Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La evaluación continua del acceso (CAE) para las identidades de carga de trabajo mejora la seguridad de la organización. Aplica directivas de riesgo y ubicación de acceso condicional en tiempo real y aplica instantáneamente eventos de revocación de tokens para las identidades de carga de trabajo.
La evaluación continua del acceso no admite actualmente identidades administradas.
Alcance del soporte técnico
La evaluación continua del acceso de las identidades de carga de trabajo solo se admite en las solicitudes de acceso enviadas a Microsoft Graph como proveedor de recursos. Posteriormente se agregarán más proveedores de recursos.
Se admiten entidades de servicio para aplicaciones de línea de negocio (LOB).
Se admiten los siguientes eventos de revocación:
- Deshabilitar la entidad de servicio
- Eliminar la entidad de servicio
- Alto riesgo de entidad de servicio según lo detectado por Microsoft Entra Protection
La evaluación continua del acceso para las identidades de carga de trabajo admite directivas de acceso condicional que tienen como destino la ubicación y el riesgo.
Habilitar la aplicación
Los desarrolladores pueden optar por la evaluación continua del acceso para las identidades de carga de trabajo cuando sus solicitudes xms_cc de API son una notificación opcional. La xms_cc notificación con un valor de en el token de cp1 acceso es la manera autoritativa de identificar que una aplicación cliente es capaz de controlar un desafío de notificaciones. Para obtener más información sobre cómo realizar este trabajo en la aplicación, consulte Desafíos de notificaciones, solicitudes de notificaciones y funcionalidades de cliente.
Deshabilitar
Para no participar, no envíe la xms_cc notificación con un valor de cp1.
Las organizaciones que tienen microsoft Entra ID P1 o P2 pueden crear una directiva de acceso condicional para deshabilitar la evaluación continua del acceso aplicada a identidades de carga de trabajo específicas como medida inmediata de stopgap.
Solución de problemas
Cuando se bloquea el acceso de un cliente a un recurso porque CAE se desencadena, se revoca la sesión del cliente y el cliente debe volver a autenticarse. Puede comprobar este comportamiento en los registros de inicio de sesión.
Siga estos pasos para comprobar la actividad de inicio de sesión en los registros de inicio de sesión:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
- Vaya a Entra ID>Monitoring & health>Sign-in logs>Service Principal Sign-ins. Use filtros para simplificar el proceso de depuración.
- Seleccione una entrada para ver los detalles de la actividad. El campo Evaluación continua del acceso muestra si se emite un token cae para un intento de inicio de sesión específico.
Contenido relacionado
- Aprenda a registrar una aplicación con el identificador de Entra de Microsoft y a crear una entidad de servicio.
- Obtenga información sobre cómo usar las API habilitadas para evaluación de acceso continuo en las aplicaciones.
- Explore una aplicación de ejemplo mediante la evaluación continua del acceso.
- Obtenga información sobre cómo proteger las identidades de carga de trabajo con Microsoft Entra ID Protection.
- Comprenda qué es la evaluación continua del acceso.