[本文是预发行文档,可能会有所更改。]
OAuth 2.0 身份验证传统上依赖访问令牌过期来撤销用户对现代云服务的访问。 访问权限被终止的用户仍然有权访问资源,直到访问令牌到期—对于 Power Platform,默认只要一小时。 但是,通过连续访问评估,Power Platform 服务(如 Dataverse)会持续评估用户的关键事件和网络位置变化。 它们会主动终止活动用户会话,或要求重新进行身份验证,并近乎实时地强制执行租户策略更改,而不是等待访问令牌过期。
注释
推出状态:部署始于 2026 年 1 月,分阶段推出。 随着方案在受支持的客户端、网络拓扑和条件访问配置之间进行验证,可用性在后续阶段扩展。 无需更多步骤即可启用此功能;此功能将在推出到达您的组织时自动激活。
主要优势
将连续访问评估集成到您的 Power Platform 解决方案将提供几个重要益处。
缓解内部和数据外泄威胁:员工可以导出有效的访问令牌并重播它,来获取从组织外部访问云服务的权限。 通过连续访问评估,您可以强制执行 IP 位置策略,并近乎实时地监视用户关键事件,以缓解外部访问和数据外泄的风险。
使 Power Platform 服务的复原能力更强:通过连续访问评估,客户端可以获得长期令牌。 更少的令牌刷新可以改进服务的整体复原能力。
防止未经授权访问 Power Platform 服务:用户帐户密码遭到入侵时,Microsoft Entra管理员可以近乎实时地重置帐户或禁用该帐户,以防止未经授权的访问 Power Platform 服务。
近乎实时地删除用户访问权限:由于安全威胁、终止雇佣关系、违反政策或法律要求,组织有义务立即删除用户的访问权限。 通过持续访问评估,Microsoft Entra管理员可以立即禁用用户帐户,并近乎实时地撤销对组织资源的访问权限。
Limitations
对于 Power Platform,仅 Dataverse 支持连续访问评估。 Microsoft 正在努力增加对其他 Power Platform 服务和客户的支持。
支持的事件
连续访问评估支持两种类型的事件:
用户关键事件是与用户访问云资源相关的事件:
- 用户帐户被禁用或删除。
- 密码被更改或重置。
- 用户会话被撤销。
- 允许用户进行多重身份验证。
当用户根据管理员定义的策略失去对资源的访问权限时(如当用户不再从允许的 IP 位置连接时),会进行条件访问策略评估。
支持的 Power Platform 客户端
支持持续访问评估的 Power Platform 客户端支持声明挑战。 当 Dataverse 等启用了持续访问评估的服务拒绝缓存的用户令牌时,声明挑战会将用户的会话重定向到 Microsoft Entra ID 进行重新身份验证。 Dynamics 365 Sales、Customer Service、Field Service、Marketing、Project Service Automation 以及 Power Apps 均支持持续访问评估声明。 Power Apps画布应用不支持嵌入式体验中的连续访问评估。
对于不支持连续访问评估的客户端,访问令牌生命周期与配置的相同或设置为默认值。
若要在 Power Platform Dataverse 环境中允许持续访问评估,请联系 Microsoft 联系人或 Microsoft Support。