Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) für Workloadidentitäten verbessert die Sicherheit Ihrer Organisation. Es erzwingt in Echtzeit Standort- und Risikorichtlinien für bedingte Zugriffskontrollen und setzt unverzüglich Tokenwiderrufereignisse für Workload-Identitäten durch.
Die fortlaufende Zugriffsevaluierung unterstützt derzeit keine verwalteten Identitäten.
Supportumfang
Fortlaufende Zugriffsevaluierung für Workloadidentitäten wird nur bei Zugriffsanforderungen unterstützt, die an Microsoft Graph als Ressourcenanbieter gesendet werden. Im Lauf der Zeit werden weitere Ressourcenanbieter hinzugefügt.
Dienstprinzipale für Branchenanwendungen werden unterstützt.
Die folgenden Widerrufsereignisse werden unterstützt:
- Deaktivieren von Dienstprinzipalen
- Dienstprinzipal löschen
- Hohes Dienstprinzipalrisiko, wie von Microsoft Entra ID Protection erkannt
Kontinuierliche Zugriffsauswertung für Workloadidentitäten unterstützt Richtlinien für bedingten Zugriff, die den Standort und das Risiko ansprechen.
Aktivieren der Anwendung
Entwickler können die kontinuierliche Zugriffsauswertung für Workload-Identitäten aktivieren, wenn bei ihren API-Anfragen xms_cc als optionaler Anspruch angefordert wird. Der xms_cc Anspruch mit einem Wert von cp1 im Zugriffstoken ist die maßgebliche Methode, um festzustellen, dass eine Clientanwendung in der Lage ist, eine Anspruchsherausforderung zu verarbeiten. Weitere Informationen dazu, wie Sie dies in Ihrer Anwendung umsetzen können, finden Sie unter Claims-Herausforderungen, Anspruchsanforderungen und Clientfunktionen.
Deaktivieren
Um dies zu deaktivieren, senden Sie den xms_cc Claim nicht mit einem Wert von cp1.
Organisationen, die über Microsoft Entra ID P1 oder P2 verfügen, können eine Richtlinie für bedingten Zugriff erstellen, um die kontinuierliche Zugriffsauswertung zu deaktivieren , die auf bestimmte Workloadidentitäten als sofortige Stopgap-Maßnahme angewendet wird.
Problembehandlung
Wenn der Zugriff eines Clients auf eine Ressource blockiert wird, da caE ausgelöst wird, wird die Clientsitzung widerrufen und der Client muss erneut authentifiziert werden. Sie können dieses Verhalten in den Anmeldeprotokollen überprüfen.
Führen Sie die folgenden Schritte aus, um die Anmeldeaktivität in den Anmeldeprotokollen zu überprüfen:
- Melden Sie sich mindestens als Sicherheitsleser beim Microsoft Entra Admin Center an.
- Navigieren Sie zu
Entra ID Überwachung & Zustand Anmeldeprotokolle Dienstprinzipal-Anmeldungen . Verwenden Sie Filter, um den Debugging-Prozess zu vereinfachen. - Wählen Sie einen Eintrag aus, um Aktivitätsdetails anzuzeigen. Das Feld "Fortlaufender Zugriff" zeigt an, ob ein CAE-Token für einen bestimmten Anmeldeversuch ausgestellt wird.
Zugehöriger Inhalt
- Erfahren Sie, wie Sie eine Anwendung mit der Microsoft Entra-ID registrieren und einen Dienstprinzipal erstellen.
- Erfahren Sie, wie Sie APIs mit aktivierter kontinuierlicher Zugriffsauswertung in Ihren Anwendungen verwenden.
- Erkunden Sie eine Beispielanwendung mithilfe einer kontinuierlichen Zugriffsauswertung.
- Erfahren Sie mehr über das Sichern von Workloadidentitäten mit Microsoft Entra ID Protection.
- Verstehen Sie , was eine kontinuierliche Zugriffsauswertung ist.