Ciągła ocena dostępu dla tożsamości roboczych

Ciągła ocena dostępu (CAE) dla tożsamości roboczych zapewnia korzyści w zakresie zabezpieczeń dla organizacji. Umożliwia to egzekwowanie w czasie rzeczywistym zasad dotyczących lokalizacji i ryzyka w dostępie warunkowym oraz natychmiastowe egzekwowanie zdarzeń odwołania tokenów dla tożsamości związanych z obciążeniami.

Ciągła ocena dostępu nie obsługuje obecnie tożsamości zarządzanych.

Zakres wsparcia

Ciągła ocena dostępu dla tożsamości zadań roboczych jest obsługiwana tylko w przypadku żądań dostępu wysyłanych do usługi Microsoft Graph jako dostawcy zasobów. W czasie zostanie dodanych więcej dostawców zasobów.

Obsługiwane są jednostki usług dla aplikacji typu LOB (line of business).

Obsługujemy następujące zdarzenia odwołania:

• Wyłączanie jednostki usługi
• Usuwanie jednostki usługi
• Wysokie ryzyko jednostki usługi wykryte przez Ochrona tożsamości Microsoft Entra

Ciągła ocena dostępu dla tożsamości związanych z obciążeniami obsługuje zasady dostępu warunkowego uwzględniające lokalizację i ryzyko.

Włączanie aplikacji

Deweloperzy mogą wyrazić zgodę na ciągłą ocenę dostępu dla tożsamości obciążeń, gdy ich żądania xms_cc interfejsu API są opcjonalne. Oświadczenie xms_cc z wartością cp1 w tokenie dostępu jest autorytatywnym sposobem identyfikowania aplikacji klienckiej zdolnej do obsługiwania wyzwania oświadczeń. Aby uzyskać więcej informacji na temat sposobu działania tej funkcji w aplikacji, zobacz artykuł Wyzwania dotyczące oświadczeń, żądania oświadczeń i możliwości klienta.

Wyłącz

Aby zrezygnować, nie wysyłaj xms_cc roszczenia z wartością cp1.

Organizacje, które mają identyfikację Entra ID P1 lub P2 firmy Microsoft, mogą utworzyć zasadę dostępu warunkowego, aby wyłączyć ciągłą ocenę dostępu stosowaną do określonych tożsamości obciążeń roboczych jako środek natychmiastowego zatrzymania.

Rozwiązywanie problemów

Gdy dostęp klienta do zasobu zostanie zablokowany z powodu wyzwolenia Ciągłej Oceny Dostępu, sesja klienta zostanie unieważniona i klient musi się ponownie uwierzytelnić. To zachowanie można zweryfikować w dziennikach logowania.

W poniższych krokach szczegółowo opisano, jak administrator może zweryfikować działanie logowania w dziennikach logowania:

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Czytelnik zabezpieczeń.
2. Przejdź do Tożsamość>Monitorowanie i kondycja>Dzienniki logowań>.Logowania jednostki usługi. Możesz użyć filtrów, aby ułatwić proces debugowania.
3. Aby wyświetlić szczegóły działania, wybierz wpis. Pole Ocena ciągłego dostępu wskazuje, czy token CAE został wystawiony w określonej próbie logowania.

Powiązana zawartość

• Rejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft i tworzenie jednostki usługi
• Jak używać interfejsów API z włączoną ciągłą oceną dostępu w swoich aplikacjach
• Przykładowa aplikacja korzystająca z oceny ciągłego dostępu
• Zabezpieczanie tożsamości obciążeń za pomocą Microsoft Entra ID Protection
• Co to jest ciągła ocena dostępu?