Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A CAE (Avaliação Contínua de Acesso) é um recurso de segurança projetado para fornecer controle de acesso em tempo real com base em alterações de política e risco do usuário. O CAE permite a imposição de políticas de acesso quase em tempo real, avaliando continuamente a validade da sessão. Quando ocorre uma alteração de política, atualização de risco do usuário ou outro evento de segurança crítico, o CAE pode revogar ou atualizar tokens, garantindo que o acesso do usuário esteja sempre em conformidade com os requisitos de segurança mais recentes. Tradicionalmente, a CAE do Entra ID exige que cada carga de trabalho adote bibliotecas especiais e esteja limitada apenas a aplicativos de primeira parte.
O CAE para Proxy de Aplicativo estende os benefícios do CAE a todos os aplicativos locais publicados por meio do proxy de aplicativo, sem exigir que o aplicativo esteja ciente do CAE.
Benefícios do CAE para Proxy de Aplicativo (versão prévia)
O CAE para Proxy de Aplicativo responde a eventos críticos de identidade e segurança para que os administradores possam limitar o acesso imediatamente. Veja a seguir gatilhos comuns em que a imposição ocorre quase em tempo real:
- Terminação do usuário ou alteração/redefinição de senha – as sessões de usuário e os tokens de atualização são revogados quase em tempo real para impedir o acesso contínuo.
- Alteração de local de rede – as políticas de local de acesso condicional são reavaliadas e impostas quase em tempo real quando o contexto de rede de um usuário é alterado.
- Exportação de token para um computador fora de uma rede confiável – as políticas de localização de acesso condicional podem impedir o uso de token ou exigir controles adicionais para bloquear o acesso de computadores não confiáveis.
Entender como funciona o CAE para Proxy de Aplicativo (versão prévia)
Quando você habilita o CAE para o Proxy de Aplicações, o fluxo de solicitação e aplicação prossegue da seguinte forma:
- O usuário solicita acesso a um aplicativo local por meio do Proxy de Aplicativo.
- A ID do Entra autentica a solicitação.
- Após a autenticação bem-sucedida, o usuário recebe tokens de acesso que normalmente são válidos por 60 a 90 minutos.
- O CAE avalia continuamente a sessão ativa para alterações de política, sinais de risco e eventos de revogação.
- Se ocorrer um gatilho (por exemplo, redefinição de senha, desabilitação da conta ou risco elevado), o CAE revogará a sessão e exigirá que o usuário entre novamente.
Esse fluxo de trabalho permite a imposição quase em tempo real de políticas de acesso para aplicativos publicados sem a necessidade de alterações de aplicativo.
Sinais de Microsoft Entra ID que acionam a reautenticação do CAE
O Proxy de Aplicativo recebe sinais do Microsoft Entra ID em tempo quase real para estes eventos:
- Uma conta de utilizador é eliminada ou desativada.
- A senha de um usuário é alterada ou redefinida.
- A MFA (autenticação multifator) está habilitada para o usuário.
- Um administrador revoga todos os tokens de atualização para o usuário.
- O Microsoft Entra ID Protection detecta alto risco do usuário.
Quando o Proxy de Aplicativo recebe qualquer um desses sinais, ele solicita que o usuário se autentique novamente. Se a autenticação for bem-sucedida, o usuário recuperará o acesso aos recursos publicados por meio do Proxy de Aplicativo.
Desabilitando a CAE para Proxy de Aplicativo (versão prévia)
Desabilitar o CAE para aplicativos específicos do Proxy de Aplicativo
Você pode desabilitar a CAE (Avaliação de Acesso Contínuo) para aplicativos individuais do Proxy de Aplicativo atualizando as configurações de onPremisesPublishing do aplicativo no Microsoft Graph.
solicitação HTTP
PATCH https://graph.microsoft.com/beta/applications/{objectId}/onPremisesPublishing
Content-Type: application/json
{
"isContinuousAccessEvaluationEnabled": false
}
Resposta
HTTP/1.1 204 No Content
Chame o Microsoft Graph com uma conta ou aplicativo que tenha permissão para atualizar o aplicativo (por exemplo, Application.ReadWrite.All).
Desabilitar a CAE para todo o locatário
O comportamento do CAE de todo o locatário é controlado pelo Acesso Condicional do Microsoft Entra ID. Por padrão, o CAE está habilitado para todos os aplicativos que dão suporte a ele. Para desabilitar a CAE para todos os serviços, atualize sua configuração de Acesso Condicional. Para ver as etapas, consulte a documentação de acesso condicional.
Observação
A CAE é oportunista, a menos que você habilite a Imposição Estrita no Acesso Condicional e aplique-a ao aplicativo Proxy de Aplicativo. Com uma política não estrita, o Proxy de Aplicativo pode voltar a emitir um token de acesso regular na autenticação novamente. Devido a esse comportamento de fallback, a desabilitação do CAE em todo o locatário raramente é necessária.
Limitações conhecidas
Para obter informações detalhadas sobre problemas e limitações conhecidos, consulte as perguntas frequentes sobre o proxy de aplicativo.