Évaluation continue de l’accès pour les identités de charge de travail

L’évaluation continue de l’accès (CAE) pour les identités de charge de travail offre des avantages de sécurité pour votre organisation. Elle permet l’application en temps réel des stratégies d’accès conditionnel qui ciblent l’emplacement et le risque ainsi que l’application instantanée des événements de révocation de jetons pour les identités de charge de travail.

L’évaluation continue de l’accès ne prend pas en charge les identités managées.

Étendue du support

L’évaluation continue de l’accès pour les identités de charge de travail est prise en charge uniquement sur les demandes d’accès envoyées à Microsoft Graph en tant que fournisseur de ressources. D'autres fournisseur de ressources seront ajoutés progressivement.

Les principaux de service pour les applications métier sont pris en charge.

Nous prenons en charge les événements de révocation suivants :

  • Désactivation du principal de service
  • Suppression du principal de service
  • Risque de principal de service élevé détecté par Microsoft Entra ID Protection

L’évaluation continue de l’accès pour les identités de charge de travail prend en charge les stratégies d’accès conditionnel qui ciblent l’emplacement et le risque.

Activer votre application

Les développeurs peuvent choisir l’évaluation continue de l’accès pour les identités de charge de travail quand leur API demande xms_cc en tant que revendication facultative. La revendication xms_cc dont la valeur est cp1 dans le jeton d’accès est la méthode faisant autorité pour identifier une application cliente capable de gérer une contestation de revendication. Pour plus d’informations sur la façon dont cela fonctionne dans votre application, consultez l’article Contestations liées aux revendications, demandes de revendications, et fonctionnalités clientes.

Désactiver

Pour ne pas accepter, n’envoyez pas la revendication xms_cc avec la valeur cp1.

Les organisations qui disposent de Microsoft Entra ID P1 ou P2 peuvent créer une stratégie d’accès conditionnel pour désactiver l’évaluation continue de l’accès, qui s’applique à des identités de charge de travail spécifiques, en tant que mesure d’arrêt immédiate.

Dépannage

Quand l’accès d’un client à une ressource est bloqué en raison du déclenchement de l’évaluation continue de l’accès (CAE), la session du client est révoquée, et le client doit se réauthentifier. Ce comportement peut être vérifié dans les journaux de connexion.

Les étapes suivantes expliquent en détail comment un administrateur peut vérifier l’activité de connexion dans les journaux de connexion :

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant que Lecteur de sécurité.
  2. Accédez à Identité>Surveillance et intégrité>Journaux de connexion>Connexions du principal de service. Vous pouvez utiliser des filtres pour faciliter le processus de débogage.
  3. Pour afficher les détails de l’activité, sélectionnez une entrée. Le champ Évaluation continue de l’accès indique si un jeton d’évaluation continue de l’accès (CAE) a été émis au cours d’une tentative de connexion particulière.