Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Непрерывная оценка доступа (CAE) для рабочих идентификаторов обеспечивает вашей организации преимущества в области безопасности. Это позволяет в реальном времени осуществлять применение политик условного доступа, касающихся расположения и рисков, а также мгновенно обрабатывать события отзыва токенов для идентификаций рабочих нагрузок.
В настоящее время непрерывная оценка доступа не поддерживает управляемые удостоверения.
Область поддержки
Оценка непрерывного доступа для удостоверений рабочей нагрузки поддерживается только при запросах доступа, отправленных в Microsoft Graph в качестве поставщика ресурсов. С течением времени будут добавлены дополнительные поставщики ресурсов.
Поддерживаются учетные записи служб для бизнес-приложений (LOB).
Мы поддерживаем следующие события отзыва:
- отключение сервисного принципала
- удаление объекта-службы
- Высокий риск учетной записи службы, обнаруженный системой защиты идентификаций Microsoft Entra
Непрерывная оценка доступа для рабочих нагрузок поддерживает политики условного доступа, которые нацелены на расположение и риск.
Включение приложения
Разработчики могут выбрать подключение функции непрерывной оценки доступа для удостоверений рабочих нагрузок, когда их API-запросы включают xms_cc в качестве необязательного параметра. Утверждение xms_cc со значением cp1 в маркере доступа — надежный способ определить, что клиентское приложение способно обрабатывать запросы на утверждения. Дополнительные сведения о том, как обеспечить работоспособность в вашем приложении, см. в статье Проблемы с требованиями, запросы на утверждения и возможности клиента.
Отключить
Чтобы отказаться, не отправляйте утверждение xms_cc со значением cp1.
Организации, имеющие Microsoft Entra ID уровня P1 или P2, могут создать политику условного доступа для отключения оценки непрерывного доступа, применяемой к определённым удостоверениям рабочей нагрузки, в качестве временной меры предосторожности.
Устранение неполадок
Когда доступ клиента к ресурсу заблокирован из-за активации ЦС, сеанс клиента отменяется, а клиент должен повторно пройти проверку подлинности. Это поведение можно проверить в журналах входа.
Ниже объясняется, как администратор может проверить действия входа в журналах входа:
- Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.
- Перейдите к Entra ID>Мониторинг и работоспособность>Журналы входа,>Субъект службы Вход в систему. Вы можете использовать фильтры для упрощения процесса отладки.
- Чтобы просмотреть сведения о действиях, выберите запись. В поле непрерывной оценки доступа указано, был ли выдан токен CAE при определенной попытке входа.
Связанный контент
- Регистрация приложения с помощью идентификатора Microsoft Entra и создание субъекта-службы
- Как использовать API с поддержкой Непрерывной оценки доступа в приложениях
- Пример приложения, использующего непрерывную оценку доступа
- Защита идентификаций рабочих нагрузок с помощью Microsoft Entra ID Protection
- Что собой представляет непрерывная оценка доступа?