Avaliação contínua de acesso para identidades de carga de trabalho

A avaliação de acesso contínuo (CAE) para identidades de carga de trabalho fornece benefícios de segurança para sua organização. Permite a aplicação em tempo real da localização do Acesso Condicional e das políticas de risco, juntamente com a aplicação imediata de eventos de revogação de tokens para entidades de carga de trabalho.

Atualmente, a avaliação contínua de acesso não oferece suporte a identidades gerenciadas.

Âmbito do apoio

A avaliação contínua de acesso para identidades de carga de trabalho é suportada apenas em solicitações de acesso enviadas ao Microsoft Graph como um provedor de recursos. Mais provedores de recursos serão adicionados ao longo do tempo.

Há suporte para entidades de serviço para aplicativos de linha de negócios (LOB).

Apoiamos os seguintes eventos de revogação:

  • Desativar entidade de serviço
  • Exclusão da entidade de serviço
  • Alto risco principal de serviço, conforme detetado pelo Microsoft Entra ID Protection

A avaliação de acesso contínuo para identidades de carga de trabalho oferece suporte a políticas de Acesso Condicional que visam localização e risco.

Ativar a aplicação

Os desenvolvedores podem optar pela avaliação de acesso contínuo para identidades de carga de trabalho quando suas solicitações xms_cc de API como uma declaração opcional. A xms_cc declaração com um valor de no token de acesso é a maneira autorizada de identificar que um aplicativo cliente é capaz de lidar com um desafio de cp1 declarações. Para obter mais informações sobre como fazer isso funcionar em seu aplicativo, consulte o artigo, Desafios de declarações, solicitações de declarações e recursos do cliente.

Desativar

Para optar por não participar, não envie a xms_cc reclamação com um valor de cp1.

As organizações que têm o Microsoft Entra ID P1 ou P2 podem criar uma política de Acesso Condicional para desabilitar a avaliação de acesso contínuo aplicada a identidades de carga de trabalho específicas como uma medida paliativa imediata.

Resolução de Problemas

Quando o acesso de um cliente a um recurso é bloqueado devido ao CAE ser acionado, a sessão do cliente é revogada e o cliente precisa se autenticar novamente. Esse comportamento pode ser verificado nos logs de entrada.

As etapas a seguir detalham como um administrador pode verificar a atividade de entrada nos logs de entrada:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Monitoramento de identidade>& integridade>Logs de entrada Entradas>da entidade de serviço. Você pode usar filtros para facilitar o processo de depuração.
  3. Para ver os detalhes da atividade, selecione uma entrada. O campo Avaliação de acesso contínuo indica se um token CAE foi emitido em uma tentativa de entrada específica.