Ciągła ocena dostępu dla tożsamości roboczych

Ciągła ocena dostępu (CAE) dla tożsamości roboczych zwiększa bezpieczeństwo organizacji, wprowadzając zasady dostępu warunkowego oraz ryzyka w czasie rzeczywistym. Funkcja CAE natychmiast wymusza zdarzenia odwołania tokenów dla tożsamości obciążeń, co pomaga zapobiec uzyskiwaniu dostępu do zasobów przez jednostki usługi, których bezpieczeństwo jest naruszone.

Wymagania wstępne

• Licencje usługi Workload Identities Premium są wymagane do tworzenia lub modyfikowania zasad dostępu warunkowego w zakresie jednostek usługi. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla tożsamości obciążeń.
• Aby utworzyć lub zmodyfikować zasady dostępu warunkowego, zaloguj się co najmniej jako administrator dostępu warunkowego.
• Usługa CAE dla tożsamości obciążeń obsługuje jednostki usługi z jedną dzierżawą zarejestrowane w dzierżawie. Aplikacje innych firm oferujące SaaS i obsługujące wielu użytkowników są poza zakresem.
• Tożsamości zarządzane nie są obecnie obsługiwane przez usługę CAE dla tożsamości obciążeń.

Jak działa CAE dla tożsamości zadań roboczych

Ciągła Ocena Dostępu (CAE) dla tożsamości obciążenia roboczego rozszerza model oceny ciągłego dostępu na zasady usługi. Gdy podmiot usługi zdecyduje się na CAE, stosuje się następujący przepływ:

1. Jednostka usługi żąda tokenu dostępu od Microsoft Entra ID dla obsługiwanego dostawcy zasobów, deklarując zdolność klienta w parametrze żądania tokenu dotyczącym oświadczeń.
2. Microsoft Entra ID analizuje odpowiednie zasady dostępu warunkowego i wystawia token dostępu z obsługą CAE. Tokeny z obsługą CAE dla identyfikatorów obciążeń to długotrwałe tokeny (LLT) z okresem istnienia do 24 godzin.
3. Podmiot usługi przedstawia token dla dostawcy zasobów (Microsoft Graph).
4. Dostawca zasobów ocenia token względem zdarzeń odwołania i zmian zasad dostępu warunkowego, które są zsynchronizowane z Microsoft Entra ID.
5. Jeśli wystąpi zdarzenie odwołania (takie jak wyłączenie jednostki usługi lub wykrywanie wysokiego ryzyka), dostawca zasobów odrzuci token i zwróci 401 odpowiedź z żądaniem oświadczeń.
6. Klient obsługujący CAE rozwiązuje wyzwanie związane z roszczeniami, żądając nowego tokenu z Microsoft Entra ID, który ponownie ocenia wszystkie warunki przed wydaniem nowego tokenu.

Ponieważ tokeny CAE dla tożsamości roboczych są długotrwałe (do 24 godzin), zmniejszają potrzebę częstych żądań tokenów przy zapewnieniu bezpieczeństwa dzięki ciągłej ewaluacji.

Note

Powyższy przepływ jest zgodny z ogólnym modelem CAE opisanym w temacie Ciągła ocena dostępu. Zachowanie tożsamości obciążenia jest zgodne z tym modelem, ale szczegóły implementacji mogą się różnić.

Aby uzyskać więcej informacji o tym, jak działają wyzwania związane z oświadczeniami, zobacz Wyzwania dotyczące oświadczeń, żądania oświadczeń i możliwości klienta.

Obsługiwane scenariusze

W poniższych sekcjach opisano dostawców zasobów, tożsamości, zdarzenia i zasady obsługiwane przez CAE w kontekście tożsamości obciążeń.

Dostawcy zasobów

Usługa CAE dla tożsamości obciążeń jest obsługiwana tylko w przypadku żądań dostępu wysyłanych do programu Microsoft Graph jako dostawcy zasobów.

Wspierane tożsamości

Obsługiwane są jednostki usług dla aplikacji biznesowych (LOB). Obowiązują następujące ograniczenia:

• Obsługiwane są tylko zasady usługi jednego dzierżawcy zarejestrowane w twojej dzierżawie.
• Aplikacje innych firm typu SaaS i wielodzierżawcze są poza zakresem.
• Tożsamości zarządzane nie są obsługiwane.

Zdarzenia odwołania

Obsługiwane są następujące zdarzenia odwołania:

• Wyłączenie jednostki usługi — administrator wyłącza jednostkę usługi w dzierżawie.
• Usuwanie jednostki usługi — administrator usuwa jednostkę usługi z dzierżawy.
• Wysokie ryzyko jednostki usługi — usługa Microsoft Entra ID Protection wykrywa wysokie ryzyko dla jednostki usługi. Aby uzyskać więcej informacji, zobacz Zabezpieczanie tożsamości obciążeń za pomocą usługi Microsoft Entra ID Protection.

Zasady dostępu warunkowego

Usługa CAE dla tożsamości obciążeniowych obsługuje zasady dostępu warunkowego dotyczące lokalizacji i ryzyka. Aby utworzyć te zasady, zobacz przewodniki krok po kroku w Dostęp warunkowy dla tożsamości roboczych.

Włączanie aplikacji

Deweloperzy mogą wyrazić zgodę na korzystanie ze środowiska CAE dla tożsamości obciążeń, deklarując cp1 możliwość klienta podczas żądania tokenów. Deklarowanie cp1 sygnalizuje usłudze Microsoft Entra ID, że aplikacja kliencka potrafi obsłużyć wyzwania związane z oświadczeniami. Program Microsoft Graph (jedyny obsługiwany dostawca zasobów dla tożsamości obciążenia CAE) wysyła wyzwania związane z roszczeniami tylko do klientów, którzy deklarują tę zdolność.

Aby zadeklarować możliwość CAE, dołącz następujący parametr claims w żądaniu tokenu:

Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}

Metoda deklarowania cp1 możliwości zależy od używanej biblioteki uwierzytelniania. Aby uzyskać szczegółowe przykłady kodu na platformie .NET, Python, JavaScript i innych językach, zobacz:

• Wyzwania związane z roszczeniami, żądania roszczeń i możliwości klienta
• Używaj API z włączoną oceną ciągłego dostępu w aplikacjach

Ważna

Aplikacja nie otrzyma wyzwań związanych z roszczeniami i nie otrzyma tokenów CAE, chyba że jawnie zadeklaruje cp1 możliwość. Aby uzyskać więcej informacji, zobacz Możliwości klienta.

Note

Deklarowanie cp1 to akcja po stronie klienta. Oddzielnie, implementatorzy API (aplikacje zasobów) mogą zażądać xms_cc jako opcjonalnego oświadczenia w manifeście aplikacji w celu wykrycia, czy wywołujący klienci obsługują wyzwania dotyczące oświadczeń. Aby uzyskać dodatkowe informacje, zobacz Odbieranie oświadczenia xms_cc w tokenie dostępu.

Wyłącz

Aby zrezygnować z CAE na poziomie aplikacji, nie wysyłaj możliwości cp1 w parametrze claims żądań tokenu.

Znane ograniczenia

Zapoznaj się z następującymi ograniczeniami przed wdrożeniem CAE dla tożsamości roboczych:

• Tylko program Microsoft Graph. Usługa CAE dla tożsamości obciążeń jest obsługiwana tylko w przypadku żądań dostępu do programu Microsoft Graph. Inni dostawcy zasobów nie są obecnie obsługiwani.
• Tożsamości zarządzane nie są obsługiwane. Obecnie usługa CAE nie obsługuje tożsamości zarządzanych.
• Tylko jednostki usługi z jedną dzierżawą. Obsługiwane są tylko jednolokatorskie jednostki usługi zarejestrowane w dzierżawcy. Aplikacje SaaS innych firm i aplikacje wielodostępne są poza zakresem.
• Moduł CAE wymusza polityki dotyczące lokalizacji i ryzyka. CAE dla tożsamości związanych z obciążeniami wymusza zasady dostępu warunkowego, które są ukierunkowane na lokalizację i ryzyko w czasie rzeczywistym. Aby uzyskać pełną listę warunków dostępu warunkowego obsługiwanych dla tożsamości obciążeń (w tym kontekstów uwierzytelniania), zobacz Dostęp warunkowy dla tożsamości obciążeń.
• Przypisanie zasad opartych na grupach nie jest wymuszane. Zasady dostępu warunkowego przypisane do grupy zawierającej jednostkę usługi nie są wymuszane dla tej jednostki usługi. Zasada musi być przypisana bezpośrednio do głównego obiektu usługi jako tożsamości obciążenia roboczego. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla tożsamości obciążeń.

Monitorowanie środowiska CAE pod kątem tożsamości obciążeń

Administratorzy mogą monitorować aktywność CAE dla tożsamości obciążenia przy użyciu dzienników logowania Microsoft Entra.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Czytelnik zabezpieczeń.
2. Przejdź do obszaru Entra ID>Monitoring i zdrowie>Dzienniki logowania>logowania podmiotów usługi. Użyj filtrów, aby uprościć proces.
3. Wybierz wpis, aby wyświetlić szczegóły działania. Pole Ocena ciągłego dostępu pokazuje, czy token CAE został wystawiony dla określonej próby logowania.

Aby zapoznać się z ogólnymi narzędziami do monitorowania CAE, w tym skoroszytem Analizy Ciągłej Oceny Dostępu i analizą niespójności IP, zobacz Monitorowanie i rozwiązywanie problemów z Ciągłą Oceną Dostępu.

Rozwiązywanie problemów

Gdy zasób z obsługą ciągłej oceny dostępu odrzuca token tożsamości obciążenia, aplikacja powinna obsługiwać wyzwanie dotyczące roszczeń i żądać nowego tokenu z Microsoft Entra ID. Identyfikator Entra firmy Microsoft następnie ponownie ocenia warunki przed podjęciem decyzji, czy wydać nowy token. Aby zbadać ten problem, wykonaj następujące czynności.

Dostęp do elementu usługi jest nieoczekiwanie blokowany:

1. Sprawdź dzienniki logowania w obszarze Logowania jednostki usługi. Wyszukaj wpisy, w których pole Ocena ciągłego dostępu wskazuje, że był zaangażowany token CAE.
2. Sprawdź, czy wystąpiło zdarzenie odwołania: sprawdź, czy główny element usługi został wyłączony, usunięty lub oflagowany jako wysokie ryzyko przez Microsoft Entra ID Protection.
3. Przejrzyj odpowiednie zasady dostępu warunkowego, aby potwierdzić, że źródłowy adres IP jednostki usługi jest uwzględniony w dozwolonej nazwanej lokalizacji.

Jednostka usługi nie otrzymuje tokenów CAE:

• Sprawdź, czy aplikacja deklaruje cp1 możliwość w parametrze oświadczeń żądań tokenu.
• Upewnij się, że aplikacja kieruje się na Microsoft Graph jako dostawcę zasobów. Inni dostawcy zasobów nie są obecnie obsługiwani w przypadku usługi CAE.
• Sprawdź, czy zasada usługi jest aplikacją LOB z pojedynczą dzierżawą zarejestrowaną w twojej dzierżawie.

Niezgodność adresów IP między identyfikatorem Entra firmy Microsoft i dostawcą zasobów:

• Taka sytuacja może wystąpić w przypadku sieci tunelu podzielonego lub konfiguracji serwera proxy. Gdy adresy IP nie są zgodne, Microsoft Entra ID wystawia token CAE ważny przez jedną godzinę i nie wymusza zmiany lokalizacji klienta w tym czasie. Aby uzyskać więcej informacji, zobacz Monitorowanie i rozwiązywanie problemów z ciągłą oceną dostępu.

Aby uzyskać więcej informacji na temat rozwiązywania problemów z caE, zobacz Monitorowanie i rozwiązywanie problemów z ciągłą oceną dostępu.

Powiązana zawartość

• Dostęp warunkowy dla tożsamości roboczych
• Ciągła ocena dostępu
• Monitorowanie ciągłej weryfikacji dostępu i rozwiązywanie dotyczących jej problemów
• Wyzwania związane z roszczeniami, żądania roszczeń i możliwości klienta
• Używaj interfejsów API z włączoną oceną ciągłego dostępu w aplikacjach
• Zabezpieczanie tożsamości zasobów przy użyciu Microsoft Entra ID Protection
• Rejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft i tworzenie jednostki usługi
• Przykładowa aplikacja korzystająca z oceny ciągłego dostępu