Fortlaufende Zugriffsevaluierung für Workloadidentitäten
Fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) für Workloadidentitäten bietet Sicherheitsvorteile für Ihre Organisation. Sie ermöglicht die Echtzeiterzwingung von Standort- und Risikorichtlinien für bedingten Zugriff sowie die sofortige Erzwingung von Tokenwiderrufereignissen für Workloadidentitäten.
Die fortlaufende Zugriffsevaluierung unterstützt derzeit keine verwalteten Identitäten.
Supportumfang
Fortlaufende Zugriffsevaluierung für Workloadidentitäten wird nur bei Zugriffsanforderungen unterstützt, die an Microsoft Graph als Ressourcenanbieter gesendet werden. Im Lauf der Zeit werden weitere Ressourcenanbieter hinzugefügt.
Dienstprinzipale für Branchenanwendungen (LOB, Line of Business) werden unterstützt.
Wir unterstützen die folgenden Widerrufereignisse:
- Deaktivieren von Dienstprinzipalen
- Löschen von Dienstprinzipalen
- Hohes Dienstprinzipalrisiko, wie von Microsoft Entra ID Protection erkannt
Die fortlaufende Zugriffsevaluierung für Workloadidentitäten unterstützt standort- und risikobasierte Richtlinien für bedingten Zugriff.
Aktivieren der Anwendung
Entwickler können sich für die fortlaufende Zugriffsevaluierung für Workloadidentitäten entscheiden, wenn ihre API xms_cc
als optionalen Anspruch anfordert. Der Anspruch xms_cc
mit dem Wert cp1
im Zugriffstoken ist die autoritative Methode, um zu bestimmen, ob eine Clientanwendung eine Anspruchsaufforderung behandeln kann. Weitere Informationen dazu, wie dies in Ihrer Anwendung funktioniert, finden Sie im Artikel Anspruchsaufforderungen, Anspruchsanforderungen und Clientfunktionen.
Deaktivieren
Senden Sie zum Deaktivieren den Anspruch xms_cc
nicht mit dem Wert cp1
.
Organisationen mit Microsoft Entra ID P1 oder P2 können eine Richtlinie für bedingten Zugriff erstellen, um die fortlaufende Zugriffsevaluierung zu deaktivieren, die als direkte Überbrückungsmaßnahme auf bestimmte Workloadidentitäten angewendet wird.
Problembehandlung
Wenn der Zugriff eines Clients auf eine Ressource blockiert wird, da die fortlaufende Zugriffsevaluierung ausgelöst wird, wird die Clientsitzung widerrufen, und der Client muss erneut authentifiziert werden. Dieses Verhalten kann in den Anmeldeprotokollen überprüft werden.
Die folgenden Schritte zeigen, wie ein Administrator die Anmeldeaktivität in den Anmeldeprotokollen überprüfen kann:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
- Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle>Dienstprinzipalanmeldungen. Sie können Filter verwenden, um den Debuggenprozess zu vereinfachen.
- Um Aktivitätsdetails anzuzeigen, wählen Sie einen Eintrag aus. Das Feld Fortlaufende Zugriffsevaluierung gibt an, ob ein CAE-Token bei einem bestimmten Anmeldeversuch ausgestellt wurde.
Zugehöriger Inhalt
- Registrieren einer Anwendung mit Microsoft Entra ID und Erstellen eines Dienstprinzipals
- Verwenden von CAE-fähigen APIs in Ihren Anwendungen
- Beispielanwendung mit fortlaufender Zugriffsevaluierung
- Schützen von Workloadidentitäten mit Microsoft Entra ID Protection
- Was ist die fortlaufende Zugriffsevaluierung?