概要
ワークロード ID の継続的アクセス評価 (CAE) により、組織のセキュリティが向上します。 条件付きアクセスの場所とリスク ポリシーをリアルタイムで適用し、ワークロード ID のトークン失効イベントを即座に適用します。
継続的アクセス評価では、現在、マネージド ID はサポートされていません。
サポートのスコープ
ワークロード ID の継続的なアクセス評価は、リソース プロバイダーとして Microsoft Graph に送信されたアクセス要求でのみサポートされます。 今後、さらに多くのサービスが追加される予定です。
基幹業務 (LOB) アプリケーションのサービス プリンシパルがサポートされています。
次の失効イベントがサポートされています。
- サービス プリンシパルの無効化
- サービス プリンシパルの削除
- Microsoft Entra ID Protection によって検出された高いサービス プリンシパル リスク
ワークロード ID の継続的なアクセス評価では、 場所とリスクを対象とする条件付きアクセス ポリシーがサポートされます。
アプリケーションを有効にする
開発者は、API 要求にxms_ccを省略可能なクレームとして含める場合、ワークロード ID の継続的アクセス評価に参加できます。 アクセス トークン内の xms_cc クレームが cp1 の値を持つ場合は、クライアント アプリケーションがクレームチャレンジを処理できることを確認するための正式な方法です。 アプリケーションでこれを機能させる方法の詳細については、「 要求チャレンジ、要求要求、およびクライアント機能」を参照してください。
無効にする
オプトアウトするには、xms_ccの値を持つcp1要求を送信しないでください。
Microsoft Entra ID P1 または P2 を持つ組織は、 条件付きアクセス ポリシー を作成して、特定のワークロード ID に適用される継続的アクセス評価を即時停止措置として無効にすることができます。
トラブルシューティング
CAE がトリガーされたためにクライアントのリソースへのアクセスがブロックされると、クライアントのセッションは取り消され、クライアントは再認証する必要があります。 この動作は、サインイン ログで確認できます。
サインイン ログでサインイン アクティビティを確認するには、次の手順に従います。
- Microsoft Entra 管理センターに、少なくともセキュリティ閲覧者としてサインインします。
- Entra ID>監視と状態>サインイン ログ>サービス プリンシパル サインインに移動します。フィルターを使用してデバッグ プロセスを簡素化します。
- エントリを選択すると、アクティビティの詳細が表示されます。 [継続的アクセス評価] フィールドには、特定のサインイン試行に対して CAE トークンが発行されているかどうかを示します。