Microsoft Entra ID の CAE の仕組みを深堀したい
skmkzykMicrosoft Entra ID 側でアカウントが無効化されるとほぼ直ちに SPO とかにアクセスできなくなる感じ
skmkzykMicrosoft の SSE を介すことでそれをすべての SaaS アプリケーションに展開していくイメージ
skmkzykグローバル セキュア アクセスは、次のイベントに対して Entra ID から準リアルタイムでシグナルを受信できます。
- ユーザーアカウントが削除または無効化された
- ユーザーのパスワードが変更またはリセットされた
- ユーザーに対して多要素認証が有効化された
- 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
- 高いユーザー リスクが Microsoft Entra ID 保護によって検出された
skmkzyk関連するのはたぶんこの辺
skmkzykZenn だとこれが詳しい
skmkzykxms_cc についてはここら辺に書いてあるっぽい
skmkzykMicrosoft Entra ID と SharePoint Online における継続的アクセス評価(CAE)の実装とメッセージの安全性
Microsoft Entra ID(旧Azure AD)と SharePoint Online は、最新のセキュリティ技術である継続的アクセス評価(CAE)を活用し、リアルタイムなセキュリティイベントの反映とアクセス制御の強化を実現しています。
OpenID CAEP 仕様とメッセージのフォーマット
CAE の仕組みでは、OpenID の Continuous Access Evaluation Profile(CAEP)仕様に沿ったメッセージフォーマットが採用される可能性が高いです。この仕様では、セッションの無効化、トークンクレームや認証情報の変更など、セキュリティ上の重要なイベントを標準化されたスキーマで定義しています。Microsoft Entra ID と SharePoint Online 間でやり取りされるメッセージも、このような標準仕様をベースにしていると考えられますが、実際の実装では Microsoft 独自の拡張が施されている場合もあります。
メッセージのセキュリティと可視性
これらのメッセージは、TLS などの暗号化通信を用いた安全なチャネルを通じて交換されるため、外部の第三者が内容を閲覧することはできません。つまり、ユーザーや管理者が安心して利用できる内部連携が実現されているということです。
Universal CAE のアプローチ
さらに、Microsoft では Universal CAE のコンセプトを採用し、Secure Service Edge に CAE の subscriber を実装することで、従来各リソースプロバイダーが個別に実装していたアクセス評価を中央集約的に管理しています。これにより、Entra ID からの CAE イベントを一元的に受信・評価し、統一されたセキュリティポリシーの下で即時のアクセス制御が可能となります。
このように、Microsoft Entra ID と SharePoint Online は、OpenID CAEP 仕様に基づくメッセージ形式と暗号化通信により、安全かつ効率的な継続的アクセス評価を実現しています。Universal CAE による中央集約的な管理アプローチも、企業のセキュリティ向上に大きく貢献していると言えるでしょう。