适用于工作负载标识的连续访问评估
工作负载标识的持续访问评估 (CAE) 可为组织提供安全优势。 它能对条件访问位置和风险策略进行实时强制,同时对工作负载标识执行令牌吊销事件。
持续访问评估当前不支持托管标识。
支持范围
仅当作为资源提供程序发送到 Microsoft Graph 的访问请求时,才支持工作负载标识的连续访问评估。 随着时间的推移,还将增加更多的资源提供程序。
支持业务线 (LOB) 应用程序的服务主体。
支持以下吊销事件:
- 禁用服务主体
- 删除服务主体
- Microsoft Entra ID 保护检测到的高服务主体风险
工作负载标识的持续访问评估支持面向位置和风险的条件访问策略。
启用应用程序
开发人员可以选择在 API 请求xms_cc
作为可选声明时对工作负载标识进行持续访问评估。 访问令牌中值为cp1
的xms_cc
声明是确定客户端应用程序能否处理声明质询的权威方式。 有关如何在应用程序中执行此操作的详细信息,请参阅相关文章的声明质询、声明请求和客户端功能。
禁用
要想选择推出,不要发送值为cp1
的xms_cc
声明。
有 Microsoft Entra ID P1 或 P2 的组织可以创建一项可禁用连续访问评估的条件访问策略,该策略应用于作为临时措施的特定工作负载标识。
疑难解答
当由于触发 CAE 而阻止客户端访问资源时,将撤销客户端的会话,并且客户端需要重新进行身份验证。 该行为可在登录日志中验证。
以下步骤详细介绍了管理员如何在登录日志中验证登录活动:
- 至少以安全读取者身份登录到 Microsoft Entra 管理中心。
- 浏览至“标识”>“监视和运行状况”>“登录日志”>“服务主体登录”。可以使用筛选器来简化调试过程。
- 若要查看活动详细信息,请选择一个条目。 持续访问评估字段显示在特定登录尝试中是否发放 CAE 令牌。