持续访问评估(CAE)是一项安全功能,旨在根据策略更改和用户风险提供实时访问控制。 CAE 通过持续评估会话有效性,实现近乎实时的访问策略的强制实施。 发生策略更改、用户风险更新或其他关键安全事件时,CAE 可以撤销或刷新令牌,确保用户访问始终符合最新的安全要求。 传统上,Entra ID CAE 要求每个工作负荷采用特殊库,并且仅限于第一方应用程序。
应用程序代理的 CAE 可将 CAE 的优势扩展到通过应用程序代理发布的任何本地应用程序,而无需让应用程序知道 CAE。
应用程序代理 CAE 的优势(预览版)
应用代理的 CAE 在发生关键的身份和安全事件时做出响应,以便管理员可以立即限制访问。 下面是几乎实时执行的强制常见触发器:
- 用户终止或密码更改/重置 - 用户会话和刷新令牌几乎实时吊销,以防止持续访问。
- 网络位置更改 — 当用户的网络上下文更改时,条件访问位置策略会进行重新评估和强制实施。
- 将令牌导出到受信任的网络外部的计算机 — 条件访问位置策略可以阻止令牌使用,或者需要其他控制来阻止来自不受信任的计算机的访问。
了解应用程序代理 CAE 的工作原理(预览版)
为应用程序代理启用 CAE 时,请求和执行流程将如下进行:
- 用户通过应用程序代理请求访问本地应用程序。
- Entra ID 对请求进行身份验证。
- 身份验证成功后,用户会收到通常有效的访问令牌 60-90 分钟。
- CAE 会持续评估活动会话,以检测策略更改、风险信号和吊销情况。
- 如果触发(例如密码重置、帐户禁用或提升风险),CAE 将撤销会话,并要求用户再次登录。
此工作流支持对已发布应用程序实施近乎实时的访问策略,而无需更改应用程序。
Microsoft Entra ID 信号触发 CAE 重新身份验证
对于这些事件,应用程序代理几乎实时接收来自 Microsoft Entra ID 的信号:
- 用户帐户已删除或禁用。
- 用户的密码已更改或重置。
- 为用户启用了多重身份验证(MFA)。
- 管理员撤销用户的所有刷新令牌。
- Microsoft Entra ID 保护可检测高用户风险。
当应用程序代理收到上述任何信号时,它会提示用户重新进行身份验证。 如果重新身份验证成功,用户将重新获得对通过应用程序代理发布的资源的访问权限。
禁用应用程序代理的 CAE(预览版)
为特定应用程序代理应用程序禁用 CAE
可以通过在 Microsoft Graph 中更新应用程序的 onPremisesPublishing 设置,为单个应用程序代理应用程序禁用连续访问评估(CAE)。
HTTP 请求
PATCH https://graph.microsoft.com/beta/applications/{objectId}/onPremisesPublishing
Content-Type: application/json
{
"isContinuousAccessEvaluationEnabled": false
}
响应
HTTP/1.1 204 No Content
调用 Microsoft Graph 时,请确保使用有权更新应用程序的帐户或应用(例如 Application.ReadWrite.All)。
为整个租户禁用 CAE
租户范围的 CAE 行为由 Microsoft Entra ID 条件访问控制。 默认情况下,所有支持 CAE 的应用程序都启用了 CAE。 若要为所有服务禁用 CAE,请更新条件访问配置。 有关步骤,请参阅条件访问文档。
注释
CAE 是机会性的,除非在条件访问中启用严格强制,并将其应用于应用程序代理应用程序。 在非严格策略下,应用代理可以回退到通过重新身份验证方式来发出常规访问令牌。 由于这种后备行为,通常不需要禁用租户范围的 CAE。
已知的限制
有关已知问题和限制的详细信息,请参阅 应用程序代理常见问题解答。