Avaliação contínua de acesso

Mecanismos de expiração e atualização de tokens são comumente empregados no setor. Após o logon bem-sucedido do usuário no Azure DevOps, o cliente Web adquire um token de acesso OAuth 2.0 do Entra, desde que todas as políticas de acesso condicional necessárias sejam atendidas. Esses tokens geralmente permanecem válidos por uma hora. Após a expiração, o cliente Web atualizará automaticamente o token do Microsoft Entra, permitindo uma reavaliação das políticas de acesso, como Acesso Condicional ou status da conta. No entanto, este processo não funciona quase em tempo real; por exemplo, um evento de segurança como a exclusão de uma conta de usuário pode levar até uma hora para o Azure DevOps detetar e responder, enquanto aguarda a expiração do token de acesso existente. Tais atrasos na aplicação das políticas podem dificultar respostas atempadas a incidentes de segurança.

Em contraste, a Avaliação Contínua de Acesso (CAE) facilita a aplicação quase em tempo real. Ele estabelece um canal de comunicação bidirecional entre os serviços Microsoft Entra e Azure DevOps, permitindo que o Azure DevOps sincronize localmente e verifique políticas de acesso condicional para alterações no cliente, como alteração no endereço IP. Além disso, o emissor de token (Entra) pode alertar o Azure DevOps para parar de aceitar tokens para um usuário específico devido a problemas como comprometimento da conta, desativação ou outras preocupações, e o Azure DevOps é capaz de agir de acordo.