Valutazione dell'accesso continuo per le identità del carico di lavoro
La valutazione dell'accesso continuo (CAE) per le identità del carico di lavoro offre vantaggi per la sicurezza per l'organizzazione. Consente l'applicazione in tempo reale dei criteri di posizione e rischio di accesso condizionale, insieme all'applicazione immediata degli eventi di revoca dei token per le identità dei carichi di lavoro.
La valutazione dell'accesso continuo non supporta attualmente le identità gestite.
Ambito del supporto
La valutazione dell'accesso continuo per le identità del carico di lavoro è supportata solo nelle richieste di accesso inviate a Microsoft Graph come provider di risorse. Nel corso del tempo verranno aggiunti più provider di risorse.
Sono supportate le entità servizio per le applicazioni line-of-business (LOB).
Sono supportati gli eventi di revoca seguenti:
- Disabilitazione dell'entità servizio
- Eliminazione dell'entità servizio
- Rischio elevato dell'entità servizio rilevato da Microsoft Entra ID Protection
La valutazione dell'accesso continuo per le identità del carico di lavoro supporta i criteri di accesso condizionale destinati alla posizione e al rischio.
Abilitare l'applicazione
Gli sviluppatori possono acconsentire esplicitamente alla valutazione dell'accesso continuo per le identità del carico di lavoro quando le richieste xms_cc API sono un'attestazione facoltativa. L'attestazione xms_cc con un valore di nel token di cp1 accesso è il modo autorevole per identificare un'applicazione client è in grado di gestire una richiesta di attestazioni. Per altre informazioni su come eseguire questa operazione nell'applicazione, vedere l'articolo Richieste di attestazioni, richieste di attestazioni e funzionalità client.
Disabilitazione
Per rifiutare esplicitamente, non inviare l'attestazione xms_cc con il valore cp1.
Le organizzazioni che dispongono di Microsoft Entra ID P1 o P2 possono creare criteri di accesso condizionale per disabilitare la valutazione dell'accesso continuo applicata a identità specifiche del carico di lavoro come misura immediata di stop-gap.
Risoluzione dei problemi
Quando l'accesso di un client a una risorsa viene bloccato a causa dell'attivazione di CAE, la sessione del client viene revocata e il client deve ripetere l'autenticazione. Questo comportamento può essere verificato nei log di accesso.
I passaggi seguenti illustrano in dettaglio come un amministratore può verificare l'attività di accesso nei log di accesso:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
- Passare a Identity>Monitoring & health>Sign-in logs>Service Principal Sign-ins (Accessi entità servizio). È possibile usare i filtri per semplificare il processo di debug.
- Per visualizzare i dettagli dell'attività, selezionare una voce. Il campo valutazione dell'accesso continuo indica se è stato emesso un token CAE in un tentativo di accesso specifico.
Contenuto correlato
- Registrare un'applicazione con Microsoft Entra ID e creare un'entità servizio
- Come usare le API abilitate per la valutazione dell'accesso continuo nelle applicazioni
- Applicazione di esempio che usa la valutazione dell'accesso continuo
- Protezione delle identità del carico di lavoro con Microsoft Entra ID Protection
- Che cos'è la valutazione dell'accesso continuo?
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per