워크로드 ID에 대한 지속적인 액세스 권한 평가
워크로드 ID에 대한 CAE(지속적인 액세스 권한 평가)는 보안 이점을 조직에 제공합니다. 워크로드 ID에 대한 토큰 해지 이벤트의 즉각적인 적용과 함께 조건부 액세스 위치 및 위험 정책의 실시간 적용을 사용하도록 설정합니다.
지속적인 액세스 권한 평가는 현재 관리 ID를 지원하지 않습니다.
지원 범위
워크로드 ID에 대한 지속적인 액세스 권한 평가는 Microsoft Graph에 리소스 공급자로 전송된 액세스 요청에서만 지원됩니다. 시간이 지남에 따라 더 많은 리소스 공급자가 추가될 예정입니다.
LOB(사업 부문) 애플리케이션에 대한 서비스 주체가 지원됩니다.
지원하는 해지 이벤트는 다음과 같습니다.
- 서비스 주체 사용 안 함
- 서비스 주체 삭제
- Microsoft EntraID Protection에서 탐지한 높은 서비스 주체 위험
워크로드 ID에 대한 지속적인 액세스 권한 평가는 위치 및 위험을 대상으로 하는 조건부 액세스 정책을 지원합니다.
애플리케이션 사용
API에서 선택적 클레임으로 xms_cc
를 요청하는 경우 개발자는 워크로드 ID에 대한 지속적인 액세스 권한 평가를 옵트인할 수 있습니다. 액세스 토큰에서 값이 cp1
인 xms_cc
클레임은 클라이언트 애플리케이션에서 클레임 챌린지를 처리할 수 있는지 여부를 식별하는 신뢰할 수 있는 방법입니다. 애플리케이션에서 이 작업을 수행하는 방법에 대한 자세한 내용은 클레임 챌린지, 클레임 요청 및 클라이언트 기능 문서를 참조하세요.
사용 안 함
옵트아웃하려면 값이 cp1
인 xms_cc
클레임을 보내지 않습니다.
Microsoft Entra ID P1 또는 P2이 있는 조직에서는 즉각적인 임시 수단으로 특정 워크로드 ID에 적용되는 지속적인 액세스 권한 평가를 사용하지 않도록 설정하는 조건부 액세스 정책을 만들 수 있습니다.
문제 해결
CAE가 트리거되어 리소스에 대한 클라이언트의 액세스가 차단되면 클라이언트의 세션이 해지되고 클라이언트에서 다시 인증해야 합니다. 이 동작은 로그인 로그에서 확인할 수 있습니다.
다음 단계에서는 관리자가 로그인 로그에서 로그인 활동을 확인할 수 있는 방법을 자세히 설명합니다.
- Microsoft Entra 관리 센터에 보안 읽기 권한자 이상의 권한으로 로그인합니다.
- ID>모니터링 및 상태>로그인 로그>서비스 주체 로그인으로 이동합니다. 필터를 사용하여 디버깅 프로세스를 용이하게 할 수 있습니다.
- 항목을 선택하여 활동 세부 정보를 봅니다. 지속적인 액세스 권한 평가 필드에서 특정 로그인 시도에서 CAE 토큰이 발급되었는지 여부를 나타냅니다.