Continue evaluatie van toegang voor workload-identiteiten

De continue toegangsevaluatie (CAE) voor workloadidentiteiten verbetert de beveiliging van uw organisatie door beleid voor voorwaardelijke toegang met betrekking tot locatie en risico in realtime af te dwingen. CAE dwingt onmiddellijk tokenintrekkingsgebeurtenissen af voor workloadidentiteiten, waardoor gecompromitteerde service-principals geen toegang hebben tot resources.

Vereiste voorwaarden

  • Premium-licenties voor workloadidentiteiten zijn vereist voor het maken of wijzigen van beleidsregels voor voorwaardelijke toegang die zijn gericht op service-principals. Zie Voorwaardelijke toegang voor workloadidentiteiten voor meer informatie.
  • Als u beleid voor voorwaardelijke toegang wilt maken of wijzigen, meldt u zich aan als ten minste een beheerder voor voorwaardelijke toegang.
  • CAE voor workload-identiteiten ondersteunt service-principals voor single-tenant die zijn geregistreerd in uw tenant. SaaS- en multitenant-apps van derden vallen buiten het bereik.
  • Beheerde identiteiten worden momenteel niet ondersteund door CAE voor workload-identiteiten.

Hoe CAE werkt voor workloadidentiteiten

CAE voor workload-identiteiten breidt het model voor continue toegangsevaluatie uit naar service-principalen. Wanneer een service-principal zich aanmeldt voor CAE, is de volgende stroom van toepassing:

  1. Een service-principal vraagt een toegangstoken van Microsoft Entra ID aan voor een ondersteunde resourceprovider, waarbij de cp1 clientmogelijkheid wordt gedeclareert in de claimparameter van de tokenaanvraag.
  2. Microsoft Entra ID evalueert toepasselijke beleidsregels voor voorwaardelijke toegang en geeft een toegangstoken met CAE uit. CAE-ingeschakelde tokens voor workloadidentiteiten zijn langlevende tokens (LLT's) met een levensduur van maximaal 24 uur.
  3. De service-principal presenteert het token aan de resourceprovider (Microsoft Graph).
  4. De resourceprovider evalueert het token op intrekkingsgebeurtenissen en wijzigingen in het beleid voor voorwaardelijke toegang die zijn gesynchroniseerd vanuit Microsoft Entra-id.
  5. Als er een intrekkings gebeurtenis optreedt (zoals service-principal uitschakelen of detectie van een hoog risico), weigert de resourceprovider het token en retourneert een 401 reactie met een claimvraag.
  6. De CAE-compatibele client verwerkt de claimvraag door een nieuw token aan te vragen bij Microsoft Entra ID, waarmee alle voorwaarden opnieuw worden geëvalueerd voordat een nieuw token wordt uitgegeven.

Omdat CAE-tokens voor workloadidentiteiten lang duren (maximaal 24 uur), verminderen ze de behoefte aan frequente tokenaanvragen terwijl de beveiliging wordt gehandhaafd via continue evaluatie.

Note

De voorgaande stroom volgt het algemene CAE-model dat wordt beschreven in Continue Toegangsevaluatie. Het gedrag van de workloadidentiteit komt overeen met dit model, hoewel specifieke implementatiedetails kunnen variëren.

Zie voor meer informatie over hoe claim-uitdagingen werken, claim-uitdagingen, claimaanvragen en clientcapaciteiten.

Ondersteunde scenario’s

In de volgende secties worden de resourceproviders, identiteiten, gebeurtenissen en beleidsregels beschreven die CAE ondersteunt voor workloadidentiteiten.

Hulpbronnenleveranciers

CAE voor workloadidentiteiten wordt alleen ondersteund voor toegangsaanvragen die als resourceprovider naar Microsoft Graph worden verzonden.

Ondersteunde identiteiten

Serviceprincipals voor LOB-toepassingen worden ondersteund. De volgende beperkingen zijn van toepassing:

  • Alleen service-principals van single-tenant die in uw tenant zijn geregistreerd, worden ondersteund.
  • SaaS- en multitenant-apps van derden vallen buiten het bereik.
  • Beheerde identiteiten worden niet ondersteund.

Herroepingsgebeurtenissen

De volgende intrekkingsevenementen worden ondersteund:

  • Service-principal uitschakelen : een beheerder schakelt de service-principal in de tenant uit.
  • Service-principal verwijderen : een beheerder verwijdert de service-principal uit de tenant.
  • Hoog risico van service-principal : Microsoft Entra ID Protection detecteert een hoog risico voor de service-principal. Zie Workloadidentiteiten beveiligen met Microsoft Entra ID Protection voor meer informatie.

Voorwaardelijke toegang beleidsregels

CAE voor workloadidentiteiten ondersteunt beleidsregels voor voorwaardelijke toegang die gericht zijn op locatie en risico. Als u dit beleid wilt maken, raadpleegt u de stapsgewijze handleidingen in Voorwaardelijke Toegang voor workloadidentiteiten.

Uw toepassing inschakelen

Ontwikkelaars kunnen zich aanmelden voor CAE voor workloadidentiteiten door de clientfunctionaliteit te declareren wanneer zij tokens cp1 aanvragen. Door cp1 te declareren, signaleert u Microsoft Entra ID dat de clienttoepassing claims-uitdagingen kan afhandelen. Microsoft Graph (de enige ondersteunde resourceprovider voor de CAE van workloadidentiteit) verzendt alleen claimsuitdagingen naar clients die deze mogelijkheid declareren.

Als u CAE-mogelijkheid wilt declareren, neemt u de volgende claimparameter op in uw tokenaanvraag:

Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}

De methode voor het declareren van de cp1 mogelijkheid is afhankelijk van de verificatiebibliotheek die u gebruikt. Zie voor gedetailleerde codevoorbeelden in .NET, Python, JavaScript en andere talen:

Important

Een toepassing ontvangt geen problemen met claims en ontvangt geen CAE-tokens, tenzij deze expliciet de cp1 mogelijkheid declareert. Zie Client-mogelijkheden voor meer informatie.

Note

Declareren cp1 is een actie aan de clientzijde. Api-implementers (resource-apps) kunnen afzonderlijk aanvragen xms_cc als een optionele claim in hun toepassingsmanifest om te detecteren of aanroepende clients ondersteuning bieden voor problemen met claims. Zie Ontvangen xms_cc claim in een toegangstoken voor meer informatie.

Uitschakelen

Als u zich wilt afmelden voor CAE op toepassingsniveau, moet u de cp1 mogelijkheid niet verzenden in de claimparameter van tokenaanvragen.

Bekende beperkingen

Bekijk de volgende beperkingen voordat u CAE implementeert voor workloadidentiteiten:

  • Alleen Microsoft Graph. CAE voor workloadidentiteiten wordt alleen ondersteund voor toegangsaanvragen voor Microsoft Graph. Andere resourceproviders worden momenteel niet ondersteund.
  • Beheerde identiteiten worden niet ondersteund. CAE biedt momenteel geen ondersteuning voor beheerde identiteiten.
  • Alleen service-principals met één tenant. Alleen single-tenant service-principals die in uw tenant zijn geregistreerd, worden ondersteund. SaaS- en multitenant-apps van derden vallen buiten het bereik.
  • CAE dwingt locatie- en risicobeleid af. CAE voor workload-identiteiten dwingt beleidsregels voor voorwaardelijke toegang af die in real-time gericht zijn op locatie en risico. Zie Voorwaardelijke toegang voor workloadidentiteiten voor de volledige lijst met voorwaarden voor voorwaardelijke toegang die worden ondersteund voor workloadidentiteiten (inclusief verificatiecontexten).
  • Op groepen gebaseerde beleidstoewijzing wordt niet afgedwongen. Beleid voor voorwaardelijke toegang dat is toegewezen aan een groep die een service-principal bevat, wordt niet afgedwongen voor die service-principal. Het beleid moet rechtstreeks worden toegewezen aan de serviceprincipal als een workload-identiteit. Zie Voorwaardelijke toegang voor workloadidentiteiten voor meer informatie.

CAE bewaken voor werkbelastingidentiteiten

Beheerders kunnen CAE-activiteit voor workloadidentiteiten monitoren met behulp van de Microsoft Entra-aanmeldingslogboeken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
  2. Navigeer naar Entra ID>Monitoring & gezondheid>Aanmeldingslogboeken>Aanmeldingen van service-principals. Gebruik filters om het proces te vereenvoudigen.
  3. Selecteer een vermelding om details van de activiteit weer te geven. In het veld Continue toegangsevaluatie ziet u of een CAE-token is uitgegeven voor een specifieke aanmeldingspoging.

Voor algemene CAE-monitoringtools, waaronder de werkmap voor inzichten over continue toegangsevaluatie en IP mismatch-analyse, raadpleeg Bewaking en probleemoplossing voor continue toegangsevaluatie.

Probleemoplossing

Wanneer een cae-resource een id-token voor de workload weigert, moet de toepassing de 401 claimvraag afhandelen en een nieuw token aanvragen bij Microsoft Entra-id. Microsoft Entra ID evalueert vervolgens voorwaarden voordat wordt bepaald of er een nieuw token moet worden gegeven. Gebruik de volgende stappen om te onderzoeken.

Toegang tot de service-principal is onverwacht geblokkeerd:

  1. Controleer de aanmeldingslogboeken onder Aanmeldingen van de service-principal. Zoek naar vermeldingen waarin het veld Continue toegangsevaluatie aangeeft dat er een CAE-token is betrokken.
  2. Controleer of er een intrekkingsgebeurtenis is opgetreden: controleer of de service-principal is uitgeschakeld, verwijderd of gemarkeerd als een hoog risico door Microsoft Entra ID Protection.
  3. Controleer het toepasselijke beleid voor voorwaardelijke toegang om te bevestigen dat het bron-IP-adres van de service-principal is opgenomen in een toegestane benoemde locatie.

Service-principal ontvangt geen CAE-tokens:

  • Controleer of de toepassing de cp1 mogelijkheid declareert in de claimparameter van tokenaanvragen.
  • Controleer of de toepassing is gericht op Microsoft Graph als de resourceprovider. Andere resourceproviders worden momenteel niet ondersteund voor CAE.
  • Controleer of de service-principal een LOB-toepassing met één tenant is die is geregistreerd in uw tenant.

IP-adres komt niet overeen tussen Microsoft Entra-id en resourceprovider:

  • Deze situatie kan optreden met split-tunnelnetwerken of proxyconfiguraties. Wanneer IP-adressen niet overeenkomen, geeft Microsoft Entra ID een CAE-token van één uur uit en dwingt gedurende die periode geen wijziging van de clientlocatie af. Zie Continue toegangsevaluatie bewaken en problemen oplossen voor meer informatie.

Zie Bewaking en problemen met continue toegangsevaluatie oplossen voor meer informatie over het oplossen van problemen met CAE.

Gerelateerde inhoud

  • Last updated on