工作負載身分識別的持續存取評估 (CAE) 可改善組織的安全性。 它會即時強制執行條件式存取位置和風險原則,並立即強制執行工作負載身分識別的權杖撤銷事件。
持續性存取評估目前不支援受控身份管理。
支援範圍
僅支援針對作為資源提供者的 Microsoft Graph 所傳送的存取要求進行工作負載身份的持續存取評估。 將會隨時新增更多資源提供者。
支援企業營運 (LOB) 應用程式的服務主體。
支援下列撤銷事件:
- 服務主體停用
- 服務主體刪除
- Microsoft Entra ID Identity Protection 偵測到的高服務主體風險
工作負載身分識別的持續存取評估支援針對位置和風險的條件性存取政策。
啟用應用程式
開發人員可以在其 API 請求 xms_cc 作為選擇性宣告時選擇加入工作負載身分識別的持續存取評估。
xms_cc存取權杖中值為 的cp1宣告是識別用戶端應用程式能夠處理宣告挑戰的授權方式。 如需如何在應用程式中運作的詳細資訊,請參閱 宣告挑戰、宣告要求和用戶端功能。
停用
若要選擇退出,請勿傳送 xms_cc 值 cp1為 的宣告。
具有 Microsoft Entra ID P1 或 P2 的組織可以建立 條件式存取原則,以停用 套用至特定工作負載身分識別的持續存取評估,作為立即權宜之計。
疑難排解
當用戶端因為觸發 CAE 而封鎖用戶端對資源的存取時,用戶端的工作階段會撤銷,而且用戶端需要重新驗證。 您可以在登入記錄中驗證此行為。
請遵循下列步驟來驗證登入記錄中的登入活動:
- 至少以安全性讀取者的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 Entra ID>監視和健康情況>登入記錄、>服務主體登入。使用過濾器來簡化偵錯過程。
- 選取項目以檢視活動詳細資料。 [持續存取評估] 欄位會顯示是否針對特定登入嘗試發出 CAE 權杖。
相關內容
- 瞭解如何使用 Microsoft Entra ID 註冊應用程式,並建立服務主體。
- 瞭解如何在 應用程式中使用已啟用持續存取評估的 API。
- 使用 持續存取評估探索範例應用程式。
- 瞭解如何使用 Microsoft Entra ID Protection 保護工作負載身分識別。
- 了解 什麼是持續存取評估。