Utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter

Utvärdering av kontinuerlig åtkomst (CAE) för arbetsbelastningsidentiteter ger din organisation säkerhetsfördelar. Det möjliggör tillämpning i realtid av plats- och riskprinciper för villkorsstyrd åtkomst samt omedelbar tillämpning av tokenåterkallningshändelser för arbetsbelastningsidentiteter.

Utvärdering av kontinuerlig åtkomst stöder för närvarande inte hanterade identiteter.

Stödomfång

Utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter stöds endast för åtkomstbegäranden som skickas till Microsoft Graph som resursprovider. Fler resursproviders läggs till över tid.

Tjänstens huvudnamn för verksamhetsspecifika program stöds.

Vi stöder följande återkallningshändelser:

• Inaktivera tjänstens huvudnamn
• Borttagning av tjänstens huvudnamn
• Hög huvudrisk för tjänsten som identifieras av Microsoft Entra ID Protection

Utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter stöder principer för villkorsstyrd åtkomst som är avsedda för plats och risk.

Aktivera ditt program

Utvecklare kan välja utvärdering av kontinuerlig åtkomst för arbetsbelastningsidentiteter när deras API begär xms_cc som ett valfritt anspråk. Anspråket xms_cc med värdet cp1 i åtkomsttoken är det auktoritativa sättet att identifiera att ett klientprogram kan hantera en anspråksutmaning. Mer information om hur du får detta att fungera i ditt program finns i artikeln Anspråksutmaningar, anspråksbegäranden och klientfunktioner.

Inaktivera

Om du vill avanmäla dig ska du inte skicka anspråket xms_cc med värdet cp1.

Organisationer som har Microsoft Entra ID P1 eller P2 kan skapa en princip för villkorsstyrd åtkomst för att inaktivera utvärdering av kontinuerlig åtkomst som tillämpas på specifika arbetsbelastningsidentiteter som ett omedelbart stopp-gap-mått.

Felsökning

När en klients åtkomst till en resurs blockeras på grund av att CAE utlöses återkallas klientens session och klienten måste autentiseras igen. Det här beteendet kan verifieras i inloggningsloggarna.

Följande steg beskriver hur en administratör kan verifiera inloggningsaktiviteten i inloggningsloggarna:

1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
2. Bläddra till Inloggningsloggar för tjänstens huvudnamn för identitetsövervakning>och hälsologgar.>> Du kan använda filter för att underlätta felsökningsprocessen.
3. Om du vill se aktivitetsinformation väljer du en post. Fältet Utvärdering av kontinuerlig åtkomst anger om en CAE-token har utfärdats i ett visst inloggningsförsök.

Relaterat innehåll

• Registrera ett program med Microsoft Entra-ID och skapa ett huvudnamn för tjänsten
• Så här använder du API:er för kontinuerlig åtkomstutvärdering i dina program
• Exempelprogram med kontinuerlig åtkomstutvärdering
• Skydda arbetsbelastningsidentiteter med Microsoft Entra ID Protection
• Vad är kontinuerlig åtkomstutvärdering?