We will enable continuous access evaluation (CAE) of tokens in the Microsoft 365 admin center in September 2024. This feature will proactively terminate active user or admin sessions, or require reauthentication, and enforce tenant policy changes in near real time instead of waiting for an access token to expire.

[When this will happen:]

General Availability (Worldwide): We will begin rolling out mid-September 2024 and expect to complete by late September 2024.

[How this will affect your organization:]

CAE is the feature that allows user or admin sessions to be revoked when certain critical events occur, or the location of the user or admin is not in the allowed IP address range. The access will be terminated almost instantly, instead of waiting for a token to expire.

OAuth 2.0 authentication (open authentication) traditionally relies on access token expiration to revoke a user’s access to modern cloud services. Users or admins whose access rights have been terminated still have access to resources until the access token expires. For the Microsoft 365 admin center, this access can be as long as an hour, by default. With continuous access evaluation, a user’s critical events and network location changes are continuously evaluated.

Enabling CAE offers several key benefits:

• Mitigate insider and data exfiltration threats: An employee can export a valid access token and replay it to gain access to admin center from outside of your organization. With continuous access evaluation, you can enforce IP location policies and monitor user-critical events in near real time to mitigate the risk of external access and exfiltration of data.
• Prevent unauthorized access: When a user account password is compromised, the Microsoft Entra administrator can reset it or disable the account in near real time to prevent unauthorized access to admin center.
• Remove user access in near real time: Organizations have an obligation to instantly remove an admin or user’s access because of security threats, termination of employment, policy violations, or legal requirements. With continuous access evaluation, the Microsoft Entra administrator can instantly disable admin or user accounts and revoke access to organization resources in near real time.

[What you need to do to prepare:]

This rollout will happen automatically by the specified date with no admin action required before the rollout. You may want to notify your admins about this change and update any relevant documentation.

Learn more: Continuous access evaluation in Microsoft Entra – Microsoft Entra ID | Microsoft Learn

CAE will be supported in Microsoft 365 admin center. To take advantage of CAE’s IP location conditional access (CA) policy enforcement, you should set up Continuous access evaluation strict location enforcement in Microsoft Entra ID – Microsoft Entra ID | Microsoft Learn

2024 年 9 月に Microsoft 365 管理センターでトークンの継続的アクセス評価 (CAE) を有効にします。この機能は、アクティブなユーザーまたは管理セッションを事前に終了するか、再認証を要求し、アクセス トークンの有効期限が切れるのを待つのではなく、ほぼリアルタイムでテナント ポリシーの変更を強制します。

[これがいつ起こるか:]

一般提供 (全世界): 2024 年 9 月中旬にロールアウトを開始し、2024 年 9 月下旬までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

CAEは、特定の重大なイベントが発生した場合、またはユーザーまたは管理者の場所が許可されているIPアドレス範囲にない場合に、ユーザーまたは管理者セッションを取り消すことができる機能です。アクセスは、トークンの有効期限が切れるのを待つのではなく、ほぼ瞬時に終了します。

OAuth 2.0 認証 (オープン認証) は、従来、アクセス トークンの有効期限に依存して、最新のクラウド サービスへのユーザーのアクセスを取り消します。アクセス権が終了したユーザーまたは管理者は、アクセス トークンの有効期限が切れるまで、引き続きリソースにアクセスできます。Microsoft 365 管理センターの場合、このアクセスは既定で 1 時間まで延長できます。継続的なアクセス評価では、ユーザーの重要なイベントとネットワークの場所の変更が継続的に評価されます。

CAEを有効にすると、いくつかの主要な利点があります。

• 内部関係者とデータ流出の脅威を軽減します。 従業員は、有効なアクセス トークンをエクスポートして再生し、組織の外部から管理センターにアクセスできます。継続的なアクセス評価により、IPロケーションポリシーを適用し、ユーザークリティカルなイベントをほぼリアルタイムで監視して、外部アクセスやデータ流出のリスクを軽減できます。
• 不正アクセスの防止: ユーザー アカウントのパスワードが侵害された場合、Microsoft Entra 管理者は、管理センターへの不正アクセスを防ぐために、ほぼリアルタイムでパスワードをリセットまたはアカウントを無効にできます。
• ユーザーアクセスをほぼリアルタイムで削除します。 組織には、セキュリティ上の脅威、雇用の終了、ポリシー違反、または法的要件のために、管理者またはユーザーのアクセス権を即座に削除する義務があります。継続的なアクセス評価により、Microsoft Entra 管理者は、管理者アカウントまたはユーザー アカウントを即座に無効にし、ほぼリアルタイムで組織のリソースへのアクセスを取り消すことができます。

【準備に必要なこと】

このロールアウトは、ロールアウト前に管理者の操作を必要とせずに、指定された日付までに自動的に行われます。この変更について管理者に通知し、関連するドキュメントを更新することをお勧めします。

詳細情報: Microsoft Entra での継続的なアクセス評価 – Microsoft Entra ID |マイクロソフト ラーン

CAE は Microsoft 365 管理センターでサポートされます。CAE の IP ロケーション条件付きアクセス (CA) ポリシーの適用を利用するには、 Microsoft Entra ID で継続的なアクセス評価の厳密なロケーションの適用を設定する必要があります – Microsoft Entra ID |マイクロソフト ラーン