持续访问评估(CAE)是一项安全功能,基于策略更改和用户风险提供实时访问控制。 CAE 通过持续评估会话有效性,以近乎实时的方式强制实施访问策略。 发生策略更改、用户风险更新或其他关键安全事件时,CAE 会撤销访问令牌和刷新令牌,确保用户访问始终符合最新的安全要求。
与传统 CAE 不同,它要求每个工作负载采用特殊库,并且仅限于第一方应用程序,因此应用程序代理的 CAE 将这些优势扩展到通过应用程序代理发布的任何本地应用程序,而无需应用程序感知 CAE。
CAE 如何保护访问
应用代理的 CAE 在发生关键的身份和安全事件时做出响应,以便管理员可以立即限制访问。 以下事件近乎实时地触发强制实施:
- 用户终止或密码更改/重置:CAE 撤销用户会话和刷新令牌,以防止持续访问。
- 网络位置更改:CAE 在用户网络上下文更改时重新评估并强制实施条件访问位置策略。
- 将令牌导出到受信任的网络外部的计算机:CAE 强制实施条件访问位置策略,以阻止令牌使用,或者在从不受信任的计算机使用令牌时需要其他控制。
了解应用程序代理的 CAE 的工作原理
为应用程序代理启用 CAE 后,请求和强制流将按如下所示继续:
- 用户通过应用程序代理请求访问本地应用程序。
- Microsoft Entra ID 对请求进行身份验证。
- 身份验证成功后,用户会收到通常有效的访问令牌 60-90 分钟。
- CAE 会持续评估活动会话,以检测策略更改、风险信号和吊销情况。
- 如果触发(例如密码重置、帐户禁用或提升风险),CAE 将撤销会话,并要求用户再次登录。
此工作流支持对已发布应用程序实施近乎实时的访问策略,而无需更改应用程序。
Microsoft Entra ID 信号触发 CAE 重新身份验证
对于这些事件,应用程序代理几乎实时接收来自 Microsoft Entra ID 的信号:
- 用户帐户已删除或禁用。
- 用户的密码已更改或重置。
- 为用户启用了多重身份验证(MFA)。
- 管理员撤销用户的所有刷新令牌。
当应用程序代理收到上述任何信号时,它会提示用户重新进行身份验证。 如果重新身份验证成功,用户将重新获得对通过应用程序代理发布的资源的访问权限。
为应用程序代理禁用 CAE
为特定应用程序代理应用程序禁用 CAE
默认情况下,所有应用程序代理都启用了 CAE。 可以使用 Microsoft Graph 或在 Microsoft Entra 管理中心为单个应用程序禁用 CAE。
若要为单个应用程序代理应用程序禁用 CAE,请在 Microsoft Graph 中更新应用程序的 onPremisesPublishing 设置。
发送以下 PATCH 请求:
PATCH https://graph.microsoft.com/beta/applications/{objectId}/onPremisesPublishing
Content-Type: application/json
{
"isContinuousAccessEvaluationEnabled": false
}
成功的请求返回以下响应:
HTTP/1.1 204 No Content
确保调用 Microsoft Graph 的帐户或应用有权更新应用程序(例如, Application.ReadWrite.All)。
还可以在 Microsoft Entra 管理中心中为应用程序代理禁用 CAE。
为整个租户禁用 CAE
Microsoft Entra ID 条件访问控制租户范围的 CAE 行为。 默认情况下,所有支持 CAE 的应用程序都启用了 CAE。 若要为所有服务禁用 CAE,请更新条件访问配置。 有关步骤,请参阅 启用或禁用 CAE。
注释
CAE 是机会性的,除非在条件访问中启用严格强制,并将其应用于应用程序代理应用程序。 在非严格策略下,应用程序代理在重新身份验证时可以退回到发出常规访问令牌。 由于这种后备行为,通常不需要禁用租户范围的 CAE。
已知的限制
有关已知问题和限制的详细信息,请参阅 应用程序代理常见问题解答。