Valutazione dell'accesso continuo per le identità del carico di lavoro

La valutazione dell'accesso continuo (CAE) per le identità del carico di lavoro offre vantaggi per la sicurezza per l'organizzazione. Consente l'applicazione in tempo reale dei criteri di posizione e rischio di accesso condizionale, insieme all'applicazione immediata degli eventi di revoca dei token per le identità dei carichi di lavoro.

La valutazione dell'accesso continuo non supporta attualmente le identità gestite.

Ambito del supporto

La valutazione dell'accesso continuo per le identità del carico di lavoro è supportata solo nelle richieste di accesso inviate a Microsoft Graph come provider di risorse. Nel corso del tempo verranno aggiunti più provider di risorse.

Sono supportate le entità servizio per le applicazioni line-of-business (LOB).

Sono supportati gli eventi di revoca seguenti:

  • Disabilitazione dell'entità servizio
  • Eliminazione dell'entità servizio
  • Rischio elevato dell'entità servizio rilevato da Microsoft Entra ID Protection

La valutazione dell'accesso continuo per le identità del carico di lavoro supporta i criteri di accesso condizionale destinati alla posizione e al rischio.

Abilitare l'applicazione

Gli sviluppatori possono acconsentire esplicitamente alla valutazione dell'accesso continuo per le identità del carico di lavoro quando le richieste xms_cc API sono un'attestazione facoltativa. L'attestazione xms_cc con un valore di nel token di cp1 accesso è il modo autorevole per identificare un'applicazione client è in grado di gestire una richiesta di attestazioni. Per altre informazioni su come eseguire questa operazione nell'applicazione, vedere l'articolo Richieste di attestazioni, richieste di attestazioni e funzionalità client.

Disabilitazione

Per rifiutare esplicitamente, non inviare l'attestazione xms_cc con il valore cp1.

Le organizzazioni che dispongono di Microsoft Entra ID P1 o P2 possono creare criteri di accesso condizionale per disabilitare la valutazione dell'accesso continuo applicata a identità specifiche del carico di lavoro come misura immediata di stop-gap.

Risoluzione dei problemi

Quando l'accesso di un client a una risorsa viene bloccato a causa dell'attivazione di CAE, la sessione del client viene revocata e il client deve ripetere l'autenticazione. Questo comportamento può essere verificato nei log di accesso.

I passaggi seguenti illustrano in dettaglio come un amministratore può verificare l'attività di accesso nei log di accesso:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
  2. Passare a Identity>Monitoring & health>Sign-in logs>Service Principal Sign-ins (Accessi entità servizio). È possibile usare i filtri per semplificare il processo di debug.
  3. Per visualizzare i dettagli dell'attività, selezionare una voce. Il campo valutazione dell'accesso continuo indica se è stato emesso un token CAE in un tentativo di accesso specifico.