Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La evaluación continua del acceso (CAE) para las identidades de carga de trabajo mejora la seguridad de su organización mediante la aplicación de directivas de riesgo y ubicación de acceso condicional en tiempo real. CAE aplica instantáneamente eventos de revocación de tokens para identidades de tareas, lo que ayuda a evitar que los principales de servicio comprometidos accedan a los recursos.
Prerequisites
- Las licencias premium de identidades de carga de trabajo son necesarias para crear o modificar directivas de acceso condicional en el ámbito de las entidades de servicio. Para obtener más información, consulte Acceso condicional para identidades de carga de trabajo.
- Para crear o modificar directivas de acceso condicional, inicie sesión como al menos un administrador de acceso condicional.
- CAE para identidades de carga de trabajo admite entidades de servicio de inquilino único registradas en el inquilino. Las aplicaciones SaaS y multitenant de terceros están fuera del alcance.
- Las identidades administradas no son compatibles actualmente con CAE para las identidades de carga de trabajo.
Funcionamiento de CAE para identidades de carga de trabajo
CAE para las identidades de carga de trabajo amplía el modelo de evaluación continua del acceso a las entidades de servicio. Cuando una entidad de servicio participa en CAE, se aplica el siguiente flujo:
- Una entidad de servicio solicita un token de acceso de Microsoft Entra ID para un proveedor de recursos compatible, declarando la
cp1capacidad del cliente en el parámetro de reclamaciones de la solicitud de token. - Microsoft Entra ID evalúa las directivas de acceso condicional aplicables y emite un token de acceso habilitado para CAE. Los tokens compatibles con CAE para identidades de cargas de trabajo son tokens de larga duración (LLT) con una duración de hasta 24 horas.
- La entidad de servicio presenta el token al proveedor de recursos ("Microsoft Graph").
- El proveedor de recursos evalúa el token contra los eventos de revocación y los cambios en la directiva de acceso condicional sincronizados desde Microsoft Entra ID.
- Si se produce un evento de revocación (como la deshabilitación de la entidad de servicio o la detección de alto riesgo), el proveedor de recursos rechaza el token y devuelve una
401respuesta con un desafío de claims. - El cliente compatible con CAE gestiona el desafío de las reclamaciones solicitando un nuevo token de Microsoft Entra ID, que vuelve a evaluar todas las condiciones antes de emitir un nuevo token.
Dado que los tokens CAE para identidades de carga de trabajo son de larga duración (hasta 24 horas), reducen la necesidad de solicitudes de token frecuentes mientras mantienen la seguridad a través de la evaluación continua.
Note
El flujo anterior sigue el modelo del CAE general descrito en Evaluación continua del acceso. El comportamiento de la identidad de la carga de trabajo se alinea con este modelo, aunque los detalles de implementación específicos pueden variar.
Para obtener más información sobre cómo funcionan los desafíos de notificaciones, consulte Desafíos de notificaciones, solicitudes de notificaciones y funcionalidades de cliente.
Escenarios compatibles
En las secciones siguientes se describen los proveedores de recursos, las identidades, los eventos y las directivas que CAE admite para las identidades de carga de trabajo.
Proveedores de recursos
CAE para identidades de carga de trabajo solo se admite en solicitudes de acceso enviadas a Microsoft Graph como proveedor de recursos.
Identidades admitidas
Se admiten entidades de servicio para aplicaciones de línea de negocio (LOB). Se aplican las restricciones siguientes:
- Solo se admiten las entidades de servicio de un solo arrendatario registradas en su arrendatario.
- Las aplicaciones SaaS y multiinquilino de terceros están fuera del ámbito.
- No se admiten identidades administradas.
Eventos de revocación
Se admiten los siguientes eventos de revocación:
- Deshabilitación de la entidad de servicio: un administrador deshabilita la entidad de servicio en el inquilino.
- Eliminar entidad de servicio: un administrador elimina la entidad de servicio del arrendatario.
- Alto riesgo de entidad de servicio : Microsoft Entra ID Protection detecta un alto riesgo para la entidad de servicio. Para obtener más información, consulte Protección de identidades de carga de trabajo con Microsoft Entra ID Protection.
Directivas de acceso condicional
CAE para identidades de carga de trabajo admite directivas de acceso condicional que tienen como destino la ubicación y el riesgo. Para crear estas directivas, consulte los tutoriales paso a paso en Acceso condicional para identidades de carga de trabajo.
Habilitar la aplicación
Los desarrolladores pueden optar por CAE para las identidades de carga de trabajo declarando la cp1 funcionalidad del cliente al solicitar tokens. Declarar cp1 informa al ID de Microsoft Entra que la aplicación cliente puede manejar desafíos de las reclamaciones. Microsoft Graph (el único proveedor de recursos admitido para el CAE de identidad de carga de trabajo) solo envía desafíos de declaraciones a los clientes que declaran esta capacidad.
Para declarar la funcionalidad CAE, incluya el siguiente parámetro de reclamaciones en la solicitud de token:
Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}
El método para declarar la cp1 funcionalidad depende de la biblioteca de autenticación que use. Para obtener ejemplos de código detallados en .NET, Python, JavaScript y otros lenguajes, consulte:
- Desafíos de notificaciones, solicitudes de notificaciones y funcionalidades de cliente
- Uso de las API habilitadas para la evaluación continua de acceso en las aplicaciones
Importante
Una aplicación no recibirá desafíos de reclamaciones y no recibirá tokens CAE a menos que declare explícitamente la cp1 capacidad. Para obtener más información, consulte Funcionalidades de cliente.
Note
Declarar cp1 es una acción del lado del cliente. Por separado, los implementadores de API (aplicaciones de recursos) pueden solicitar xms_cc como una declaración opcional en su manifiesto de aplicación para detectar si los clientes que llaman admiten desafíos de declaraciones. Para obtener más información, consulte Reclamo de xms_cc en un token de acceso.
Deshabilitar
Para no participar en CAE a nivel de aplicación, no envíe la capacidad cp1 en el parámetro de reclamaciones de las solicitudes de token.
Limitaciones conocidas
Revise las siguientes limitaciones antes de implementar CAE para las identidades de carga de trabajo:
- Solo Microsoft Graph. CAE para identidades de carga de trabajo solo se admite en solicitudes de acceso a Microsoft Graph. Actualmente no se admiten otros proveedores de recursos.
- No se admiten identidades administradas. CAE no admite identidades administradas en este momento.
- Solo las entidades de servicio de un solo inquilino. Solo se admiten las entidades de servicio de un solo inquilino registradas en el inquilino. Las aplicaciones SaaS y de multitenencia de terceros están fuera del ámbito.
- CAE aplica las directivas de ubicación y riesgo. CAE para identidades de carga de trabajo aplica políticas de Acceso Condicional que apuntan a la ubicación y el riesgo en tiempo real. Para obtener la lista completa de las condiciones de acceso condicional admitidas para las identidades de carga de trabajo (incluidos los contextos de autenticación), consulte Acceso condicional para identidades de carga de trabajo.
- No se ha aplicado la asignación de directiva basada en grupos. Las directivas de acceso condicional asignadas a un grupo que contiene una entidad de servicio no se aplican a esa entidad de servicio. La política debe asignarse directamente al principal de servicio como una identidad de carga de trabajo. Para obtener más información, consulte Acceso condicional para identidades de carga de trabajo.
Monitorización de CAE para identidades de cargas de trabajo
Los administradores pueden supervisar la actividad de CAE para las identidades de carga de trabajo mediante los registros de inicio de sesión de Microsoft Entra.
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
- Vaya a Entra ID>Monitoreo y salud>Registros de inicio de sesión>Inicios de sesión del principal del servicio. Use filtros para simplificar el proceso.
- Seleccione una entrada para ver los detalles de la actividad. El campo Evaluación continua del acceso muestra si se emitió un token CAE para un intento de inicio de sesión específico.
Para obtener herramientas generales de supervisión de CAE, incluido el cuaderno evaluación continua del acceso, información y análisis y el análisis de desajuste de IP, consulte Supervisión y solución de problemas de evaluación continua del acceso.
Solución de problemas
Cuando un recurso habilitado para CAE rechaza un token de identidad de carga de trabajo, la aplicación debe manejar el desafío de reclamaciones 401 y solicitar un nuevo token desde Microsoft Entra ID. A continuación, microsoft Entra ID vuelve a evaluar las condiciones antes de decidir si se debe emitir un nuevo token. Siga estos pasos para investigar.
El acceso al principal de servicio se bloquea inesperadamente:
- Compruebe los registros de inicio de sesión en inicios de sesión del principal del servicio. Busque entradas en las que el campo Evaluación continua de acceso indica que se ha implicado un token CAE.
- Compruebe si se produjo un evento de revocación: verifique si el principal de servicio se deshabilitó, eliminó o marcó como de alto riesgo por Microsoft Entra ID Protection.
- Revise las directivas de acceso condicional aplicables para confirmar que la dirección IP de origen de la entidad de servicio se incluye en una ubicación con nombre permitida.
La entidad de servicio no está recibiendo tokens CAE:
- Verifique que la aplicación declare la
cp1capacidad en el parámetro de declaraciones de la solicitud de token. - Confirme que la aplicación tiene como destino Microsoft Graph como proveedor de recursos. Actualmente, no se admiten otros proveedores de recursos para CAE.
- Compruebe que la entidad de servicio es una aplicación LOB de inquilino único registrada en su inquilino.
Error de coincidencia de direcciones IP entre el identificador de Microsoft Entra y el proveedor de recursos:
- Esta situación puede producirse con redes de túnel dividido o configuraciones de proxy. Cuando las direcciones IP no coinciden, el identificador de Entra de Microsoft emite un token CAE de una hora y no aplica el cambio de ubicación del cliente durante ese período. Para obtener más información, consulte Monitoreo y diagnóstico de problemas en la evaluación del acceso continuo.
Para obtener más información sobre la solución de problemas de CAE, consulte Supervisión y solución de problemas de evaluación continua del acceso.
Contenido relacionado
- Acceso condicional para identidades de tareas
- Evaluación continua de acceso
- Supervisión y solución de problemas de evaluación continua de acceso
- Desafíos de notificaciones, solicitudes de notificaciones y funcionalidades de cliente
- Uso de las API habilitadas para la evaluación continua de acceso en las aplicaciones
- Protección de identidades de carga de trabajo con Microsoft Entra ID Protection
- Registro de una aplicación con el identificador de Microsoft Entra y creación de una entidad de servicio
- Aplicación de ejemplo que utiliza evaluación continua de acceso