トークンの有効期限と更新は、業界の標準メカニズムです。 Outlook などのクライアント アプリケーションが Exchange Online などのサービスに接続する場合、API 要求は OAuth 2.0 アクセス トークンを使用して承認されます。 既定では、アクセス トークンは 1 時間有効です。有効期限が切れると、クライアントは Microsoft Entra にリダイレクトされて、トークンは更新されます。 この更新期間によって、ユーザー アクセスのポリシーを再評価する機会を得られます。 たとえば、条件付きアクセス ポリシーのため、またはユーザーがディレクトリで無効であるため、トークンを更新しないことを選択する場合があります。
ユーザーの状態が変化したタイミングと、ポリシーの変更を適用できるタイミングの間のラグについて、お客様から懸念が生じました。 Microsoft では、トークンの有効期間を短縮した "ブラント オブジェクト" アプローチを用いて実験を行いましたが、この場合、リスクが排除されないままユーザー エクスペリエンスと信頼性が低下する可能性があることが判明しました。
ポリシー違反やセキュリティの問題にタイムリーに対応するには、トークン発行元 (Microsoft Entra) と証明書利用者 (対応のアプリ) の間で "対話" を行う必要があります。 この双方向の対話では、2 つの重要な機能が提供されます。 証明書利用者は、ネットワークの場所などのプロパティが変更されたことを認識し、トークンの発行者に通知できます。 また、アカウントの侵害、無効化、またはその他の懸念事項により、特定のユーザーのトークンへの信用を停止するよう証明書利用者に指示する方法が、トークン発行者に提供されます。 この対話のメカニズムは、Open ID Continuous Access Evaluation Profile (CAEP) に基づく業界標準である、継続的アクセス評価 (CAE) です。 重大なイベント評価の目標は、ほぼリアルタイムに応答することですが、イベントの伝搬時間のために最大 15 分の遅延が発生する可能性があります。ただし、IP の場所のポリシーは即時に適用されます。
継続的アクセス評価の初期実装では、Exchange、Teams、SharePoint Online に重点を置いています。
CAE を使用するようにアプリケーションを準備する方法については、「継続的アクセス評価が有効になった API をアプリケーションで使用する方法」を参照してください。
主なベネフィット
- ユーザーの終了またはパスワードの変更/リセット: ユーザー セッションの失効がほぼリアルタイムで適用されます。
- ネットワークの場所の変更: 条件付きアクセスの場所のポリシーがほぼリアルタイムで適用されます。
- 条件付きアクセスの場所のポリシーにより、信頼されたネットワークの外部にあるコンピュータへのトークンのエクスポートを防止できます。
シナリオ
継続的アクセス評価のシナリオには、重大なイベントの評価、条件付きアクセス ポリシーの評価の 2 つがあります。
重大なイベントの評価
継続的アクセス評価は、サービス (Exchange Online、SharePoint Online、Teams など) が Microsoft Entra の重大なイベントを受け取ることができるようにすることで実装されます。 その後、これらのイベントは、ほぼリアルタイムで評価および適用できます。 重大なイベントの評価は、条件付きアクセス ポリシーに依存しないため、任意のテナントで使用できます。 現在、次のイベントが評価されます。
- ユーザーアカウントが削除または無効化された
- ユーザーのパスワードが変更またはリセットされた
- ユーザーに多要素認証が有効化された
- 管理者が、ユーザーのすべての更新トークンを明示的に取り消した
- 高いユーザー リスクが Microsoft Entra ID 保護によって検出された
このプロセスにより、重大なイベントが発生してから数分以内に、Microsoft 365 クライアント アプリから組織の SharePoint Online ファイル、電子メール、予定表、タスク、および Teams にアクセスできなくなるというシナリオが可能になります。
注
SharePoint Online では、ユーザー リスク イベントはサポートされていません。
条件付きアクセス ポリシーの評価
Exchange Online、SharePoint Online、Teams、MS Graph は、重要な条件付きアクセス ポリシーを、サービス自体内で評価するために同期できます。
このプロセスにより、ネットワークの場所が変更された場合はただちに、Microsoft 365 クライアント アプリまたは SharePoint Online からファイル、Email、予定表、タスクにアクセスできなくなるというシナリオが有効になります。
注
クライアント アプリとリソース プロバイダーのすべての組み合わせがサポートされているわけではありません。 後述の表を参照してください。 このテーブルの最初の列は、Web ブラウザーを介して起動された Web アプリケーション (つまり、Web ブラウザーで起動された PowerPoint) を指し、残りの 4 つの列は、説明されている各プラットフォームで実行されているネイティブ アプリケーションを指します。 さらに、"Office" への参照には、Word、Excel、PowerPoint が含まれます。
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | サポート | サポート | サポート | サポート | サポート |
| Exchange Online | サポート | サポート | サポート | サポート | サポート |
| Office Web アプリ | Office Win32 アプリ | Office for iOS | Office for Android | Office for Mac | |
|---|---|---|---|---|---|
| SharePoint Online | サポートされていません * | サポート | サポート | サポート | サポート |
| Exchange Online | サポート対象外 | サポート | サポート | サポート | サポート |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | サポート | サポート対象外 | サポート | サポート | サポート対象外 |
| Teams Web | Teams Win32(チームズ Win32) | Teams iOS | Teams Android | チームズ マック | |
|---|---|---|---|---|---|
| Teams サービス | 一部サポートされています | 一部サポートされています | 一部サポートされています | 一部サポートされています | 一部サポートされています |
| SharePoint Online | 一部サポートされています | 一部サポートされています | 一部サポートされています | 一部サポートされています | 一部サポートされています |
| Exchange Online | 一部サポートされています | 一部サポートされています | 一部サポートされています | 一部サポートされています | 一部サポートされています |
* 条件付きアクセス ポリシーが設定されている場合、Office Web アプリのトークン有効期間は 1 時間に短縮されます。
注
Teams は複数のサービスで構成されていますが、これらのうち、通話とチャット サービスは、IP ベースの条件付きアクセス ポリシーに準拠していません。
継続的アクセス評価は、Exchange Online の Azure Government テナント (GCC High および DOD) でも使用できます。
クライアント機能
クライアント側の要求チャレンジ
継続的アクセス評価を行う前に、期限切れになっていない限り、クライアントはキャッシュからアクセス トークンを再生します。 CAE では、リソース プロバイダーが期限切れになっていない場合に、トークンを拒否できる新しいケースが導入されています。 キャッシュされたトークンの有効期限が切れていない場合でも、クライアントにキャッシュをバイパスするように通知するために、要求チャレンジと呼ばれるメカニズムが導入されました。これにより、トークンが拒否されたため、Microsoft Entra から新しいアクセス トークンを発行してもらう必要があることを示します。 CAE で要求チャレンジを認識するには、クライアントの更新が必要です。 次のアプリケーションの最新バージョンで、要求チャレンジがサポートされています。
| ウェブ | Win32 | iOS | アンドロイド | マック | |
|---|---|---|---|---|---|
| アウトルック | サポート | サポート | サポート | サポート | サポート |
| チーム | サポート | サポート | サポート | サポート | サポート |
| オフィス | サポート対象外 | サポート | サポート | サポート | サポート |
| OneDrive | サポート | サポート | サポート | サポート | サポート |
トークンの有効期間
リスクとポリシーはリアルタイムで評価されるため、継続的アクセス評価に対応するセッションをネゴシエートするクライアントは、静的アクセス トークンの有効期間ポリシーには依存しなくなります。 この変更により、CAE 対応のセッションをネゴシエートするクライアントでは、構成可能なトークンの有効期間ポリシーが受け入れられなくなります。
CAE セッションでは、トークンの有効期間は最大 28 時間まで延長されます。 任意の期間だけでなく、重大なイベントとポリシーの評価によって失効するかどうかが決まります。 この変更により、セキュリティ体制に影響を与えることなく、アプリケーションの安定性が向上します。
CAE 対応クライアントを使用していない場合、既定のアクセス トークンの有効期間は 1 時間のままです。 この既定値は、構成可能なトークンの有効期間 (CTL) プレビュー機能を使用して、アクセス トークンの有効期間を構成した場合にのみ変更されます。
フロー図の例
ユーザー失効イベントのフロー
- CAE 対応クライアントが、Microsoft Entra に資格情報または更新トークンを提示し、リソースのアクセス トークンを要求します。
- アクセス トークンは、他の成果物と共にクライアントに返されます。
- 管理者が明示的に ユーザーのすべての更新トークンを取り消すと、失効イベントが Microsoft Entra からリソース プロバイダーに送信されます。
- リソース プロバイダーにアクセス トークンが提示されます。 リソース プロバイダーは、トークンの有効性を評価し、ユーザーの失効イベントがあるかどうかを確認します。 リソース プロバイダーは、この情報を使用して、リソースへのアクセスを許可するかどうかを決定します。
- この場合、リソース プロバイダーはアクセスを拒否し、401+ 要求チャレンジをクライアントに送り返します。
- CAE 対応クライアントは、401+ 要求チャレンジを認識します。 キャッシュをバイパスし、手順 1 に戻り、要求チャレンジと共に更新トークンを Microsoft Entra に送り返します。 その後、Microsoft Entra はすべての条件を再評価し、このケースでは、ユーザーに再認証を求めるダイアログを表示します。
ユーザー状態変更のフロー
次の例では、条件付きアクセス管理者が、特定の IP 範囲からのアクセスのみ許可するよう、場所ベースの条件付きアクセス ポリシーを構成しています。
- CAE 対応クライアントが、Microsoft Entra に資格情報または更新トークンを提示し、リソースのアクセス トークンを要求します。
- Microsoft Entra は、すべての条件付きアクセス ポリシーを評価して、ユーザーとクライアントが条件を満たしているかどうかを確認します。
- アクセス トークンは、他の成果物と共にクライアントに返されます。
- ユーザーは、許可された IP 範囲外になります。
- クライアントは、許可された IP 範囲外からリソース プロバイダーにアクセス トークンを提示します。
- リソース プロバイダーは、トークンの有効性を評価し、Microsoft Entra から同期された場所のポリシーを確認します。
- この場合、リソース プロバイダーはアクセスを拒否し、401+ 要求チャレンジをクライアントに送り返します。 クライアントは、許可された IP 範囲から送信されていないのでチャレンジの実行を求められます。
- CAE 対応クライアントは、401+ 要求チャレンジを認識します。 キャッシュをバイパスし、手順 1 に戻り、要求チャレンジと共に更新トークンを Microsoft Entra に送り返します。 Microsoft Entra はすべての条件を再評価し、このケースでは、アクセスを拒否します。
IP アドレス バリエーションの例外と、例外をオフにする方法
上記の手順 8 で、Microsoft Entra が条件を再評価すると、Microsoft Entra によって検出された新しい場所が許可される IP 範囲外であるため、アクセスは拒否されます。 これが常に当てはまるわけではありません。 一部の 複雑なネットワーク トポロジが原因で、リソース プロバイダーが受信したアクセス要求が許可されていない IP アドレスから到着した後であっても、認証要求は許可されたエグレス IP アドレスから到着する可能性があります。 これらの条件下で、Microsoft Entra は、クライアントが引き続き許可される場所に存在し、アクセスを許可される必要があると解釈します。 そのため、Microsoft Entra は 1 時間のトークンを発行し、トークンの有効期限が切れるまでリソースでの IP アドレス チェックが中断されます。 Microsoft Entra は引き続き IP アドレス チェックを適用します。
グローバル セキュア アクセスを介して Microsoft 365 以外のリソースにトラフィックを送信する場合、現在これらのリソースでは ソース IP の復元 はサポートされていないため、リソース プロバイダーはユーザーのソース IP アドレスを認識しません。 このケースでは、ユーザーが (Microsoft Entra によって認識される) 信頼できる IP の場所にいる場合、Microsoft Entra は、トークンの有効期限が切れるまでリソースでの IP アドレス チェックを中断する 1 時間のトークンを発行します。 Microsoft Entra は引き続き、これらのリソースに対して IP アドレス チェックを正しく適用します。
標準モードと厳密モード。 この例外でのアクセスの許可 (つまり、Microsoft Entra ID とリソース プロバイダーによって検出された許可されていない場所の間に、許可された場所が検出された場合) は、重要なリソースへのアクセスを維持することでユーザーの生産性を保護します。 これは、標準的な場所の適用です。 一方、安定したネットワーク トポロジの下で運用を行っており、この例外を削除したい管理者は、厳密な場所の適用 (パブリック プレビュー) を使用できます。
CAE を有効または無効にする
CAE の設定は条件付きアクセスに移動しました。 新しい CAE のお客様は、条件付きアクセスポリシーの作成時に直接、CAE にアクセスしたり切り替えたりすることができます。 ただし既存のお客様は、条件付きアクセスから CAE にアクセスできるようになる前に、移行を終える必要があります。
移行
以前にセキュリティで CAE 設定を構成したお客様は、設定を、新しい条件付きアクセス ポリシーに移行する必要があります。
次の表では、以前に構成した CAE 設定に基づく各顧客グループの移行エクスペリエンスについて説明します。
| 既存の CAE 設定 | 移行が必要か | CAE の自動有効化 | 予想される移行エクスペリエンス |
|---|---|---|---|
| 以前のエクスペリエンスでは何も構成されていない新しいテナント。 | いいえ | あり | 以前の CAE 設定は、一般公開の前にエクスペリエンスを目にする可能性が低いため、これらのお客様については非表示になります。 |
| 以前のエクスペリエンスを持つすべてのユーザーに対して明示的に有効にしたテナント。 | いいえ | あり | 以前の CAE 設定はグレー表示されます。これらのお客様は、すべてのユーザーに対してこの設定を明示的に有効にしているため、移行する必要はありません。 |
| 以前のエクスペリエンスでテナント内の一部のユーザーを明示的に有効にしたテナント。 | あり | いいえ | 以前の CAE 設定はグレー表示されます。移行 をクリックすると、すべてのユーザーを含む新しい条件付きアクセス ポリシー ウィザードが起動します。ただし CAE からコピーされたユーザーとグループは除外されます。 また、新しい [継続的アクセス評価のカスタマイズ] の [セッション コントロール]を [無効]に設定します。 |
| プレビューを明示的に無効にしたテナント。 | あり | いいえ | 旧 CAE 設定はグレー表示されます。移行 をクリックすると、すべてのユーザーを含む新しい条件付きアクセス ポリシー ウィザードが起動し、新しい 継続的なアクセス評価をカスタマイズ のセッション コントロールが 無効に設定されます。 |
セッション制御としての継続的アクセス評価の詳細については、「継続的アクセス評価のカスタマイズ」 セクションを参照してください。
制限事項
グループ メンバーシップとポリシー更新が有効になる時間
管条件付きアクセスポリシーとグループ メンバーシップに管理者が加えた変更内容は、有効になるまでに最大 1 日かかることがあります。 この遅延は、Microsoft Entra とリソース プロバイダー (Exchange Online や SharePoint Online など) との間のレプリケーションによるものです。 ポリシーの更新に関していくつかの最適化が行われ、遅延が 2 時間に短縮されています。 ただし、まだすべてのシナリオに対応しているわけではありません。
条件付きアクセス ポリシーまたはグループ メンバーシップの変更内容をすぐに特定のユーザーに適用する必要がある場合は、2 つのオプションがあります。
- revoke-mgusersign PowerShell コマンドを実行して、指定したユーザーのすべての更新トークンを取り消します。
- ユーザー プロファイル ページで "セッションの取り消し" を選択してユーザーのセッションを取り消し、更新したポリシーが直ちに適用されるようにします。
IP アドレスのバリエーションと、IP アドレス共有または不明なエグレス IP があるネットワーク
最新のネットワークでは、多くの場合、アプリケーションの接続とネットワーク パスが異なる方法で最適化されます。 この最適化により、ID プロバイダーとリソース プロバイダーでは、接続のルーティングとソース IP アドレスにバリエーションが頻繁に発生します。 この分割パスや IP アドレス バリエーションは、次のような複数のネットワーク トポロジで確認される場合があります。
- オンプレミスとクラウドベースのプロキシ。
- 仮想プライベート ネットワーク (VPN) の実装 (分割トンネリングなど)。
- ソフトウェアによって定義されたワイド エリア ネットワーク (SD-WAN) のデプロイ。
- 負荷分散または冗長ネットワークのエグレス ネットワーク トポロジ (SNAT を使用するものなど)。
- 特定のアプリケーションに対してインターネットの直接接続を可能するブランチ オフィスのデプロイ。
- IPv6 クライアントをサポートするネットワーク。
- その他のトポロジ (アプリケーションまたはリソースのトラフィックを、ID プロバイダーへのトラフィックとは異なる方法で処理するトポロジ)。
IP のバリエーションに加えて、お客様は次のようなネットワーク ソリューションやサービスを使用することもできます。
- 他のお客様と共有可能な IP アドレスを使用しているソリューションやサービス。 たとえば、エグレス IP アドレスがお客様間で共有される、クラウドベースのプロキシ サービスなど。
- 簡単に変更される、または定義不可能な IP アドレスを使用するソリューション。 たとえば、大規模で動的なエグレス IP アドレスのセットがあるトポロジ (大規模なエンタープライズ シナリオや、分割 VPN とローカル エグレス ネットワーク トラフィックなど)。
エグレス IP アドレスが頻繁に変更されたり共有されたりするネットワークは、Microsoft Entra の条件付きアクセスと継続的なアクセス評価 (CAE) に影響を与える可能性があります。 この変動性は、これらの機能の動作と、推奨される構成に影響を与える可能性があります。 分割トンネリング VPN のベスト プラクティスを使って環境が構成されている場合、分割トンネリングによって予期しないブロックが発生する場合もあります。 信頼できる IP/VPN を介した 最適化された IP のルーティングにより、insufficient_claims または 即時 IP 適用チェック失敗に関連するブロックを防ぐ必要がある場合もあります。
次のテーブルは、条件付きアクセスおよび CAE 機能の動作と、各種ネットワーク デプロイとリソース プロバイダー (RP) に関するレコメンデーションをまとめたものです。
| [ネットワークの種類] | 例 | Microsoft Entra によって認識される IP | RP によって参照される IP | 該当する条件付きアクセス構成 (信頼できるネームド ロケーション) | CAE の適用 | CAE アクセス トークン | レコメンデーション |
|---|---|---|---|---|---|---|---|
| 1. エグレス IP は、Microsoft Entra とすべての RP トラフィックの両方について専用であり、列挙できる | Microsoft Entra と RP へのすべてのネットワーク トラフィックは、1.1.1.1 や 2.2.2.2 を介してエグレスされる | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
重大なイベント IP の場所の変更 |
有効期間が長い – 最大 28 時間 | 条件付きアクセスのネームド ロケーションが定義されている場合は、可能性のあるすべての (Microsoft Entra とすべての RP によって認識される) エグレス IPが含まれていることを確認します |
| 2. エグレス IP は、Microsoft Entra に専用で列挙できるが、RP トラフィックについては当てはまらない | Microsoft Entra へのネットワーク トラフィックは 1.1.1.1 を介してエグレスされます。 RP のトラフィックは x.x.x.x を介してエグレスされます | 1.1.1.1 | x.x.x.x | 1.1.1.1 | 重大なイベント | 既定のアクセス トークンの有効期間 – 1 時間 | セキュリティが低下する可能性があるため、非専用または列挙不可能なエグレス IP (x.x.x.x) を信頼できるネームド ロケーションの条件付きアクセス規則に追加してはなりません |
| 3. エグレス IP は、Microsoft Entra と RP トラフィックの両方について、専用ではなく共有されるか、列挙できない | Microsoft Entra へのネットワーク トラフィックは、y.y.y.y を介してエグレスされ、RP のトラフィックは x.x.x.x を介してエグレスされます | y.y.y.y | x.x.x.x | 該当なし - IP 条件付きアクセス ポリシーや信頼できる場所は構成されません | 重大なイベント | 有効期間が長い – 最大 28 時間 | セキュリティが低下する可能性があるため、非専用または列挙不可能なエグレス IP (x.x.x.x/y.y.y.y) を信頼できるネームド ロケーションの条件付きアクセス規則に追加してはなりません |
ID プロバイダーとリソース プロバイダーに接続するクライアントによって使用されるネットワークとネットワーク サービスは、最新の傾向に応じて進化し、変化し続けています。 これらの変更によって、基になる IP アドレスに依存する条件付きアクセスと CAE 構成に影響が及ぶ可能性があります。 これらの構成を決定する際には、将来のテクノロジの変化を考慮し、プランで定義されているアドレスの一覧を維持してください。
サポートされる場所のポリシー
CAE では、IP ベースのネームドロケーションの分析情報のみが得られます。 CAE では、MFA の信頼できる IP や国/リージョンベースの場所など、他の場所の条件について分析情報は得られません。 ユーザーの場所が MFA の信頼できる IP、信頼できる場所 (MFA の信頼できる IP を含む)、または国/リージョンの場所である場合、ユーザーが別の場所に移動した後、CAE は適用されません。 このような場合、Microsoft Entra では、即時 IP 適用チェックなしで 1 時間のアクセス トークンが発行されます。
重要
継続的アクセス評価によってリアルタイムで場所のポリシーが適用されるようにする場合は、IP ベースの条件付きアクセスの場所の条件のみ使用し、ID プロバイダーとリソース プロバイダーが認識できる IPv4 と IPv6 の両方を含むすべての IP アドレスを構成してください。 Microsoft Entra 多要素認証のサービス設定ページで利用できる国/リージョンの場所の条件または信頼できる IP 機能は使用しないでください。
ネームド ロケーションの制限
場所ポリシーで指定されているすべての IP 範囲の合計が 5,000 を超えると、CAE では、ユーザーによる場所の変更フローはリアルタイムでは適用されません。 この場合、Microsoft Entra は 1 時間の CAE トークンを発行します。 CAE は、クライアントの場所の変更イベント以外に、他のすべてのイベントとポリシー を適用し続けます。 この変更によって、他のイベント はほぼリアルタイムで評価されるため、従来の 1 時間のトークンよりも強力なセキュリティ体制を維持することができます。
Office および Web アカウント マネージャーの設定
| Office 更新プログラム チャネル | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| 半期エンタープライズ チャネル | 有効 (1) に設定した場合、CAE はサポートされません。 | 有効 (1) に設定した場合、CAE はサポートされません。 |
| 現在のチャネル または 月間エンタープライズ チャネル |
設定に関係なく CAE がサポートされます | 設定に関係なく CAE がサポートされます |
Office 更新プログラム チャネルの詳細については、Microsoft 365 アプリの更新プログラム チャネルの概要に関する記事を参照してください。 組織で Web アカウントマネージャー (WAM) を無効にしないことが推奨されます。
Office アプリでの共同編集
複数のユーザーが、あるドキュメントで同時に共同作業を行っている場合、ポリシー変更イベントに基づいて、ドキュメントへのアクセスが CAE によって直ちに取り消されないことがあります。 この場合、ユーザーは次の後に完全にアクセスできなくなります。
- ドキュメントを閉じる
- Office アプリを閉じる
- 条件付きアクセス IP ポリシーが設定された 1 時間後
この時間を短縮するために、SharePoint 管理者は、ネットワークの場所のポリシーを構成することで、SharePoint Online および Microsoft OneDrive に保存されているドキュメントの共同編集セッションの最大有効期間を短縮することができます。 この構成が変更されると、共同編集セッションの最大有効期間は 15 分に短縮されます。また、SharePoint Online の PowerShell コマンド Set-SPOTenant –IPAddressWACTokenLifetimeを使用してさらに調整することができます。
ユーザーが無効になった後にそのユーザーを有効にする
無効にした直後にユーザーを有効にする場合、ダウンストリーム Microsoft サービスで有効としてアカウントが認識されるまでにしばらく待機時間が発生します。
- SharePoint Online と Teams では、通常 15 分の遅延があります。
- 通常、Exchange Online では 35 - 40 分の遅延があります。
プッシュ通知
IP アドレス ポリシーは、プッシュ通知が発行されるまで評価されません。 このシナリオは、プッシュ通知が送信され、評価対象の関連付けられた IP アドレスがないために存在します。 ユーザーが Outlook の電子メールなどのプッシュ通知を選択すると、電子メールが表示される前に、CAE IP アドレス ポリシーが引き続き適用されます。 プッシュ通知にはメッセージ プレビューが表示されますが、これは IP アドレス ポリシーで保護されません。 その他のすべての CAE チェックは、プッシュ通知が送信される前に行われます。 ユーザーまたはデバイスのアクセス権が削除されている場合は、文書化された期間内に適用されます。
ゲスト ユーザー
CAE はゲスト ユーザー アカウントをサポートしていません。 CAE 失効イベントと IP ベースの条件付きアクセス ポリシーは、瞬時には適用されません。
CAE とサインインの頻度
サインインの頻度が、CAE の有無にかかわらず優先されます。