Wie funktionieren Authentifizierung und Autorisierung in der Microsoft Cloud?
Tokens sind ein unverzichtbarer Bestandteil moderner Authentifizierung und erleichtern die sichere Nutzung von Diensten, ohne dass ständig das Passwort erneut eingegeben werden muss. Wenn sich ein Benutzer am Microsoft 365 Tenant mit Benutzername + Kennwort und zweitem Faktor anmeldet, wird seine Identität bestätigt und er erhält eine Art „Zutrittsausweis“. Dieser umfasst in der Regel mehrere Tokenarten:
Ein ID-Token (basierend auf OpenID Connect) mit Informationen zur Identität (z. B. Benutzername, Objekt-ID) und meist einer Gültigkeitsdauer von 1h.
Ein Access Token (OAuth2), das typischerweise eine Stunde gültig ist und bei jedem Ressourcenaufruf vorgezeigt wird – der eigentliche „Zutrittsausweis“. Gültigkeitsdauer ca. 1h
Ein Refresh Token, das oft 14 bis 90 Tage gültig bleibt und die automatische Erneuerung des Access Tokens ermöglicht, ohne dass der Benutzer sich erneut anmelden muss.
Beim Zugriff auf Ressourcen wird stets das Access Token geprüft, wodurch eine erneute Kennworteingabe vermieden wird. Läuft das Access Token ab, lässt sich mithilfe des Refresh Tokens in der Regel automatisch ein neues anfordern.

Das Problem mit den Tokens
Wenn ein Benutzerkonto während der Token-Laufzeit deaktiviert oder das Passwort geändert wird, bleibt das Token weiterhin bis zum Ablauf gültig. Dadurch entsteht ein Zeitfenster in dem der User weiterhin Zugriff auf die Apps und Dienste besitzt, obwohl dieser nicht mehr berechtigt ist, wodurch wiederum Sicherheitsrisiken entstehen.
Wie widerruft man Token bisher?
PowerShell-Befehl
Administratoren können den PowerShell-Befehl
Revoke-MgUserSignInSession -UserId <User-Id>
nutzen, um sämtliche Refresh-Tokens eines Benutzers zu widerrufen. Der Benutzer muss sich dann neu authentifizieren.
Microsoft Entra-Portal (früher Azure AD):
Über das Microsoft Entra-Portal hat man auf der Benutzerprofilseite die Option „Sitzung widerrufen“, um alle aktiven Sitzungen eines Benutzers zu beenden.
Kennwort-Reset & Co.:
Aktionen wie das Zurücksetzen des Passworts oder die Deaktivierung des Kontos führen dazu, dass Tokens bei der nächsten Authentifizierungsprüfung ungültig werden – jedoch oftmals erst nach Ablauf des bestehenden Access Tokens.
Conditional Access
bietet die Möglichkeit, Browsersitzungen nicht persistent zu gestalten und Sitzungen zeitlich zu begrenzen.
All diese Ansätze waren bisher oft reaktiv und konnten nicht immer sicherstellen, dass der Zugriff in Echtzeit widerrufen wurde, insbesondere wenn das Token noch gültig war.
Continuous Access Evaluation - Tokens in Echtzeit widerrufen
Continuous Access Evaluation (CAE) behebt diese Diskrepanz zwischen Token-Ausstellung und einem Ereignis wie einer Deaktivierung des Benutzerkontos, indem Access-Tokens nahezu in Echtzeit widerrufen werden können. Sobald bestimmte Ereignisse eintreten oder erkannt werden, entzieht CAE Access-Tokens sofort ihre Gültigkeit.
Access Tokens werden nahezu in Echtzeit widerrufen:
Bei Deaktivierung oder Löschung des Benutzers oder Reset/Änderung des Passworts
bei Wechsel des Netzwerkstandorts (sofern der Wechsel nach den in CA-Policies definierten Standortregeln sicherheitsrelevant ist, z. B. von einem vertrauenswürdigen zu einem nicht vertrauenswürdigen Standort)
Bei Aktivierung von MFA
Bei Widerruf aller Refresh-Tokens eines Users durch einen Admin
Bei Erkennung eines High User Risk durch Entra ID Protection (wird aktuell von SharePoint Online jedoch nicht unterstützt)
So funktioniert Continuous Access Evaluation anhand eines Beispiels:
Ein Benutzer meldet sich am Microsoft 365 Tenant an
Nach der erfolgreichen Authentifizierung erhält der User unter anderem ein oder mehrere Access Token
Der IT-Administrator führt nun eine Passwortänderung für den User durch
Das Token wird nun in Echtzeit widerrufen und der User muss sich neu authentifizieren
Der Zugriff auf die Microsoft Office Dienste wird blockiert
Welche Anwendungen unterstützen Continuous Access Evaluation?
Die folgenden Dienste unterstützen Continuous Access Evaluation (CAE):
Exchange Online
SharePoint Online (inkl. OneDrive)
Teams
Es gibt hierbei jedoch je nach Client-Applikation (z.B. Outlook Web, Outlook Win32, oder Outlook iOS,..) Einschränkungen.
Mehr dazu hier: https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation#conditional-access-policy-evaluation
und https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-continuous-access-evaluation#client-side-claim-challenge
Wie aktiviert man Continuous Access Evaluation?
1. CAE auf Tenantebene
Continuous Access Evaluation funktioniert auf zwei Arten. Einerseits funktioniert es als Tenant-Feature. Dabei reagiert Microsoft 365 auf sicherheitsrelevante Ereignisse in Entra ID - unabhängig von konfigurierten Conditional Access Policies. Dazu gehören wie bereits erwähnt:
Deaktivierung oder Löschung des Benutzers oder Reset/Änderung des Passworts
Wechsel des Netzwerkstandorts
Aktivierung von MFA
Widerruf aller Refresh-Tokens eines Users durch einen Admin
Erkennung eines High User Risk durch Entra ID Protection (wird aktuell von SharePoint Online jedoch nicht unterstützt)
2. Conditional Access Session Control
Andererseits ist Continuous Access Evaluation in Conditional Access als Session-Control integriert. CAE-fähige Office-Apps können sicherheitsrelevante Ereignisse eigenständig bewerten und den Zugriff entsprechend dynamisch blockieren bzw. eine Neuauthentifizierung anfordern. Dies geschieht auf Grundlage der definierten Conditional Access Policies.
Continuous Access Evaluation - “Strict Location Enforcement”
Continuous Access Evaluation Strict Location Enforcement ist ein neuer Modus in Conditional Access Policies. Dieser Modus sorgt dafür, dass der Zugriff sofort gestoppt wird, wenn die von der Ressource ermittelte IP-Adresse nicht den Anforderungen der Conditional Access Policy entspricht.
Dies ist die höchste Sicherheitsstufe von Continuous Access Evaluation mit dem Fokus auf Standortkontrollen und erfordert, dass Administratoren das Routing von Authentifizierungs- und Zugriffsanforderungen im Netzwerk verstehen. Auch hier sollten umfassende Tests mit einem eingeschränkten Kreis an Personen zuvor durchgeführt werden, bevor “Strict Location Enforcement” aktiviert wird.

Wichtige Hinweise
Lebensdauer von Tokens
Bei aktivierter CAE innerhalb von Conditional-Access-Richtlinien ist die ursprünglich festgelegte Token-Laufzeit (z. B. eine Stunde) nicht mehr ausschlaggebend.
In CAE-Sitzungen wird die Gültigkeitsdauer von Tokens auf bis zu 28 Stunden erhöht. Kritische Ereignisse und Richtlinien steuern den Widerruf, nicht mehr ein fixer Zeitraum.
Für nicht CAE-fähige Clients gilt weiterhin die Standardgültigkeitsdauer des Access Tokens von zumeist einer Stunde.
Migration von CAE
Die CAE-Einstellung wurde in den Bereich Conditional Access verschoben.
Neue CAE-Kunden können CAE bereits bei der Erstellung von Conditional-Access-Richtlinien aktivieren. Bestandskunden müssen eventuell eine Migration vornehmen.
CA-Policies: Zeitraum zwischen Änderung und Anwendung
Es kann bis zu 24 Stunden dauern, bis Änderungen an Conditional-Access-Richtlinien oder Gruppenmitgliedschaften überall wirksam werden.
Wenn eine sofortige Anwendung erforderlich ist:
Revoke-MgUserSignInSession -UserId <User-Id>
Alternativ können Sie in Entra im Benutzerprofil die Option „Sitzung widerrufen“ auswählen.
Einschränkungen bei Gastbenutzern
Gastkonten werden von CAE derzeit nicht unterstützt.
Fazit
Continuous Access Evaluation ist ein entscheidender Schritt hin zu einer dynamischen, echtzeitbasierten Zugriffskontrolle. In Kombination mit Conditional Access und Entra ID ermöglicht CAE eine signifikant gesteigerte Sicherheit, die den Anforderungen moderner Arbeitsumgebungen besser gerecht wird. Unternehmen, die CAE einsetzen, verschaffen sich einen klaren Zeitvorteil und damit einen wichtigen Sicherheitsvorteil mit Blick auf die heutige Bedrohungslandschaft, in der Tokens immer häufiger das Ziel von Angreifern sind.