워크로드 ID에 대한 CAE(지속적인 액세스 평가)는 조직의 보안을 향상시킵니다. 조건부 액세스 위치 및 위험 정책을 실시간으로 적용하고 워크로드 ID에 대한 토큰 해지 이벤트를 즉시 적용합니다.
지속적인 액세스 권한 평가는 현재 관리 ID를 지원하지 않습니다.
지원 범위
워크로드 ID에 대한 지속적인 액세스 권한 평가는 Microsoft Graph에 리소스 공급자로 전송된 액세스 요청에서만 지원됩니다. 시간이 지남에 따라 더 많은 리소스 공급자가 추가될 예정입니다.
LOB(기간 업무) 애플리케이션의 서비스 주체가 지원됩니다.
지원되는 해지 이벤트는 다음과 같습니다.
- 서비스 주체 비활성화
- 서비스 주체 삭제
- Microsoft EntraID Protection에서 탐지한 높은 서비스 주체 위험
워크로드 ID에 대한 지속적인 액세스 평가는 위치 및 위험을 대상으로 하는 조건부 액세스 정책을 지원합니다.
애플리케이션을 활성화하십시오
개발자는 API가 선택적 클레임으로 요청할 때 워크로드 ID에 대한 지속적인 액세스 평가를 옵트인할 수 있습니다 xms_cc . 액세스 토큰에 값 cp1 이 있는 클레임은 xms_cc 클라이언트 애플리케이션이 클레임 챌린지를 처리할 수 있는지를 식별하는 신뢰할 수 있는 방법입니다. 애플리케이션에서 이 작업을 하는 방법에 대한 자세한 내용은 클레임 챌린지, 클레임 요청 및 클라이언트 기능을 참조하세요.
사용 안 함
옵트아웃하려면 값cp1이 있는 클레임을 xms_cc 보내지 마세요.
Microsoft Entra ID P1 또는 P2가 있는 조직은 조건부 액세스 정책을 만들어 특정 워크로드 ID 에 적용된 지속적인 액세스 평가를 즉시 중지 측정값으로 사용하지 않도록 설정할 수 있습니다.
문제 해결
CAE가 트리거되어 리소스에 대한 클라이언트의 액세스가 차단되면 클라이언트의 세션이 해지되고 클라이언트가 다시 인증해야 합니다. 로그인 로그에서 이 동작을 확인할 수 있습니다.
로그인 로그에서 로그인 활동을 확인하려면 다음 단계를 수행합니다.
- Microsoft Entra 관리 센터에 최소한 보안 읽기 권한자로 로그인합니다.
- Entra ID>모니터링 및 상태>로그인 로그>서비스 주체 로그인으로 찾습니다. 필터를 사용하여 디버깅 프로세스를 간소화합니다.
- 항목을 선택하여 활동 세부 정보를 봅니다. 연속 액세스 평가 필드에는 특정 로그인 시도에 대해 CAE 토큰이 발급되는지 여부가 표시됩니다.
관련 콘텐츠
- Microsoft Entra ID를 사용하여 애플리케이션을 등록하고 서비스 주체를 만드는 방법을 알아봅니다.
- 애플리케이션에서 연속 액세스 평가 사용 API를 사용하는 방법을 알아봅니다.
- 연속 액세스 평가를 사용하여 샘플 애플리케이션을 탐색합니다.
- Microsoft Entra ID Protection을 사용하여 워크로드 ID를 보호하는 방법에 대해 알아봅니다.
- 지속적인 액세스 평가가 무엇인지 이해합니다.