Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’évaluation continue de l’accès (CAE) pour les identités de charge de travail offre des avantages de sécurité à votre organisation. Elle permet l’application en temps réel des stratégies d’accès conditionnel qui ciblent l’emplacement et le risque ainsi que l’application instantanée des événements de révocation de jetons pour les identités de charge de travail.
L’évaluation continue de l’accès ne prend pas en charge les identités managées.
Étendue du support
L’évaluation continue de l’accès pour les identités de charge de travail est prise en charge uniquement sur les demandes d’accès envoyées à Microsoft Graph en tant que fournisseur de ressources. D'autres fournisseur de ressources seront ajoutés progressivement.
Les principaux de service pour les applications métier sont pris en charge.
Nous prenons en charge les événements de révocation suivants :
- Désactivation du principal de service
- Suppression du principal de service
- Risque de principal de service élevé détecté par Microsoft Entra ID Protection
L'évaluation continue de l'accès pour les identités de travail prend en charge les stratégies d'accès conditionnel qui ciblent l'emplacement et le risque.
Activer votre application
Les développeurs peuvent choisir l’évaluation continue de l’accès pour les identités de charge de travail quand leur API demande xms_cc en tant que revendication facultative. La revendication xms_cc dont la valeur est cp1 dans le jeton d’accès est la méthode faisant autorité pour identifier une application cliente capable de gérer une contestation de revendication. Pour plus d’informations sur le fonctionnement de cette opération dans votre application, consultez l’article, les défis liés aux revendications, les demandes de revendications et les fonctionnalités du client.
Désactiver
Pour ne pas accepter, n’envoyez pas la revendication xms_cc avec la valeur cp1.
Les organisations qui ont Microsoft Entra ID P1 ou P2 peuvent créer une stratégie d’accès conditionnel pour désactiver l’évaluation d’accès continu appliquée à des identités de charge de travail spécifiques en tant que mesure immédiate d’interruption.
Dépannage
Quand l’accès d’un client à une ressource est bloqué en raison du déclenchement de l’évaluation continue de l’accès (CAE), la session du client est révoquée, et le client doit se réauthentifier. Ce comportement peut être vérifié dans les journaux de connexion.
Les étapes suivantes expliquent en détail comment un administrateur peut vérifier l’activité de connexion dans les journaux de connexion :
- Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de sécurité au moins.
- Accédez à Entra ID>Surveillance et intégrité>Journaux de connexion>Connexions du principal de service. Vous pouvez utiliser des filtres pour faciliter le processus de débogage.
- Pour afficher les détails de l’activité, sélectionnez une entrée. Le champ d’évaluation de l’accès continu indique si un jeton CAE a été émis dans une tentative de connexion particulière.
Contenu connexe
- Inscrire une application avec l’ID Microsoft Entra et créer un principal de service
- Utilisation des API activées pour l’évaluation de l’accès continu dans vos applications
- Exemple d’application utilisant l’évaluation continue de l’accès
- Sécurisation des identités de charge de travail avec Microsoft Entra ID Protection
- Qu’est-ce que l’évaluation continue de l’accès ?