Partilhar via


Avaliação contínua de acesso para identidades de carga de trabalho

A avaliação de acesso contínuo (CAE) para identidades de carga de trabalho fornece benefícios de segurança para sua organização. Permite a aplicação em tempo real das políticas de localização e de risco do Acesso Condicional, juntamente com a aplicação imediata de eventos de revogação de tokens para identidades de cargas de trabalho.

Atualmente, a avaliação contínua de acesso não oferece suporte a identidades gerenciadas.

Âmbito do apoio

A avaliação contínua de acesso para identidades de carga de trabalho é suportada apenas em solicitações de acesso enviadas ao Microsoft Graph como um provedor de recursos. Mais provedores de recursos serão adicionados ao longo do tempo.

Há suporte para entidades de serviço para aplicativos de linha de negócios (LOB).

Apoiamos os seguintes eventos de revogação:

  • Desativar entidade de serviço
  • Eliminar entidade de serviço
  • Alto risco principal de serviço, conforme detetado pelo Microsoft Entra ID Protection

A avaliação de acesso contínuo para identidades de carga de trabalho oferece suporte a políticas de Acesso Condicional que visam localização e risco.

Ativar a aplicação

Os desenvolvedores podem aderir à avaliação contínua de acesso para identidades de trabalho quando suas solicitações de API incluem xms_cc como uma reivindicação opcional. A xms_cc declaração com um valor de cp1 no token de acesso é a maneira autorizada de identificar que um aplicativo cliente é capaz de lidar com um desafio de declarações. Para obter mais informações sobre como fazer isso funcionar na sua aplicação, consulte o artigo, Desafios de reivindicações, solicitações de reivindicações e capacidades do cliente.

Desativar

Para optar por não participar, não envie a xms_cc reclamação com um valor de cp1.

As organizações que têm o Microsoft Entra ID P1 ou P2 podem criar uma política de Acesso Condicional para desabilitar a avaliação de acesso contínuo aplicada a identidades de carga de trabalho específicas como uma medida paliativa imediata.

Resolução de Problemas

Quando o acesso de um cliente a um recurso é bloqueado devido ao CAE ser acionado, a sessão do cliente é revogada e o cliente precisa se autenticar novamente. Esse comportamento pode ser verificado nos registos de login.

As etapas a seguir detalham como um administrador pode verificar a atividade de entrada nos logs de entrada:

  1. Entre no Centro de Administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até IdentidadeMonitorização & SaúdeRegistos de Início de SessãoInícios de sessão de Principal de Serviço. Pode usar filtros para facilitar o processo de depuração.
  3. Para ver os detalhes da atividade, selecione uma entrada. O campo Avaliação Contínua de Acesso indica se um token CAE foi emitido numa tentativa específica de início de sessão.