Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
工作负荷标识的持续访问评估(CAE)可提高组织的安全性。 它实时强制实施条件访问位置和风险策略,并立即为工作负荷标识强制实施令牌吊销事件。
持续访问评估当前不支持托管标识功能。
支持范围
仅在对作为资源提供方发送到 Microsoft Graph 的访问请求中,支持工作负载标识的持续访问评估。 随着时间的推移,将增加更多的资源供应商。
支持业务线应用程序(LOB)的服务主体。
支持以下撤销事件:
- 禁用服务主体
- 删除服务主体
启用应用程序
开发人员可以选择参与对工作负荷标识的持续访问评估,当他们在 API 请求中以 xms_cc 作为可选声明时。 在访问令牌中,值为xms_cc的cp1声明是识别客户端应用程序能够处理声明质询的权威方法。 要了解如何在应用程序中实现此功能的详细信息,请参阅 声明质询、声明请求和客户端功能。
禁用
若要选择退出,请勿发送xms_cc声明,且其值为cp1。
具有 Microsoft Entra ID P1 或 P2 的组织可以创建一个 条件访问策略,以禁用连续访问评估,作为立即的应急措施应用于特定工作负荷标识。
故障排除
当由于触发 CAE 而阻止客户端访问资源时,会撤销客户端的会话,并且客户端需要重新进行身份验证。 可以在登录日志中验证此行为。
按照以下步骤验证登录日志中的登录活动:
- 至少以安全阅读者身份登录到Microsoft Entra 管理中心。
- 导航至Entra ID>监控与健康状况监测>登录日志>服务主体登录。使用筛选器以简化调试。
- 选择一个条目以查看活动详细信息。 “连续访问评估”字段显示是否为特定登录尝试颁发 CAE 令牌。
相关内容
- 了解如何使用Microsoft Entra ID注册应用程序并创建服务主体。
- 了解如何 在应用程序中使用已启用持续访问评估的 API。
- 探索一个使用连续访问评估的示例应用程序。
- 了解 什么是持续访问评估。