持续访问评估(CAE)是一项安全功能,基于策略更改和用户风险提供实时访问控制。 CAE 通过持续评估会话有效性,以近乎实时的方式强制实施访问策略。 发生策略更改、用户风险更新或其他关键安全事件时,CAE 会撤销访问令牌和刷新令牌,确保用户访问始终符合最新的安全要求。
与传统 CAE 不同,传统 CAE 要求应用程序为每个工作负载采用专用库,并且限制于第一方应用程序,而 Application Proxy 的 CAE 将这些优势扩展到通过 Application Proxy 发布的任何本地应用程序,而无需应用程序具备 CAE 感知能力。
CAE 如何保护访问
专为应用程序代理设计的 CAE 响应关键的身份和安全事件,使管理员能够及时限制访问。 以下事件近乎实时地触发强制实施:
- 用户终止或密码更改/重置:CAE 撤销用户会话和刷新令牌,以防止持续访问。
- 网络位置更改:CAE 在用户网络上下文更改时重新评估并强制实施条件访问位置策略。
- 将令牌导出到受信任的网络外部的计算机:CAE 强制实施条件访问位置策略,以阻止令牌使用,或者在从不受信任的计算机使用令牌时需要其他控制。
了解适用于Application Proxy的 CAE 的工作原理
为Application Proxy启用 CAE 后,请求和强制流将按如下所示继续:
- 用户通过Application Proxy请求访问本地应用程序。
- Microsoft Entra ID对请求进行身份验证。
- 身份验证成功后,用户会收到通常有效的访问令牌 60-90 分钟。
- CAE 会持续评估活动会话,以检测策略更改、风险信号和吊销情况。
- 如果触发(例如密码重置、帐户禁用或提升风险),CAE 将撤销会话,并要求用户再次登录。
此工作流支持对已发布应用程序实施近乎实时的访问策略,而无需更改应用程序。
Microsoft Entra ID触发CAE重新身份验证的信号
对于这些事件,Application Proxy以近乎实时的方式接收来自Microsoft Entra ID的信号:
- 用户帐户已删除或禁用。
- 用户的密码已更改或重置。
- 为用户启用了多重身份验证(MFA)。
- 管理员撤销用户的所有刷新令牌。
当Application Proxy收到这些信号中的任何一个时,它会提示用户重新进行身份验证。 如果重新身份验证成功,用户将重新获得对通过Application Proxy发布的资源的访问权限。
禁用应用程序代理中的CAE
为特定Application Proxy应用程序禁用 CAE
默认情况下,所有应用程序代理应用程序都启用了应用程序代理的 CAE。 可以使用Microsoft Graph或在Microsoft Entra admin center中为单个应用程序禁用 CAE。
若要为单个Application Proxy应用程序禁用 CAE,请在Microsoft Graph中更新应用程序的 onPremisesPublishing 设置。
发送以下 PATCH 请求:
PATCH https://microsoftgraph.chinacloudapi.cn/beta/applications/{objectId}/onPremisesPublishing
Content-Type: application/json
{
"isContinuousAccessEvaluationEnabled": false
}
成功的请求返回以下响应:
HTTP/1.1 204 No Content
确保调用Microsoft Graph的帐户或应用有权更新应用程序(例如,Application.ReadWrite.All)。
还可以在Microsoft Entra admin center中为Application Proxy禁用 CAE。
为整个租户禁用 CAE
Microsoft Entra ID 条件性访问控制租户范围内的 CAE 行为。 默认情况下,所有支持 CAE 的应用程序都启用了 CAE。 若要为所有服务禁用 CAE,请更新条件访问配置。 有关步骤,请参阅 启用或禁用 CAE。
注释
CAE 是机会性的,除非在条件访问中启用严格执行,并将其应用于应用程序代理。 使用宽松策略时,Application Proxy可以在重新身份验证时降级为发出常规访问令牌。 由于这种后备行为,通常不需要禁用租户范围的 CAE。
已知的限制
有关已知问题和限制的详细信息,请参阅 Application Proxy 常见问题解答。