Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’évaluation continue des accès (CAE) pour les identités de charge de travail améliore la sécurité de votre organisation en appliquant des stratégies d’emplacement et de risque d’accès conditionnel en temps réel. La CAE applique instantanément les événements de révocation de jetons pour les identités de charge de travail, contribuant ainsi à empêcher les principaux de service compromis d’accéder aux ressources.
Prerequisites
- Les licences Identités de charge de travail Premium sont nécessaires pour créer ou modifier des stratégies d’accès conditionnel étendues aux principaux de service. Pour plus d’informations, consultez Accès conditionnel pour les identités de charge de travail.
- Pour créer ou modifier des stratégies d’accès conditionnel, connectez-vous en tant qu’administrateur d’accès conditionnel au moins.
- La CAE pour les identités de charge de travail prend en charge les principaux de service à locataire unique enregistrés dans votre locataire. Les applications SaaS et multilocataires tierces ne font pas partie du périmètre.
- Les identités managées ne sont actuellement pas prises en charge par CAE pour les identités de charge de travail.
Fonctionnement de la CAE pour les identités de charge de travail
La CAE pour les identités de charge de travail étend le modèle d’évaluation continue de l’accès aux principaux de service. Lorsqu’un principal de service opte pour CAE, le flux suivant s’applique :
- Un principal de service demande un jeton d’accès à Microsoft Entra ID pour un fournisseur de ressources pris en charge, en déclarant la capacité client
cp1dans le paramètre de revendication de la demande de jeton. - Microsoft Entra ID évalue les stratégies d’accès conditionnel applicables et émet un jeton d’accès compatible caE. Les jetons activés pour la CAE pour les identités de charge de travail sont des jetons de longue durée (LLT) avec une durée de vie pouvant aller jusqu’à 24 heures.
- Le principal de service présente le jeton au fournisseur de ressources (Microsoft Graph).
- Le fournisseur de ressources évalue le jeton par rapport aux événements de révocation et les modifications de stratégie d’accès conditionnel synchronisées à partir de l’ID Microsoft Entra.
- Si un événement de révocation se produit (comme la désactivation du principal de service ou la détection d’un risque élevé), le fournisseur de ressources rejette le jeton et renvoie une réponse
401avec une demande de revendications. - Le client compatible avec CAE gère le défi de la validation en demandant un nouveau jeton auprès de Microsoft Entra ID, qui réévalue toutes les conditions avant d'émettre un nouveau jeton.
Étant donné que les jetons CAE pour les identités de charge de travail sont de longue durée (jusqu’à 24 heures), ils réduisent le besoin de demandes de jeton fréquentes tout en conservant la sécurité via une évaluation continue.
Note
Le flux précédent suit le modèle CAE général décrit dans l’évaluation de l’accès continu. Le comportement de l’identité de charge de travail s’aligne sur ce modèle, même si des détails d’implémentation spécifiques peuvent varier.
Pour plus d’informations sur le fonctionnement des défis liés aux revendications, consultez les défis liés aux revendications, les demandes de revendications et les fonctionnalités du client.
Scénarios pris en charge
Les sections suivantes décrivent les fournisseurs de ressources, les identités, les événements et les stratégies pris en charge par CAE pour les identités de charge de travail.
Fournisseurs de ressources
La CAE pour les identités de charge de travail est prise en charge uniquement pour les requêtes d’accès envoyées à Microsoft Graph en tant que fournisseur de ressources.
Identités prises en charge
Les principaux de service pour les applications métier sont pris en charge. Les contraintes suivantes s’appliquent :
- Seuls les principaux de service à locataire unique enregistrés dans votre locataire sont pris en charge.
- Les applications SaaS et multilocataires tierces sont hors du périmètre.
- Les identités managées ne sont pas prises en charge.
Événements de révocation
Les événements de révocation suivants sont pris en charge :
- Désactivation du principal de service : un administrateur désactive le principal de service dans le locataire.
- Suppression du principal de service : un administrateur supprime le principal de service du locataire.
- Risque élevé de principal de service : Microsoft Entra ID Protection détecte un risque élevé pour le principal de service. Pour plus d’informations, consultez Sécurisation des identités de charge de travail avec Microsoft Entra ID Protection.
Stratégies d’accès conditionnel
La CAE pour les identités de charge de travail prend en charge les stratégies d’accès conditionnel qui ciblent l’emplacement et le risque. Pour créer ces stratégies, consultez les guides détaillés dans Accès conditionnel pour les identités de charges de travail.
Activer votre application
Les développeurs peuvent opter pour une CAE pour les identités de la charge de travail en déclarant la cp1 capacité du client lors de la demande de jetons. La déclaration de cp1 indique à Microsoft Entra ID que l’application cliente peut gérer les demandes de revendications. Microsoft Graph (le seul fournisseur de ressources pris en charge pour la CAE des identités de charge de travail) envoie des demandes de revendications uniquement aux clients qui déclarent cette capacité.
Pour déclarer la fonctionnalité CAE, incluez le paramètre de revendications suivant dans votre demande de jeton :
Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}
La méthode de déclaration de la cp1 fonctionnalité dépend de la bibliothèque d’authentification que vous utilisez. Pour obtenir des exemples de code détaillés dans .NET, Python, JavaScript et d’autres langages, consultez :
- Contestations liées aux revendications, demandes de revendications, et fonctionnalités clientes
- Utiliser des API activées pour l’évaluation de l’accès continu dans vos applications
Important
Une application ne recevra pas de demandes de revendications et ne recevra pas de jetons CAE à moins de déclarer explicitement la capacité cp1. Pour plus d’informations, consultez fonctionnalités du client.
Note
La déclaration cp1 est une action côté client. Séparément, les implémenteurs d’API (applications de ressources) peuvent demander xms_cc comme revendication facultative dans leur manifeste d’application pour détecter si les clients appelants prennent en charge les défis liés aux revendications. Pour plus d'informations, consultez Réception de la requête xms_cc dans un jeton d'accès.
Désactiver
Pour désactiver la CAE au niveau de l’application, n’envoyez pas la capacité cp1 dans le paramètre de revendications des demandes de jeton.
Limitations connues
Passez en revue les limitations suivantes avant d’implémenter CAE pour les identités de charge de travail :
- Microsoft Graph uniquement. La CAE pour les identités de charge de travail est prise en charge uniquement pour les requêtes d’accès adressées à Microsoft Graph. Les autres fournisseurs de ressources ne sont actuellement pas pris en charge.
- Les identités managées ne sont pas prises en charge. CaE ne prend pas en charge les identités managées pour l’instant.
- Principaux de service mono-locataire uniquement. Seuls les principaux de service à locataire unique enregistrés dans votre locataire sont pris en charge. Les applications SaaS et multitenantes tierces sont hors du champ d'application.
- CAE applique les stratégies d’emplacement et de risque. La CAE pour les identités de charge de travail applique en temps réel les stratégies d’accès conditionnel qui ciblent l’emplacement et le risque. Pour obtenir la liste complète des conditions d’accès conditionnel prises en charge pour les identités de charge de travail (y compris les contextes d’authentification), consultez l’accès conditionnel pour les identités de charge de travail.
- L'affectation de stratégie basée sur un groupe n'est pas imposée. Les stratégies d’accès conditionnel affectées à un groupe qui contient un principal de service ne sont pas appliquées pour ce principal de service. La stratégie doit être attribuée directement au principal de service en tant qu’identité de charge de travail. Pour plus d’informations, consultez Accès conditionnel pour les identités de charge de travail.
Surveiller CAE pour les identités de charges de travail
Les administrateurs peuvent surveiller l’activité de la CAE pour les identités de charge de travail à l’aide des journaux de connexion Microsoft Entra.
- Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de sécurité au moins.
- Accédez à Entra ID>Surveillance et état d’intégrité>Journaux de connexion>Connexions de principal de service. Utilisez des filtres pour simplifier le processus.
- Sélectionnez une entrée pour afficher les détails de l’activité. Le champ d’évaluation de l’accès continu indique si un jeton CAE a été émis pour une tentative de connexion spécifique.
Pour obtenir des outils de surveillance généraux de CAE, notamment le classeur Informations sur l’évaluation continue de l’accès et l’analyse des incohérences d’adresse IP, consultez Surveiller et dépanner l’évaluation continue de l’accès.
Résolution des problèmes
Lorsqu’une ressource activée pour la CAE rejette un jeton d’identité de charge de travail, l’application doit gérer la demande de revendications 401 et demander un nouveau jeton à Microsoft Entra ID. Microsoft Entra ID réévalue ensuite les conditions avant de décider s’il faut émettre un nouveau jeton. Procédez comme suit pour examiner.
L’accès au principal de service est bloqué de manière inattendue :
- Vérifiez les journaux de connexions sous Connexions du principal de service. Recherchez les entrées où le champ Évaluation de l’accès continu indique qu’un jeton CAE a été impliqué.
- Vérifiez si un événement de révocation s’est produit : vérifiez si le principal de service a été désactivé, supprimé ou marqué comme étant à haut risque par Microsoft Entra ID Protection.
- Passez en revue les stratégies d’accès conditionnel applicables pour confirmer que l’adresse IP source du principal de service est incluse dans un emplacement nommé autorisé.
Le Service Principal ne reçoit pas de jetons CAE :
- Vérifiez que l’application déclare la fonctionnalité
cp1dans le paramètre de revendications des demandes de jeton. - Vérifiez que l’application cible Microsoft Graph comme fournisseur de ressources. D’autres fournisseurs de ressources ne sont actuellement pas pris en charge pour CAE.
- Vérifiez que le principal de service est une application métier à locataire unique enregistrée dans votre locataire.
Incompatibilité d’adresse IP entre l’ID Microsoft Entra et le fournisseur de ressources :
- Cette situation peut se produire avec des réseaux de tunnel fractionné ou des configurations de proxy. Lorsque les adresses IP ne correspondent pas, l’ID Microsoft Entra émet un jeton CAE d’une heure et n’applique pas la modification de l’emplacement du client pendant cette période. Pour plus d’informations, consultez Surveiller et résoudre les problèmes d’évaluation de l’accès continu.
Pour plus d’informations sur la résolution des problèmes liés à CAE, consultez Surveiller et résoudre les problèmes d’évaluation de l’accès continu.
Contenu associé
- Accès conditionnel pour les identités de charge de travail
- Évaluation continue de l’accès
- Analyser et dépanner l’évaluation continue de l’accès
- Contestations liées aux revendications, demandes de revendications, et fonctionnalités clientes
- Utiliser des API activées pour l’évaluation de l’accès continu dans vos applications
- Sécurisation des identités de charge de travail avec Microsoft Entra ID Protection
- Inscrire une application avec l’ID Microsoft Entra et créer un principal de service
- Exemple d’application utilisant l’évaluation continue de l’accès