Оценка непрерывного доступа для удостоверений рабочей нагрузки

Непрерывная оценка доступа (CAE) для удостоверений рабочих нагрузок обеспечивает для вашей организации преимущества в области безопасности. Функция в режиме реального времени активирует применение политик условного доступа в отношении расположения и рисков, а также мгновенное применение событий отзыва токенов для удостоверений рабочих нагрузок.

Непрерывная оценка доступа сейчас не поддерживает управляемые удостоверения.

Область поддержки

Оценка непрерывного доступа для удостоверений рабочей нагрузки поддерживается только при запросах доступа, отправленных в Microsoft Graph в качестве поставщика ресурсов. С течением времени будут добавлены дополнительные поставщики ресурсов.

Поддерживаются субъекты-службы для бизнес-приложений .

Мы поддерживаем следующие события отзыва:

  • отключение субъекта-службы;
  • удаление субъекта-службы;
  • Высокий риск субъекта-службы, обнаруженный Защита идентификации Microsoft Entra

Непрерывная оценка доступа для удостоверений рабочих нагрузок поддерживает политики условного доступа, относящиеся к расположению и риску.

Включение приложения

Разработчики могут явно согласиться на применение непрерывной оценки доступа для удостоверений рабочих нагрузок, когда API запрашивает xms_cc в качестве необязательного утверждения. Утверждение xms_cc со значением cp1 в маркере доступа — полномочный способ понять, что клиентское приложение способно обрабатывать требования утверждений. Дополнительные сведения о том, как выполнить эту задачу в приложении, см. в статье Требования и запросы утверждений и возможности клиента.

Отключить

Чтобы отказаться от применения функции, не отправляйте утверждение xms_cc со значением cp1.

Организации, имеющие идентификатор Microsoft Entra ID P1 или P2, могут создать политику условного доступа, чтобы отключить оценку непрерывного доступа, примененную к определенным удостоверениям рабочей нагрузки в качестве немедленной меры остановки разрыва.

Устранение неполадок

Когда доступ клиента к ресурсу заблокирован из-за активации ЦС, сеанс клиента отменяется, а клиент должен повторно пройти проверку подлинности. Это поведение можно проверить в журналах входа.

Ниже объясняется, как администратор может проверить действия входа в журналах входа:

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите к журналам>входа субъекта-службы мониторинга удостоверений и>работоспособности.> Фильтры можно использовать для упрощения процесса отладки.
  3. Чтобы просмотреть сведения о действиях, выберите запись. В поле непрерывной оценки доступа указано, был ли выдан токен CAE при определенной попытке входа.