条件付きアクセスの継続的アクセス評価（CAE： Continuous Access Evaluation）で、厳密な場所ポリシー適用がパブリックプレビューになりました。
Public Preview: Strictly Enforce Location Policies with Continuous Access Evaluation - Microsoft Community Hub

 

まず、継続的アクセス評価（CAE）についてですが、
従来の Microsoft Entra ID（Azure AD）では認証完了後に発行されるアクセストークンの有効期間は１時間であり、その間は目的のリソースにアクセスし続けることが可能なため、例えばアクセス元の場所を移動したり、条件付きアクセスポリシーが変更された場合などであっても、ポリシーの再評価が行われない時間が発生する問題がありました。
CAE を有効にすると、条件付きアクセスポリシーの情報や、認証を受けた時の場所などのユーザー情報をアクセス先のリソース側に共有するため、アクセストークンの残り時間にかかわらず、Microsoft Entra ID（Azure AD）で条件付きアクセスを再評価できるようになります。

詳しくは、以下に分かり易い説明がされています。
Azure AD が発行するトークンの有効期間と考え方 (2023 年版) | Japan Azure Identity Support Blog

 

今回、パブリックプレビューされたのは、この継続的アクセス評価（CAE）の場所の適用をより厳格に行える機能です。
これにより、Exchange Online、SharePoint、Teams、Microsoft Graph など CAE対応アプリケーションは、アプリによって検出されたネットワーク変更イベントに応答してほぼリアルタイムでトークンを取り消し、アクセストークンが盗まれた場合でも信頼できるネットワーク外から利用されることを防ぎます。

設定は、条件付きアクセスポリシーの「セッション」の「継続的アクセス評価をカスタマイズする」チェックの下にあります。

 

上記を有効にする前に、許可する場所を条件付きアクセスの「ネームドロケーション」で定義しておく必要があります。
そのためには、サインインログの「IP アドレス（リソースで表示）」列を参照したり、CAE の workbook を作成するなどにより、ユーザーが不要にブロックされないよう、信頼できる IP アドレスを慎重に検討しておく必要があるため、小規模なユーザーからテストすることがお勧めされています。

 

（参考）
Azure AD での継続的アクセス評価の厳密な場所の適用 - Microsoft Entra | Microsoft Learn