Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
工作负荷标识的持续访问评估(CAE)可提高组织的安全性。 它实时强制实施条件访问位置和风险策略,并立即为工作负荷标识强制实施令牌吊销事件。
持续访问评估当前不支持托管标识功能。
支持范围
仅在将 Microsoft Graph 作为资源提供程序的访问请求中,支持对工作负载标识的持久访问评估。 随着时间的推移,将增加更多的资源供应商。
支持业务线应用程序(LOB)的服务主体。
支持以下撤销事件:
- 禁用服务主体
- 删除服务主体
启用应用程序
开发人员可以选择参与对工作负荷标识的持续访问评估,当他们在 API 请求中以 xms_cc 作为可选声明时。 在访问令牌中,值为xms_cc的cp1声明是识别客户端应用程序能够处理声明质询的权威方法。 要了解如何在应用程序中实现此功能的详细信息,请参阅 声明质询、声明请求和客户端功能。
禁用
若要选择退出,请勿发送xms_cc声明,且其值为cp1。
具有 Microsoft Entra ID P1 或 P2 的组织可以创建一个 Conditional Access 策略,以禁用连续访问评估,作为一种立即的权宜之计,应用于特定的工作负载标识。
故障排除
当由于触发 CAE 而阻止客户端访问资源时,会撤销客户端的会话,并且客户端需要重新进行身份验证。 可以在登录日志中验证此行为。
按照以下步骤验证登录日志中的登录活动:
- 请以至少 Security Reader 的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>监控与健康状态>登录日志>服务主体身份验证。使用筛选器来简化调试过程。
- 选择一个条目以查看活动详细信息。 “连续访问评估”字段显示是否为特定登录尝试颁发 CAE 令牌。
相关内容
- 了解如何使用Microsoft Entra ID注册应用程序并创建服务主体。
- 了解如何 在应用程序中使用已启用持续访问评估的 API。
- 使用连续访问评估探索示例应用程序。
- 了解 什么是持续访问评估。