Udostępnij za pośrednictwem


Ciągła ocena dostępu dla tożsamości obciążeń

Ciągła ocena dostępu (CAE) dla tożsamości obciążeń zapewnia korzyści zabezpieczeń organizacji. Umożliwia to egzekwowanie w czasie rzeczywistym zasad ryzyka i lokalizacji dostępu warunkowego oraz natychmiastowe egzekwowanie zdarzeń odwołania tokenów dla tożsamości obciążeń.

Ciągła ocena dostępu nie obsługuje obecnie tożsamości zarządzanych.

Zakres pomocy technicznej

Ciągła ocena dostępu dla tożsamości obciążeń jest obsługiwana tylko w przypadku żądań dostępu wysyłanych do programu Microsoft Graph jako dostawcy zasobów. W czasie zostanie dodanych więcej dostawców zasobów.

Obsługiwane są jednostki usług dla aplikacji biznesowych.

Obsługujemy następujące zdarzenia odwołania:

  • Wyłączanie jednostki usługi
  • Usuwanie jednostki usługi
  • Wysokie ryzyko jednostki usługi wykryte przez Ochrona tożsamości Microsoft Entra

Ciągła ocena dostępu dla tożsamości obciążeń obsługuje zasady dostępu warunkowego przeznaczone dla lokalizacji docelowej i ryzyka.

Włączanie aplikacji

Deweloperzy mogą wyrazić zgodę na ciągłą ocenę dostępu dla tożsamości obciążeń, gdy ich żądania xms_cc interfejsu API są opcjonalne. Oświadczenie xms_cc z wartością cp1 w tokenie dostępu jest autorytatywny sposób identyfikowania aplikacji klienckiej może obsługiwać wyzwanie oświadczeń. Aby uzyskać więcej informacji na temat sposobu działania tej funkcji w aplikacji, zobacz artykuł Wyzwania dotyczące oświadczeń, żądania oświadczeń i możliwości klienta.

Wyłącz

Aby zrezygnować, nie wysyłaj xms_cc roszczenia z wartością cp1.

Organizacje, które mają identyfikator Entra ID P1 lub P2 firmy Microsoft, mogą utworzyć zasady dostępu warunkowego, aby wyłączyć ciągłą ocenę dostępu stosowaną do określonych tożsamości obciążeń jako środek natychmiastowego zatrzymania.

Rozwiązywanie problemów

Gdy dostęp klienta do zasobu zostanie zablokowany z powodu wyzwolenia urzędu certyfikacji, sesja klienta zostanie odwołana i klient musi ponownie uwierzytelnić. To zachowanie można zweryfikować w dziennikach logowania.

W poniższych krokach szczegółowo opisano, jak administrator może zweryfikować działanie logowania w dziennikach logowania:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do obszaru Monitorowanie tożsamości>i>rejestrowanie kondycji dzienników>logowania jednostki usługi. Możesz użyć filtrów, aby ułatwić proces debugowania.
  3. Aby wyświetlić szczegóły działania, wybierz wpis. Pole Ocena ciągłego dostępu wskazuje, czy token CAE został wystawiony w określonej próbie logowania.