令牌过期和刷新机制通常在行业内使用。 成功用户登录到 Azure DevOps 后,Web 客户端将从 Entra 获取 OAuth 2.0 访问令牌,前提是满足所有必需的条件访问策略。 这些令牌通常有效期为 1 小时。 过期后,Web 客户端会自动从 Microsoft Entra 刷新令牌,从而重新评估访问策略,例如条件访问或帐户状态。 但是,此过程不会近乎实时地运行;例如,删除用户帐户等安全事件可能需要长达一小时才能让 Azure DevOps 检测和响应,因为它等待现有访问令牌过期。 政策实施中的此类延迟可能会阻碍对安全事件的及时响应。
相比之下, 持续访问评估(CAE) 有助于近乎实时地强制实施。 它建立Microsoft Entra 和 Azure DevOps 服务之间的双向通信通道,使 Azure DevOps 能够本地同步和验证客户端更改的条件访问策略,例如 IP 地址更改。 此外,令牌颁发者(Entra)可以提醒 Azure DevOps 停止接受特定用户的令牌,因为帐户泄露、禁用或其他问题等问题,Azure DevOps 能够相应地采取行动。