Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ciągła ocena dostępu (CAE) dla tożsamości obciążeń zwiększa bezpieczeństwo organizacji. Wymusza ona zasady dostępu warunkowego i ryzyka w czasie rzeczywistym i natychmiast wymusza zdarzenia odwołania tokenów dla tożsamości obciążeń.
Ciągła ocena dostępu nie obsługuje obecnie tożsamości zarządzanych.
Zakres wsparcia
Ciągła ocena dostępu dla tożsamości zadań roboczych jest obsługiwana tylko w przypadku żądań dostępu wysyłanych do usługi Microsoft Graph jako dostawcy zasobów. W czasie zostanie dodanych więcej dostawców zasobów.
Obsługiwane są jednostki usług dla aplikacji biznesowych (LOB).
Obsługiwane są następujące zdarzenia odwołania:
- Wyłączanie jednostki usługi
- Usuwanie jednostki usługi
- Wysokie ryzyko jednostki usługi wykryte przez Ochrona tożsamości Microsoft Entra
Ciągła ocena dostępu dla tożsamości związanych z obciążeniami obsługuje zasady dostępu warunkowego uwzględniające lokalizację i ryzyko.
Włączanie aplikacji
Deweloperzy mogą zdecydować się na ciągłą ocenę dostępu dla tożsamości obciążeń, gdy ich żądania xms_cc interfejsu API są opcjonalne. Oświadczenie xms_cc z wartością cp1 w tokenie dostępu jest autorytatywnym sposobem identyfikacji, że aplikacja kliencka może obsługiwać wyzwanie oświadczeń. Aby uzyskać więcej informacji na temat sposobu działania tej funkcji w aplikacji, zobacz Wyzwania dotyczące oświadczeń, żądania oświadczeń i możliwości klienta.
Wyłącz
Aby zrezygnować, nie wysyłaj xms_cc roszczenia z wartością cp1.
Organizacje, które mają identyfikator Entra ID P1 lub P2 firmy Microsoft, mogą utworzyć zasady dostępu warunkowego, aby wyłączyć ciągłą ocenę dostępu stosowaną do określonych tożsamości obciążeń jako środek natychmiastowego zatrzymania.
Rozwiązywanie problemów
Gdy dostęp klienta do zasobu jest zablokowany, ponieważ usługa CAE jest wyzwalana, sesja klienta zostanie odwołana, a klient musi ponownie uwierzytelnić. To zachowanie można sprawdzić w dziennikach logowania.
Wykonaj następujące kroki, aby zweryfikować działanie logowania w dziennikach logowania:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Czytelnik zabezpieczeń.
- Przejdź do witryny Entra ID>Monitoring and health>Sign-in logs>Service Principal Sign-ins (Logowanie główne usługi). Użyj filtrów, aby uprościć proces debugowania.
- Wybierz wpis, aby wyświetlić szczegóły działania. Pole Oceny ciągłego dostępu pokazuje, czy token CAE jest wystawiany dla określonej próby logowania.
Powiązana zawartość
- Dowiedz się, jak zarejestrować aplikację przy użyciu identyfikatora Entra firmy Microsoft i utworzyć jednostkę usługi.
- Dowiedz się, jak używać interfejsów API z obsługą ciągłego dostępu w aplikacjach.
- Zapoznaj się z przykładową aplikacją przy użyciu oceny ciągłego dostępu.
- Dowiedz się więcej o zabezpieczaniu tożsamości obciążeń za pomocą usługi Microsoft Entra ID Protection.
- Dowiedz się , czym jest ciągła ocena dostępu.