工作負載身分識別的持續存取評估
工作負載身分識別的持續存取評估 (CAE) 可為組織提供安全性優點。 其可啟用即時強制執行條件式存取位置和風險原則,以及立即強制執行工作負載身分識別的權杖撤銷事件。
持續存取評估目前不支援受控識別。
支援範圍
只有以資源提供者身分傳送至 Microsoft Graph 的存取要求,才支援工作負載身分識別的持續存取評估。 將會隨著時間新增更多資源提供者。
支援企業營運服務主體 (LOB) 應用程式。
我們支援下列撤銷事件:
- 服務主體停用
- 服務主體刪除
- Microsoft Entra ID Protection 偵測到的高服務主體風險
工作負載身分識別的持續存取評估支援 以位置和風險為目標的條件式存取原則。
啟用應用程式
開發人員可以選擇在其 API 要求 xms_cc
作為選擇性宣告時,針對工作負載身分識別進行持續存取評估。 存取 xms_cc
令牌中值為 cp1
的宣告是識別用戶端應用程式能夠處理宣告挑戰的權威方式。 如需如何在應用程式中執行這項工作的詳細資訊,請參閱宣告挑戰、宣告要求和用戶端功能一文。
停用
若要退出宣告,請勿傳送 xms_cc
值為 cp1
的宣告。
具有 Microsoft Entra ID P1 或 P2 的組織可以建立 條件式存取原則,以停用套用至特定工作負載身分識別的持續存取評估 ,作為立即停止差距量值。
疑難排解
當用戶端因觸發 CAE 而封鎖對資源的存取時,會撤銷用戶端的會話,且用戶端需要重新驗證。 您可以在登入記錄中驗證此行為。
下列步驟詳細說明系統管理員如何在登入記錄中驗證登入活動:
- 至少以安全性讀取者 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別監視與健康情況>登入>記錄服務主體登入]。您可以使用篩選來簡化偵錯程式。
- 若要查看活動詳細數據,請選取專案。 [ 持續存取評估 ] 字段指出是否在特定登入嘗試中發出 CAE 令牌。