條件式存取原則停用持續性存取評估

當使用者透過 Microsoft Entra ID 驗證應用程式或 API 時，他們會收到設有到期時間的存取權杖。然而，當此權杖到期時，使用者就必須再次聯絡 Entra ID 以獲得新的權杖。Entra ID 也只有在這時才有機會拒絕更新並中斷存取權。拒絕原因可能是使用者的安全性態勢變更 (例如切換至未授權的網路或危險 IP 位址、偵測到高風險活動等) 或其狀態發生變更 (例如帳戶遭到停用)。問題在於這些幾乎需要及時反應的關鍵事件，必須等到重新整理後才能觸發存取權杖無效化。

為了解決此問題，Microsoft 建置了持續性存取評估 (CAE) 安全功能來填補此缺陷。

CAE 根據預設為已啟用狀態，但可以透過條件式存取原則將其停用。Tenable 認為停用此安全功能會造成風險，因此會將任何停用 CAE 的條件式存取原則列入偵測結果並標記為問題。

Tenable 和 Microsoft 皆沒有文件記錄任何停用 CAE 的合理原因。因此，務必調查停用 CAE 的條件式存取原則是有意為之，還是為了解決其他問題時無意間造成此結果。

如果確有必要，Tenable 建議使用條件式存取原則的「指派」區段來縮小其範圍。在此過程中，需要將出現問題的特定使用者或群組納入或排除，而不是將該原則套用至「所有使用者」。

否則，Tenable 建議停用或刪除條件式存取原則，尤其是在沒有任何人會受到影響的情況下。

名稱: 條件式存取原則停用持續性存取評估

代碼名稱: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure