Microsoft 365 管理センターのメッセージセンターに掲載のあった情報のため、既にご存じの方もいらっしゃるかもしれませんが、2021年の11月~12月にかけてCAE(継続的アクセス評価)機能が実装されました。
CAEはID保護の観点でセキュリティを向上させてくれますが、新しい機能のため詳細について把握されていない方も多いと思います。
そこで今回は、CAEとはどんな機能なのかについてご案内します。
CAE (Continuous Access Evaluation: 継続的アクセス評価)とは
CAEとは、利用しているクライアントの状態が変化した時、アクセストークン(※)を破棄することで、リアルタイムで変化を検知し条件付きアクセス制御をおこなう機能です。
今まではリアルタイムで制御できていなかったのかと疑問を持たれるかもしれません。実は条件付きアクセスの制御はアクセストークンの新規取得/更新をおこなうタイミングにて行われるため、厳密にはリアルタイムで制御できていませんでした。(トークンの有効期限内であれば条件付きアクセスの制御は行われていませんでした。)
CAEの有効化により、期限内であってもクライアントの状態変化に応じてアクセストークンを破棄し、条件付きアクセスの制御をしてくれる機能になります。弱点が克服され、有効期限を悪用した不正アクセスを防ぐことが可能になりました。
条件付きアクセスで多要素認証の要求をしている場合のイメージ(リスク発生)
※アクセストークンとは
Microsoft 365サービスの認証がされると発行される、セッションを維持するためのものです。最初の認証時に発行されるのがアクセストークンとなり、以降は更新トークンでセッションの維持を延長します。
CAEの動作条件となるクライアントの状態変化とは以下のようなイベントが該当します。
- ユーザーアカウントが削除または無効化された
- ユーザーのパスワードが変更またはリセットされた
- ユーザーに対して多要素認証が有効化された
- 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
- Azure AD Identity Protection によって高いユーザー リスクが検出された
CAEを有効化/有効化状態を確認する方法
マイクロソフトによるとCAEは既定で有効になっているとの事です。しかし有効化を管理画面やPowerShellの操作で確認することはできません。
念のため有効化の状態を確認したいという場合は、CAEが動作する状況を再現し、Azure ADのサインインログで確認するという方法があります。
以下に動作の一例をご紹介します。
- テナント内のユーザーでCAEに対応しているサービス(SharePoint Onlineなど)を利用中、グローバル管理者にて該当ユーザーのパスワードをリセットします。
- 5分~10分ほど経った後、Azure ADのサインインログで該当ユーザーのログを確認し、[継続的アクセス評価]の項目が“はい”となっていればCAEが動作=有効になっていることを確認できます。
