适用于工作负载标识的连续访问评估

工作负载标识的持续访问评估 (CAE) 可为组织提供安全优势。 它能对条件访问位置和风险策略进行实时强制,同时对工作负载标识执行令牌吊销事件。

持续访问评估当前不支持托管标识。

支持范围

仅当作为资源提供程序发送到 Microsoft Graph 的访问请求时,才支持工作负载标识的连续访问评估。 随着时间的推移,还将增加更多的资源提供程序。

支持业务线 (LOB) 应用程序的服务主体。

支持以下吊销事件:

  • 禁用服务主体
  • 删除服务主体
  • Microsoft Entra ID 保护检测到的高服务主体风险

工作负载标识的持续访问评估支持面向位置和风险的条件访问策略

启用应用程序

开发人员可以选择在 API 请求xms_cc作为可选声明时对工作负载标识进行持续访问评估。 访问令牌中值为cp1xms_cc声明是确定客户端应用程序能否处理声明质询的权威方式。 有关如何在应用程序中执行此操作的详细信息,请参阅相关文章的声明质询、声明请求和客户端功能

禁用

要想选择推出,不要发送值为cp1xms_cc声明。

有 Microsoft Entra ID P1 或 P2 的组织可以创建一项可禁用连续访问评估的条件访问策略,该策略应用于作为临时措施的特定工作负载标识。

疑难解答

当由于触发 CAE 而阻止客户端访问资源时,将撤销客户端的会话,并且客户端需要重新进行身份验证。 该行为可在登录日志中验证。

以下步骤详细介绍了管理员如何在登录日志中验证登录活动:

  1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“监视和运行状况”>“登录日志”>“服务主体登录”。可以使用筛选器来简化调试过程。
  3. 若要查看活动详细信息,请选择一个条目。 持续访问评估字段显示在特定登录尝试中是否发放 CAE 令牌。