Fortlaufende Zugriffsevaluierung für Workload-Identitäten

Die kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) für Workloadidentitäten verbessert die Sicherheit Ihrer Organisation, indem in Echtzeit Standort- und Risikorichtlinien für bedingten Zugriff durchgesetzt werden. CAE erzwingt sofort die Widerrufereignisse für Token für Workloadidentitäten, um sicherzustellen, dass gefährdete Dienstprinzipale keinen Zugriff auf Ressourcen erhalten.

Voraussetzungen

  • Workload Identities Premium-Lizenzen sind erforderlich, um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern, die auf Dienstprinzipale ausgerichtet sind. Weitere Informationen finden Sie unter Bedingter Zugriff für Workloadidentitäten.
  • Um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern, melden Sie sich mindestens als Administrator für bedingten Zugriff an.
  • CAE für Workloadidentitäten unterstützt in Ihrem Mandanten registrierte Dienstprinzipale mit Einzelmandanten. SaaS- und Multitenant-Apps von Drittanbietern sind außerhalb des Geltungsbereichs.
  • Verwaltete Identitäten werden derzeit von CAE für Workloadidentitäten nicht unterstützt.

Funktionsweise von CAE bei Workload-Identitäten

CAE für Workload-Identitäten erweitert das Modell der kontinuierlichen Zugriffsauswertung auf Dienstprinzipale. Wenn sich ein Dienstprinzipal bei CAE anmeldet, gilt der folgende Ablauf:

  1. Ein Dienstprinzipal fordert ein Zugriffstoken von Microsoft Entra ID für einen unterstützten Ressourcenanbieter an, indem die Clientfunktion cp1 im Anspruchsparameter der Tokenanforderung deklariert wird.
  2. Die Microsoft Entra-ID wertet die anwendbaren Richtlinien für bedingten Zugriff aus und gibt ein CAE-fähiges Zugriffstoken aus. CAE-fähige Token für Workload-Identitäten sind langlebige Token (LLTs) mit einer Lebensdauer von bis zu 24 Stunden.
  3. Der Dienstprinzipal übergibt das Token dem Ressourcenanbieter (Microsoft Graph).
  4. Der Ressourcenanbieter wertet das Token anhand von Sperrereignissen und Änderungen der Richtlinie für bedingten Zugriff aus, die mit der Microsoft Entra-ID synchronisiert wurden.
  5. Bei einem Widerrufsereignis (z. B. Dienstprinzipal deaktiviert oder Erkennung eines hohen Risikos) lehnt der Ressourcenanbieter das Token ab und gibt eine Antwort 401 mit einer Anspruchsanforderung zurück.
  6. Der CAE-fähige Client verarbeitet die Anspruchsanforderung, indem er ein neues Token von der Microsoft Entra-ID anfordert, die alle Bedingungen neu bewertet, bevor sie es ausstellt.

Da CAE-Token für Workloadidentitäten langlebig sind (bis zu 24 Stunden), reduzieren sie den Bedarf an häufigen Tokenanforderungen, während die Sicherheit durch kontinuierliche Auswertung beibehalten wird.

Note

Der vorangehende Fluss folgt dem allgemeinen CAE-Modell, das in der Kontinuierlichen Zugriffsauswertung beschrieben wird. Das Arbeitsauslastungsidentitätsverhalten entspricht diesem Modell, obwohl bestimmte Implementierungsdetails variieren können.

Weitere Informationen dazu, wie Anspruchsherausforderungen funktionieren, finden Sie unter Anspruchsherausforderungen, Anspruchsanfragen und Clientfunktionen.

Unterstützte Szenarien

In den folgenden Abschnitten werden die Ressourcenanbieter, Identitäten, Ereignisse und Richtlinien beschrieben, die CAE für Workloadidentitäten unterstützt.

Ressourcenanbieter

CaE für Workloadidentitäten wird nur für Zugriffsanforderungen unterstützt, die an Microsoft Graph als Ressourcenanbieter gesendet werden.

Unterstützte Identitäten

Dienstprinzipale für Branchenanwendungen (LOB, Line of Business) werden unterstützt. Die folgenden Einschränkungen gelten:

  • Es werden nur in Ihrem Mandanten registrierte Dienstprinzipale mit Einzelmandanten unterstützt.
  • Drittanbieter-SaaS- und -Multitenant-Apps sind nicht im Geltungsbereich.
  • Verwaltete Identitäten werden nicht unterstützt.

Widerrufsereignisse

Die folgenden Widerrufsereignisse werden unterstützt:

  • Service Principal deaktivieren – Ein Administrator deaktiviert den Dienstprinzipal im Mandanten.
  • Dienstprinzipallöschung – Ein Administrator löscht den Dienstprinzipal aus dem Mandanten.
  • Hohes Dienstprinzipalrisiko – Microsoft Entra ID Protection erkennt ein hohes Risiko für den Dienstprinzipal. Weitere Informationen finden Sie unter Schutz von Workload-Identitäten mit Microsoft Entra ID Protection.

Richtlinien für bedingten Zugriff

CaE für Workloadidentitäten unterstützt auf Standort und Risiko abzielenden Richtlinien für bedingten Zugriff. Informationen zum Erstellen dieser Richtlinien finden Sie in den Schritt-für-Schritt-Anleitungen unter Bedingten Zugriff für Workloadidentitäten.

Aktivieren der Anwendung

Developer können sich für Workloadidentitäten bei CAE anmelden, indem sie die Clientfunktion cp1 beim Anfordern von Tokens deklarieren. Das Deklarieren von cp1 teilt Microsoft Entra ID mit, dass die Clientanwendung Anspruchsherausforderungen bewältigen kann. Microsoft Graph (der einzige unterstützte Ressourcenanbieter für workload identity CAE) sendet nur Anspruchsanforderungen an Clients, die diese Funktion deklarieren.

Um die CAE-Funktion zu deklarieren, schließen Sie den folgenden Anspruchsparameter in Ihre Tokenanforderung ein:

Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}

Die Methode zum Deklarieren der cp1 Funktion hängt von der verwendeten Authentifizierungsbibliothek ab. Ausführliche Codebeispiele in .NET, Python, JavaScript und anderen Sprachen finden Sie unter:

Important

Eine Anwendung empfängt keine Anspruchsforderungen und empfängt keine CAE-Token, es sei denn, sie deklariert die cp1 Funktion explizit. Weitere Informationen finden Sie unter Clientfunktionen.

Note

Das Deklarieren cp1 ist eine clientseitige Aktion. Separat können API-Implementierer (Ressourcen-Apps) xms_cc als optionalen Anspruch in ihrem Anwendungsmanifest anfordern, um zu ermitteln, ob Aufrufe von Clients Anspruchsprobleme unterstützen. Weitere Informationen finden Sie unter Empfangen eines xms_cc-Anspruchs in einem Zugriffstoken.

Deaktivieren

Um CAE auf Anwendungsebene zu deaktivieren, senden Sie die Fähigkeit cp1 nicht im Anspruchsparameter von Tokenanforderungen.

Bekannte Einschränkungen

Überprüfen Sie die folgenden Einschränkungen, bevor Sie CAE für Workloadidentitäten implementieren:

  • Nur Microsoft Graph. CaE für Workloadidentitäten wird nur für Zugriffsanforderungen an Microsoft Graph unterstützt. Andere Ressourcenanbieter werden derzeit nicht unterstützt.
  • Verwaltete Identitäten werden nicht unterstützt. CaE unterstützt derzeit keine verwalteten Identitäten.
  • Nur für Dienstprinzipals mit Einzelmandaten Es werden nur in Ihrem Mandanten registrierte Dienstprinzipale mit Einzelmandanten unterstützt. SaaS und Multitenant-Apps von Drittanbietern sind nicht im Geltungsbereich.
  • CaE erzwingt Standort- und Risikorichtlinien. CAE für Workloadidentitäten erzwingt Richtlinien für den bedingten Zugriff, die auf Standort und Risiko in Echtzeit abzielen. Eine vollständige Liste der bedingungen für bedingten Zugriff, die für Workloadidentitäten unterstützt werden (einschließlich Authentifizierungskontexten), finden Sie unter "Bedingter Zugriff für Workloadidentitäten".
  • Gruppenbasierte Richtlinienzuweisung wird nicht erzwungen. Richtlinien für bedingten Zugriff, die einer Gruppe zugewiesen sind, die einen Dienstprinzipal enthält, werden für diesen Dienstprinzipal nicht erzwungen. Die Richtlinie muss direkt dem Dienstprinzipal als Workloadidentität zugewiesen werden. Weitere Informationen finden Sie unter Bedingter Zugriff für Workloadidentitäten.

Überwachung der CAE für Workloadidentitäten

Administratoren können die CAE-Aktivität für Workload-Identitäten mithilfe der Microsoft Entra-Anmeldeprotokolle überwachen.

  1. Melden Sie sich mindestens als Sicherheitsleser beim Microsoft Entra Admin Center an.
  2. Gehen Sie zu Entra ID>Überwachung & Zustand>Anmeldeprotokolle>Anmeldungen des Dienstprinzipals. Vereinfachen Sie den Prozess mithilfe von Filtern.
  3. Wählen Sie einen Eintrag aus, um Aktivitätsdetails anzuzeigen. Das Feld "Fortlaufende Zugriffsbewertung" zeigt an, ob ein CAE-Token für einen bestimmten Anmeldeversuch ausgestellt wurde.

Allgemeine CaE-Überwachungstools, einschließlich der Arbeitsmappe für die Kontinuierliche Zugriffsauswertung und ip-Konfliktanalyse, finden Sie unter Überwachen und Behandeln von Problemen mit kontinuierlicher Zugriffsauswertung.

Problembehandlung

Wenn eine CAE-fähige Ressource ein Workloadidentitätstoken ablehnt, sollte die Anwendung die Anspruchsabfrage 401 bearbeiten und ein neues Token von Microsoft Entra ID anfordern. Microsoft Entra ID überprüft dann die Bedingungen erneut, bevor es entscheidet, ob ein neues Token ausgestellt werden soll. Führen Sie die folgenden Schritte aus, um zu untersuchen.

Der Dienstprinzipalzugriff wurde unerwartet blockiert:

  1. Überprüfen Sie die Anmeldeprotokolle unter Service Principal-Anmeldungen. Suchen Sie nach Einträgen, bei denen das Feld "fortlaufende Zugriffsauswertung" angibt, dass ein CAE-Token beteiligt war.
  2. Überprüfen Sie, ob ein Sperrereignis aufgetreten ist: Überprüfen Sie, ob der Dienstprinzipal von Microsoft Entra ID Protection deaktiviert, gelöscht oder als hohes Risiko gekennzeichnet wurde.
  3. Überprüfen Sie die geltenden Richtlinien für bedingten Zugriff, um sich zu vergewissern, dass die Quell-IP des Dienstprinzipals in einem benannten Standort enthalten ist.

Der Dienstprinzipal empfängt keine CAE-Token:

  • Überprüfen Sie, ob die Anwendung die cp1 Funktion im Anspruchsparameter von Tokenanforderungen deklariert.
  • Bestätigen Sie, dass die Anwendung auf Microsoft Graph als Ressourcenanbieter ausgerichtet ist. Andere Ressourcenanbieter werden derzeit für CAE nicht unterstützt.
  • Überprüfen Sie, ob der Dienstprinzipal eine in Ihrem Mandanten registrierte LOB-Anwendung mit Einzelmandanten ist.

IP-Adressenkonflikt zwischen Microsoft Entra ID und Ressourcenanbieter:

Weitere Informationen zur Problembehandlung bei CAE finden Sie unter Überwachen und Problembehandlung bei der kontinuierlichen Zugriffsauswertung.

Zugehöriger Inhalt

  • Last updated on