Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) für Workloadidentitäten verbessert die Sicherheit Ihrer Organisation. Er erzwingt Standort- und Risikorichtlinien für bedingten Zugriff in Echtzeit und erzwingt sofort Tokensperrereignisse für Workloadidentitäten.
Die fortlaufende Zugriffsevaluierung unterstützt derzeit keine verwalteten Identitäten.
Supportumfang
Fortlaufende Zugriffsevaluierung für Workloadidentitäten wird nur bei Zugriffsanforderungen unterstützt, die an Microsoft Graph als Ressourcenanbieter gesendet werden. Im Lauf der Zeit werden weitere Ressourcenanbieter hinzugefügt.
Dienstprinzipale für Branchenanwendungen werden unterstützt.
Die folgenden Sperrereignisse werden unterstützt:
- Deaktivieren von Dienstprinzipalen
- Löschen von Dienstprinzipalen
- Hohes Dienstprinzipalrisiko, wie von Microsoft Entra ID Protection erkannt
Kontinuierliche Zugriffsauswertung für Workloadidentitäten unterstützt Richtlinien für bedingten Zugriff, die den Standort und das Risiko ansprechen.
Aktivieren der Anwendung
Entwickler können sich für die kontinuierliche Zugriffsauswertung für Workloadidentitäten entscheiden, wenn ihre API als optionaler Anspruch anfordert xms_cc . Der xms_cc Anspruch mit einem Wert cp1 im Zugriffstoken ist die autoritative Methode, um zu identifizieren, dass eine Clientanwendung eine Anspruchsaufforderung verarbeiten kann. Weitere Informationen dazu, wie sie in Ihrer Anwendung funktionieren, finden Sie unter Claims-Herausforderungen, Anspruchsanforderungen und Clientfunktionen.
Deaktivieren
Um dies zu deaktivieren, senden Sie den xms_cc Anspruch nicht mit einem Wert von cp1.
Organisationen, die über Microsoft Entra ID P1 oder P2 verfügen, können eine Richtlinie für bedingten Zugriff erstellen, um die kontinuierliche Zugriffsauswertung zu deaktivieren , die auf bestimmte Workloadidentitäten als sofortige Stopgap-Maßnahme angewendet wird.
Problembehandlung
Wenn der Zugriff eines Clients auf eine Ressource blockiert wird, da caE ausgelöst wird, wird die Clientsitzung widerrufen und der Client muss erneut authentifiziert werden. Sie können dieses Verhalten in den Anmeldeprotokollen überprüfen.
Führen Sie die folgenden Schritte aus, um die Anmeldeaktivität in den Anmeldeprotokollen zu überprüfen:
- Melden Sie sich mindestens als Sicherheitsleser beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Monitoring & Health>Sign-in logs>Service Principal Sign-ins. Verwenden Sie Filter, um den Debuggingprozess zu vereinfachen.
- Wählen Sie einen Eintrag aus, um Aktivitätsdetails anzuzeigen. Das Feld "Fortlaufender Zugriff" zeigt an, ob ein CAE-Token für einen bestimmten Anmeldeversuch ausgestellt wird.
Zugehöriger Inhalt
- Erfahren Sie, wie Sie eine Anwendung mit der Microsoft Entra-ID registrieren und einen Dienstprinzipal erstellen.
- Erfahren Sie, wie Sie die aktivierten APIs für den kontinuierlichen Zugriff in Ihren Anwendungen verwenden.
- Erkunden Sie eine Beispielanwendung mithilfe einer kontinuierlichen Zugriffsauswertung.
- Erfahren Sie mehr über das Sichern von Workloadidentitäten mit Microsoft Entra ID Protection.
- Verstehen Sie , was eine kontinuierliche Zugriffsauswertung ist.