Utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter
Utvärdering av kontinuerlig åtkomst (CAE) för arbetsbelastningsidentiteter ger din organisation säkerhetsfördelar. Det möjliggör tillämpning i realtid av plats- och riskprinciper för villkorsstyrd åtkomst samt omedelbar tillämpning av tokenåterkallningshändelser för arbetsbelastningsidentiteter.
Utvärdering av kontinuerlig åtkomst stöder för närvarande inte hanterade identiteter.
Omfattning av stöd
Utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter stöds endast för åtkomstbegäranden som skickas till Microsoft Graph som resursprovider. Fler resursproviders läggs till över tid.
Tjänstens huvudnamn för verksamhetsspecifika program stöds.
Vi stöder följande återkallningshändelser:
- Inaktivera tjänstens huvudnamn
- Borttagning av tjänstens huvudnamn
- Hög huvudrisk för tjänsten som identifieras av Microsoft Entra ID Protection
Utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter stöder principer för villkorsstyrd åtkomst som är avsedda för plats och risk.
Aktivera ditt program
Utvecklare kan välja att delta i kontinuerlig åtkomstutvärdering för arbetsbelastningsidentiteter när deras API-förfrågningar innehåller xms_cc som ett valfritt anspråk. Anspråket xms_cc med värdet cp1 i åtkomsttoken är den auktoritativa metoden för att identifiera om en klientapplikation kan hantera en anspråksutmaning. Mer information om hur du får detta att fungera i ditt program finns i artikeln Anspråksutmaningar, anspråksbegäranden och klientfunktioner.
Inaktivera
Om du vill avanmäla dig ska du inte skicka anspråket xms_cc med värdet cp1.
Organisationer som har Microsoft Entra ID P1 eller P2 kan skapa en policy för villkorsstyrd åtkomst för att inaktivera kontinuerlig åtkomstutvärdering som tillämpas på specifika arbetsflödesidentiteter som en tillfällig lösning.
Felsökning
När en klients åtkomst till en resurs blockeras på grund av att CAE utlöses återkallas klientens session och klienten måste autentiseras igen. Det här beteendet kan verifieras i inloggningsloggarna.
Följande steg beskriver hur en administratör kan verifiera inloggningsaktiviteten i inloggningsloggarna:
- Logga in på Microsoft Entra administrationscenter som minst en Säkerhetsläsare.
- Bläddra till Identitet>Övervakning och hälsa>Inloggningsloggar>Inloggningar med tjänstens huvudnamn. Du kan använda filter för att underlätta felsökningsprocessen.
- Om du vill se aktivitetsinformation väljer du en post. Fältet Utvärdering av kontinuerlig åtkomst anger om en CAE-token har utfärdats i ett visst inloggningsförsök.
Relaterat innehåll
- Registrera ett program med Microsoft Entra-ID och skapa ett huvudnamn för tjänsten
- Så här använder du API:er för kontinuerlig åtkomstutvärdering i dina program
- Exempelprogram med kontinuerlig åtkomstutvärdering
- Skydda arbetslastidentiteter med Microsoft Entra ID Protection
- Vad är kontinuerlig åtkomstutvärdering?