工作負載身分識別的持續性存取評估
工作負載身分識別的持續性存取評估 (CAE) 會為組織提供安全性優勢。 其可啟用即時強制執行條件式存取位置和風險原則,以及立即強制執行工作負載身分識別的權杖撤銷事件。
持續性存取評估目前不支援受控身份管理。
支援範圍
僅支援針對作為資源提供者的 Microsoft Graph 所傳送的存取要求進行工作負載身份的持續存取評估。 將會隨時新增更多資源提供者。
支援企業營運 (LOB) 應用程式的服務主體。
我們支援下列撤銷事件:
- 服務主體停用
- 服務主體刪除
- Microsoft Entra ID Identity Protection 偵測到的高服務主體風險
工作負載身分識別的持續存取評估支援針對位置和風險的條件性存取政策。
啟用應用程式
當工作負載身分識別的 API 要求 xms_cc 作為選用宣告時,開發人員可以選擇加入持續性存取評估。 存取權杖中值為 xms_cc 的 cp1 宣告,是識別用戶端應用程式是否能夠處理宣告挑戰的授權方式。 如需如何在應用程式中執行這項工作的詳細資訊,請參閱宣告挑戰、宣告要求和用戶端功能一文。
停用
若要退出,請不要傳送值為 xms_cc 的 cp1 宣告。
擁有 Microsoft Entra ID P1 或 P2 的組織可以建立一個條件式存取原則,將其應用於特定工作負載的身分識別,以停用持續性存取評估,作為立即的權宜之計。
疑難排解
當由於觸發 CAE 封鎖了用戶對資源的存取時,用戶的會話將被取消,且需要重新驗證。 您可以在登入記錄中驗證此行為。
下列步驟詳述管理員如何在登入記錄中驗證登入活動:
- 至少以安全性讀取者的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[監視與健康情況]>[登入記錄]>[服務主體登入]。您可以使用篩選條件來簡化偵錯流程。
- 若要查看活動詳細資料,請選取項目。 [連續性存取評估] 欄位指出是否已在特定登入嘗試中核發 CAE 權杖。