Compartilhar via

Avaliação contínua de acesso para identidades de carga de trabalho

A CAE (avaliação contínua de acesso) para identidades de carga de trabalho melhora a segurança da sua organização aplicando políticas de risco e localização de acesso condicional em tempo real. O CAE impõe instantaneamente eventos de revogação de token para identidades de carga de trabalho, ajudando a impedir que entidades de serviço comprometidas acessem recursos.

Pré-requisitos

Como o CAE funciona para identidades de carga de trabalhos

O CAE para identidades de carga de trabalho estende o modelo de avaliação de acesso contínuo às entidades de serviço. Quando uma entidade de serviço aceita o CAE, o seguinte fluxo se aplica:

  1. Um service principal solicita um token de acesso do Microsoft Entra ID para um provedor de recursos com suporte, declarando a capacidade do cp1 cliente no parâmetro de declarações da solicitação de token.
  2. A ID do Microsoft Entra avalia as políticas de Acesso Condicional aplicáveis e emite um token de acesso habilitado para CAE. Tokens habilitados para CAE para identidades de carga de trabalho são LLTs (tokens de longa validade) com um tempo de vida de até 24 horas.
  3. A entidade de serviço apresenta o token ao provedor de recursos (Microsoft Graph).
  4. O provedor de recursos avalia o token em relação a eventos de revogação e a alterações de política de acesso condicional sincronizadas do Microsoft Entra ID.
  5. Se ocorrer um evento de revogação (como desabilitar a entidade de serviço ou detecção de alto risco), o provedor de recursos rejeitará o token e retornará uma 401 resposta com um desafio de declarações.
  6. O cliente com suporte para CAE lida com o desafio de autenticação solicitando um novo token do Microsoft Entra ID, que reavalia todas as condições antes de emitir um novo token.

Como os Tokens CAE para identidades de carga de trabalho são de longa duração (até no máximo 24 horas), eles reduzem a necessidade de solicitações de token frequentes, enquanto mantém a segurança por meio de avaliação contínua.

Note

O fluxo anterior segue o modelo geral de CAE descrito na avaliação de acesso contínuo. O comportamento da identidade da carga de trabalho está alinhado com esse modelo, embora os detalhes de implementação específicos possam variar.

Para obter mais informações sobre como os desafios de declarações funcionam, consulte desafios de declarações, solicitações de declarações e capacidades do cliente.

Cenários com suporte

As seções a seguir descrevem os provedores de recursos, identidades, eventos e políticas que a CAE dá suporte para identidades de carga de trabalho.

Provedores de recursos

O CAE para identidades de carga de trabalho só tem suporte em solicitações de acesso enviadas ao Microsoft Graph como um provedor de recursos.

Identidades suportadas

Principais de serviço para aplicativos LOB (linha de negócios) têm suporte. As seguintes restrições se aplicam:

  • Há suporte apenas para entidades de serviço de locatário único registradas em seu locatário.
  • SaaS de terceiros e aplicativos multilocatários estão fora do escopo.
  • Não há suporte para identidades gerenciadas.

Eventos de revogação

Há suporte para os seguintes eventos de revogação:

  • Entidade de serviço desabilitada — um administrador desabilita a entidade de serviço no locatário.
  • Exclusão do principal de serviço – um administrador exclui o principal de serviço do locatário.
  • Alto risco do principal de serviço — o Microsoft Entra ID Protection detecta alto risco para o principal de serviço. Para obter mais informações, consulte Proteção de identidades de carga de trabalho com o Microsoft Entra ID Protection.

Políticas de acesso condicional

O CAE para identidades de carga de trabalho oferece suporte a políticas de Acesso Condicional que têm como alvo a localização e o risco. Para criar essas políticas, confira o passo a passo no Acesso Condicional para identidades de trabalho.

Habilitar o aplicativo

Os desenvolvedores podem aceitar o CAE para identidades de carga de trabalho declarando a capacidade do cp1 cliente ao solicitar tokens. Declarar cp1 sinaliza ao Microsoft Entra ID que o aplicativo cliente pode lidar com os desafios de declarações de identidade. O Microsoft Graph (o único provedor de recursos com suporte para CAE de identidade de carga de trabalho) envia desafios de reivindicações apenas para clientes que declaram essa funcionalidade.

Para declarar a funcionalidade do CAE, inclua o seguinte parâmetro de declarações em sua solicitação de token:

Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}

O método para declarar a cp1 funcionalidade depende da biblioteca de autenticação que você usa. Para obter exemplos de código detalhados em .NET, Python, JavaScript e outros idiomas, consulte:

Importante

Um aplicativo não receberá desafios de declarações e não receberá tokens CAE, a menos que declare explicitamente a cp1 capacidade. Para obter mais informações, consulte os recursos do cliente.

Note

Declarar cp1 é uma ação do lado do cliente. Separadamente, os implementadores de API (aplicativos de recurso) podem solicitar xms_cc como uma declaração opcional no manifesto do aplicativo para detectar se os clientes que realizam chamadas dão suporte a desafios de reivindicações. Para obter mais informações, consulte Como receber xms_cc declaração em um token de acesso.

Desabilitar

Para recusar o CAE no nível do aplicativo, não envie a capacidade cp1 no parâmetro de declarações de solicitações de token.

Limitações conhecidas

Examine as seguintes limitações antes de implementar o CAE para identidades de carga de trabalho:

  • Somente Microsoft Graph. A CAE para identidades de carga de trabalho tem suporte apenas em solicitações de acesso ao Microsoft Graph. No momento, não há suporte para outros provedores de recursos.
  • Não há suporte para identidades gerenciadas. O CAE não dá suporte a identidades gerenciadas no momento.
  • Somente entidades de serviço de locatário único. Há suporte apenas para entidades de serviço de locatário único registradas em seu locatário. SaaS de terceiros e aplicativos multi-inquilino estão fora do escopo.
  • O CAE impõe políticas de localização e de risco. O CAE para identidades de carga de trabalho impõe políticas de Acesso Condicional que visam o local e o risco em tempo real. Para obter a lista completa das condições de Acesso Condicional com suporte para identidades de carga de trabalho (incluindo contextos de autenticação), consulte Acesso Condicional para identidades de carga de trabalho.
  • Atribuição de política baseada em grupo não imposta. As políticas de Acesso Condicional atribuídas a um grupo que contém uma entidade de serviço não são impostas para essa entidade de serviço. A política deve ser atribuída diretamente à entidade de serviço como uma identidade de carga de trabalho. Para obter mais informações, consulte Acesso Condicional para identidades de carga de trabalho.

Monitorar o CAE para identidades de carga de trabalho

Os administradores podem monitorar a atividade do CAE para identidades de trabalho usando os logs de entrada do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. Navegue até Entra ID>Monitoramento e integridade>Logs de entrada>Entradas de entidades de serviço. Use filtros para simplificar o processo.
  3. Selecione uma entrada para exibir os detalhes da atividade. O campo de avaliação de acesso contínuo mostra se um token CAE foi emitido para uma tentativa de entrada específica.

Para ferramentas gerais de monitoramento de CAE, incluindo a pasta de trabalho de insights de avaliação de acesso contínuo e a análise de incompatibilidade de IP, consulte Monitorar e solucionar problemas de avaliação contínua de acesso.

Solução de problemas

Quando um recurso habilitado para CAE rejeita um token de identidade de carga de trabalho, o aplicativo deve lidar com o desafio de reivindicações 401 e solicitar um novo token do Microsoft Entra ID. Em seguida, a ID do Microsoft Entra reavalia as condições antes de decidir se deseja emitir um novo token. Siga as etapas abaixo para investigar.

O acesso ao service principal é bloqueado inesperadamente:

  1. Verifique os logs de entrada em entradas de entidade de serviço. Procure entradas em que o campo de Avaliação de Acesso Contínuo indica que um token CAE estava envolvido.
  2. Verifique se ocorreu um evento de revogação: verifique se a entidade de serviço foi desabilitada, excluída ou sinalizada como de alto risco pelo Microsoft Entra ID Protection.
  3. Examine as políticas de Acesso Condicional aplicáveis para confirmar se o IP de origem da entidade de serviço está incluído em um local nomeado permitido.

Principal de Serviço não está recebendo tokens CAE:

  • Verifique se o aplicativo declara a cp1 funcionalidade no parâmetro de declarações de solicitações de token.
  • Confirme se o aplicativo tem como destino o Microsoft Graph como o provedor de recursos. No momento, não há suporte para outros provedores de recursos para CAE.
  • Verifique se a entidade de serviço é um aplicativo LOB de locatário único registrado em seu locatário.

Incompatibilidade de endereço IP entre a ID do Microsoft Entra e o provedor de recursos:

  • Essa situação pode ocorrer com redes de túnel dividido ou configurações de proxy. Quando os endereços IP não correspondem, o Microsoft Entra ID emite um token CAE de uma hora e não executa a alteração de local do cliente durante esse período. Para obter mais informações, consulte Monitorar e solucionar problemas de avaliação de acesso contínuo.

Para obter mais informações sobre como solucionar problemas de CAE, consulte Monitorar e solucionar problemas de avaliação de acesso contínuo.

Conteúdo relacionado

  • Last updated on