Continue toegangsevaluatie voor workloadidentiteiten

Continue toegangsevaluatie (CAE) voor workload-identiteiten biedt beveiligingsvoordelen voor uw organisatie. Hiermee kunt u realtime locatie- en risicobeleid voor voorwaardelijke toegang afdwingen, samen met onmiddellijk afdwingen van tokenintrekkingsgebeurtenissen voor workload-identiteiten.

Evaluatie van continue toegang biedt momenteel geen ondersteuning voor beheerde identiteiten.

Ondersteuningsbereik

Continue toegangsevaluatie voor workloadidentiteiten wordt alleen ondersteund voor toegangsaanvragen die als resourceprovider naar Microsoft Graph worden verzonden. Er worden na verloop van tijd meer resourceproviders toegevoegd.

Service-principals voor LOB-toepassingen (Line-Of-Business) worden ondersteund.

We ondersteunen de volgende intrekkingsevenementen:

• Uitschakelen van de Service-principal
• Verwijderen van de Service-principal
• Hoog risico van service-principal zoals gedetecteerd door Microsoft Entra ID Protection

Continue toegangsevaluatie voor workload-identiteiten ondersteunt beleidsregels voor voorwaardelijke toegang die gericht zijn op locatie en risico.

Uw toepassing inschakelen

Ontwikkelaars kunnen zich aanmelden voor continue toegangsevaluatie voor workload-identiteiten wanneer hun API-aanvragen xms_cc als een optionele claim worden aangevraagd. De xms_cc claim met een waarde van cp1 het toegangstoken is de gezaghebbende manier om een clienttoepassing te identificeren die een claimvraag kan afhandelen. Zie het artikel Claims-uitdagingen, claimsaanvragen en clientmogelijkheden voor meer informatie over hoe u dit kunt doen in uw toepassing.

Uitschakelen

Als u zich wilt afmelden, verzendt u de xms_cc claim niet met een waarde van cp1.

Organisaties met Microsoft Entra ID P1 of P2 kunnen een beleid voor voorwaardelijke toegang maken om continue toegangsevaluatie uit te schakelen die is toegepast op specifieke workloadidentiteiten als een onmiddellijke stop-gapmeting.

Probleemoplossing

Wanneer de toegang van een client tot een resource wordt geblokkeerd omdat CAE wordt geactiveerd, wordt de sessie van de client ingetrokken en moet de client opnieuw verifiëren. Dit gedrag kan worden geverifieerd in de aanmeldingslogboeken.

In de volgende stappen wordt beschreven hoe een beheerder de aanmeldingsactiviteit in de aanmeldingslogboeken kan verifiëren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
2. Blader naar aanmeldingslogboeken>voor identiteitsbewaking>en>status van service-principal-aanmeldingen. U kunt filters gebruiken om het foutopsporingsproces te vereenvoudigen.
3. Als u de details van de activiteit wilt bekijken, selecteert u een vermelding. Het veld Evaluatie van continue toegang geeft aan of een CAE-token is uitgegeven in een bepaalde aanmeldingspoging.

Gerelateerde inhoud

• Een toepassing registreren bij Microsoft Entra-id en een service-principal maken
• API's met continue toegangsevaluatie gebruiken in uw toepassingen
• Voorbeeldtoepassing met behulp van continue toegangsevaluatie
• Workloadidentiteiten beveiligen met Microsoft Entra ID Protection
• Wat is continue toegangsevaluatie?