网络或危险的 IP 地址、检测到高风险活动等）或用户状态更改（例如禁用帐户）所致。问题是，尽管需要近乎实时的响应，但这些关键事件不会立即导致访问令牌失效，而是要等到令牌刷新时才触发失效。

为解决此问题，Microsoft 实施了持续访问评估 (CAE) 安全功能，以弥补这一差距。

CAE 默认启用，但条件访问策略可以将其禁用。Tenable 认为禁用此安全功能存在风险，因此会将任何禁用 CAE 的条件访问策略标记为发现结果”。

Tenable 和 Microsoft 没有记录禁用 CAE 的任何有效原因。因此，必须调查禁用 CAE 的条件访问策略是故意为之，还是在尝试解决其他问题时无意造成的。

如果确属必要，Tenable 建议使用条件访问策略的“分配”部分来缩小其范围。这涉及到仅包含或排除特定的问题用户或组，而不是将策略应用于“所有用户”。

否则，Tenable 建议禁用或删除条件访问策略，尤其是在该策略未应用于任何人的情况下。

名称: 条件访问策略禁用连续访问评估

代码名称: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure