Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La valutazione dell'accesso continuo (CAE) per le identità del carico di lavoro offre vantaggi per la sicurezza per l'organizzazione. Consente l'attuazione in tempo reale dei criteri di accesso condizionale relativi alla posizione e al rischio, insieme all'applicazione immediata degli eventi di revoca dei token per le identità delle funzioni di lavoro.
La valutazione dell'accesso continuo non supporta attualmente le identità gestite.
Ambito del supporto
La valutazione dell'accesso continuo per le identità del carico di lavoro è supportata solo nelle richieste di accesso inviate a Microsoft Graph come provider di risorse. Nel corso del tempo verranno aggiunti più provider di risorse.
Sono supportati i principali del servizio per le applicazioni line-of-business (LOB).
Supportiamo i seguenti eventi di revoca:
- Disabilitazione del principale del servizio
- Eliminazione del principale di servizio
- Rischio elevato del principale del servizio rilevato da Microsoft Entra ID Protection.
La valutazione dell'accesso continuo per le identità di carico di lavoro supporta i criteri di accesso condizionale in base a posizione e rischio.
Abilitare l'applicazione
Gli sviluppatori possono attivare la valutazione continua dell'accesso per le identità di carico di lavoro quando le richieste xms_cc API sono incluse come attestazione facoltativa. L'attestazione xms_cc con un valore nel token di accesso cp1 è il modo autorevole per identificare se un'applicazione client è in grado di gestire una richiesta di attestazioni. Per ulteriori informazioni su come far funzionare questo nella tua applicazione, vedere l'articolo Sfide delle attestazioni, richieste di attestazioni e capacità del client.
Disabilitazione
Per rinunciare, non inviare l'attestazione xms_cc con il valore cp1.
Le organizzazioni che dispongono di Microsoft Entra ID P1 o P2 possono creare criteri di accesso condizionale per disabilitare la valutazione dell'accesso continuo applicata a identità specifiche del carico di lavoro come misura immediata di stop-gap.
Risoluzione dei problemi
Quando l'accesso di un client a una risorsa viene bloccato a causa dell'attivazione di CAE, la sessione del client viene revocata e il client deve ripetere l'autenticazione. Questo comportamento può essere verificato nei log di accesso.
I passaggi seguenti illustrano in dettaglio come un amministratore può verificare l'attività di accesso nei log di accesso:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore che legge i dati di sicurezza.
- Passare a Identity>Monitoring & health>Registri accesso>Accessi entità servizio (Service Principal Sign-ins). È possibile usare i filtri per semplificare il processo di debug.
- Per visualizzare i dettagli dell'attività, selezionare una voce. Il campo di valutazione dell'accesso continuo indica se un token CAE è stato emesso in un tentativo di accesso specifico.
Contenuto correlato
- Registrare un'applicazione con Microsoft Entra ID e creare un'entità servizio
- Come usare le API abilitate per la valutazione continua dell'accesso nelle applicazioni
- Applicazione di esempio che usa la valutazione dell'accesso continuo
- Protezione delle identità dei carichi di lavoro con Microsoft Entra ID Protection
- Che cos'è la valutazione dell'accesso continuo?