適用於工作負載身分識別的持續性存取評估
工作負載身分識別的持續性存取評估 (CAE) 會為組織提供安全性優勢。 其可啟用即時強制執行條件式存取位置和風險原則,以及立即強制執行工作負載身分識別的權杖撤銷事件。
持續性存取評估目前不支援受控身分識別。
支援範圍
僅針對作為資源提供者傳送至 Microsoft Graph 的存取要求支援適用於工作負載身分識別的持續性存取評估。 將會隨時新增更多資源提供者。
支援企業營運 (LOB) 應用程式的服務主體。
我們支援下列撤銷事件:
- 服務主體停用
- 服務主體刪除
- Microsoft Entra ID Identity Protection 偵測到的高服務主體風險
工作負載身分識別的持續性存取評估支援目標設為位置和風險的條件式存取原則。
啟用應用程式
當工作負載身分識別的 API 要求 xms_cc 作為選用宣告時,開發人員可以選擇持續性存取評估工作負載身分識別。 存取權杖中值為 cp1 的 xms_cc 宣告,是識別用戶端應用程式是否能夠處理宣告挑戰的授權方式。 如需如何在應用程式中執行這項工作的詳細資訊,請參閱宣告挑戰、宣告要求和用戶端功能一文。
停用
若要退出,請不要傳送值為 cp1 的 xms_cc 宣告。
擁有 Microsoft Entra ID P1 或 P2 的組織可以建立條件式存取原則以停用持續性存取評估,而持續性存取評估套用至特定工作負載身分識別,以作為目前的權宜措施。
疑難排解
因觸發 CAE 而封鎖用戶端對資源的存取權時,將會撤銷用戶端的工作階段,而且用戶端需要重新驗證。 您可以在登入記錄中驗證此行為。
下列步驟詳述管理員如何在登入記錄中驗證登入活動:
- 至少以安全性讀取者 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[監視與健康情況]>[登入記錄]>[服務主體登入]。您可以使用篩選條件來簡化偵錯流程。
- 若要查看活動詳細資料,請選取項目。 [連續性存取評估] 欄位指出是否已在特定登入嘗試中核發 CAE 權杖。