Avaliação contínua de acesso para identidades de carga de trabalho
A CAE (avaliação contínua de acesso) para identidades de carga de trabalho oferece benefícios de segurança para sua organização. Ela permite a aplicação em tempo real da localização e das políticas de risco do Acesso Condicional, juntamente com a aplicação instantânea de eventos de revogação de token para identidades de carga de trabalho.
Atualmente, a avaliação contínua de acesso não dá suporte a identidades gerenciadas.
Escopo do suporte
A avaliação de acesso contínuo para identidades de carga de trabalho tem suporte apenas em solicitações de acesso enviadas ao Microsoft Graph como um provedor de recursos. Mais provedores de recursos serão adicionados ao longo do tempo.
Há suporte para entidades de serviço para aplicativos de linha de negócios (LOB).
Damos suporte aos seguintes eventos de revogação:
- Desabilitar a entidade de serviço
- Excluir a entidade de serviço
- Alto risco de entidade de serviço, conforme detectado pelo Microsoft Entra ID Protection
A avaliação contínua de acesso para identidades de carga de trabalho dá suporte a políticas de Acesso Condicional direcionadas ao local e ao risco.
Habilitar o aplicativo
Os desenvolvedores podem aceitar a Avaliação contínua de acesso para identidades de carga de trabalho quando a API solicitar xms_cc
como uma declaração opcional. A declaração xms_cc
com um valor de cp1
no token de acesso é a maneira autoritativa de identificar um aplicativo cliente capaz de lidar com um desafio de declarações. Para obter mais informações sobre como fazer isso no aplicativo, confira o artigo, Desafios de declarações, solicitações de declarações e funcionalidades do cliente.
Desabilitar
Para recusar, não envie a declaração xms_cc
com um valor de cp1
.
As organizações que têm o Microsoft Entra ID P1 ou P2 podem criar uma política de Acesso Condicional para desabilitar a avaliação contínua de acesso aplicada a identidades de carga de trabalho específicas como uma medida de interrupção imediata.
Solução de problemas
Quando o acesso de um cliente a um recurso for bloqueado por conta do acionamento da CAE, a sessão do cliente será revogada e o cliente precisará ser reautenticado. Esse comportamento pode ser verificado nos logs de entrada.
As etapas a seguir detalham como um administrador pode verificar a atividade de entrada nos respectivos logs:
- Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
- Navegue até Identidade>Monitoramento e integridade>Logs de entrada>Entradas da entidade de segurança de serviço. Você pode utilizar filtros para facilitar o processo de depuração.
- Selecione uma entrada para ver os detalhes da atividade. O campo Avaliação contínua de acesso indica se um token da CAE foi emitido em uma tentativa de entrada específica.
Conteúdo relacionado
- Registrar um aplicativo com o Microsoft Entra ID e criar uma entidade de serviço
- Como usar APIs habilitadas para a Avaliação contínua de acesso em seus aplicativos
- Aplicativo de exemplo usando a avaliação contínua de acesso
- Como protegendo identidades de carga de trabalho com Microsoft Entra ID Protection
- O que é a avaliação contínua de acesso?