工作负荷标识的持续访问评估(CAE)可提高组织的安全性。 它实时强制实施条件访问位置和风险策略,并立即为工作负荷标识强制实施令牌吊销事件。
持续访问评估当前不支持托管标识。
支持范围
仅当作为资源提供程序发送到 Microsoft Graph 的访问请求时,才支持工作负载标识的连续访问评估。 随着时间的推移,还将增加更多的资源提供程序。
支持业务线应用程序(LOB)的服务主体。
支持以下吊销事件:
- 禁用服务主体
- 删除服务主体
启用应用程序
开发人员可以选择在 API 请求 xms_cc 作为可选声明时持续访问工作负荷标识的访问评估。
xms_cc在访问令牌中具有值的cp1声明是确定客户端应用程序能够处理声明质询的权威方法。 有关如何在应用程序中执行此作的详细信息,请参阅 声明质询、声明请求和客户端功能。
禁用
若要选择退出,请勿发送值为 <
具有 Microsoft Entra ID P1 或 P2 的组织可以创建 条件访问策略,以禁用 应用于特定工作负荷标识的持续访问评估,作为即时非索引度量值。
疑难解答
当由于触发 CAE 而阻止客户端访问资源时,会撤销客户端的会话,并且客户端需要重新进行身份验证。 可以在登录日志中验证此行为。
按照以下步骤验证登录日志中的登录活动:
- 至少以安全读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>监视和运行状况>登录日志>服务主体登录。使用筛选器来简化调试过程。
- 选择一个条目以查看活动详细信息。 “连续访问评估”字段显示是否为特定登录尝试颁发 CAE 令牌。