ワークロード ID の継続的アクセス評価
ワークロード ID の継続的アクセス評価 (CAE) は、組織にセキュリティ上の利点をもたらします。 これにより、条件付きアクセスの場所とリスク ポリシーをリアルタイムで適用し、ワークロード ID のトークン失効イベントを即時に適用できます。
継続的アクセス評価では、現在、マネージド ID はサポートされていません。
サポートのスコープ
ワークロード ID の継続的なアクセス評価は、リソース プロバイダーとして Microsoft Graph に送信されたアクセス要求でのみサポートされます。 今後、さらに多くのサービスが追加される予定です。
基幹業務 (LOB) アプリケーションのサービス プリンシパルがサポートされています。
次の失効イベントがサポートされています。
- サービス プリンシパルの無効化
- サービス プリンシパルの削除
- Microsoft Entra ID Protection によって検出された高いサービス プリンシパル リスク
ワークロード ID の継続的アクセス評価では、場所とリスクを対象とする条件付きアクセス ポリシーがサポートされます。
アプリケーションを有効にする
開発者は、API がオプションのクレームとして xms_cc を要求したときに、ワークロード ID の継続的アクセス評価をオプトインできます。 アクセス トークン内の値が cp1 の xms_cc クレームは、クライアント アプリケーションがクレーム チャレンジを処理できることを識別するための信頼できる方法です。 アプリケーションでこの作業を行う方法の詳細については、「クレーム チャレンジ、クレーム要求、およびクライアントの機能」の記事を参照してください。
無効にする
オプトアウトするには、値が cp1 の xms_cc クレームを送信しないでください。
Microsoft Entra ID P1 または P2 を持つ組織は、条件付きアクセス ポリシーを作成して、特定のワークロード ID に適用される継続的アクセス評価を即時の応急策として無効にすることができます。
トラブルシューティング
CAE がトリガーされたためにクライアントのリソースへのアクセスがブロックされると、クライアントのセッションは取り消され、クライアントは再認証する必要があります。 この動作は、サインイン ログで確認できます。
次の手順では、管理者がサインイン ログでサインイン アクティビティを確認する方法について詳しく説明します。
- Microsoft Entra 管理センターにセキュリティ閲覧者以上としてサインインします。
- [ID]>[監視と正常性]>[サインイン ログ]>[サービス プリンシパルのサインイン] の順に移動します。フィルターを使用してデバッグ プロセスを簡単にすることができます。
- アクティビティの詳細を表示するには、エントリを選択します。 [継続的アクセス評価] フィールドは、CAE トークンが特定のサインイン試行で発行されたかどうかを示します。