Fortlaufende Zugriffsevaluierung für Workloadidentitäten

Fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) für Workloadidentitäten bietet Sicherheitsvorteile für Ihre Organisation. Sie ermöglicht die Echtzeiterzwingung von Standort- und Risikorichtlinien für bedingten Zugriff sowie die sofortige Erzwingung von Tokenwiderrufereignissen für Workloadidentitäten.

Die fortlaufende Zugriffsevaluierung unterstützt derzeit keine verwalteten Identitäten.

Supportumfang

Fortlaufende Zugriffsevaluierung für Workloadidentitäten wird nur bei Zugriffsanforderungen unterstützt, die an Microsoft Graph als Ressourcenanbieter gesendet werden. Im Lauf der Zeit werden weitere Ressourcenanbieter hinzugefügt.

Dienstprinzipale für Branchenanwendungen (LOB, Line of Business) werden unterstützt.

Wir unterstützen die folgenden Widerrufereignisse:

  • Deaktivieren von Dienstprinzipalen
  • Löschen von Dienstprinzipalen
  • Hohes Dienstprinzipalrisiko, wie von Microsoft Entra ID Protection erkannt

Die fortlaufende Zugriffsevaluierung für Workloadidentitäten unterstützt standort- und risikobasierte Richtlinien für bedingten Zugriff.

Aktivieren der Anwendung

Entwickler können sich für die fortlaufende Zugriffsevaluierung für Workloadidentitäten entscheiden, wenn ihre API xms_cc als optionalen Anspruch anfordert. Der Anspruch xms_cc mit dem Wert cp1 im Zugriffstoken ist die autoritative Methode, um zu bestimmen, ob eine Clientanwendung eine Anspruchsaufforderung behandeln kann. Weitere Informationen dazu, wie dies in Ihrer Anwendung funktioniert, finden Sie im Artikel Anspruchsaufforderungen, Anspruchsanforderungen und Clientfunktionen.

Deaktivieren

Senden Sie zum Deaktivieren den Anspruch xms_cc nicht mit dem Wert cp1.

Organisationen mit Microsoft Entra ID P1 oder P2 können eine Richtlinie für bedingten Zugriff erstellen, um die fortlaufende Zugriffsevaluierung zu deaktivieren, die als direkte Überbrückungsmaßnahme auf bestimmte Workloadidentitäten angewendet wird.

Problembehandlung

Wenn der Zugriff eines Clients auf eine Ressource blockiert wird, da die fortlaufende Zugriffsevaluierung ausgelöst wird, wird die Clientsitzung widerrufen, und der Client muss erneut authentifiziert werden. Dieses Verhalten kann in den Anmeldeprotokollen überprüft werden.

Die folgenden Schritte zeigen, wie ein Administrator die Anmeldeaktivität in den Anmeldeprotokollen überprüfen kann:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
  2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle>Dienstprinzipalanmeldungen. Sie können Filter verwenden, um den Debuggenprozess zu vereinfachen.
  3. Um Aktivitätsdetails anzuzeigen, wählen Sie einen Eintrag aus. Das Feld Fortlaufende Zugriffsevaluierung gibt an, ob ein CAE-Token bei einem bestimmten Anmeldeversuch ausgestellt wurde.