Оценка непрерывного доступа для идентификаторов рабочих нагрузок

Непрерывная оценка доступа (CAE) для рабочих нагрузок улучшает безопасность вашей организации, применяя политики условного доступа и риска в режиме реального времени. CAE мгновенно применяет события отзыва токенов для удостоверений рабочей нагрузки, что помогает предотвратить доступ скомпрометированных основных компонентов службы к ресурсам.

Необходимые условия

  • Лицензии Workload Identities Premium необходимы для создания или изменения политик условного доступа, охватывающих служебные объекты. Для получения дополнительной информации см. Conditional Access для идентификаторов рабочей нагрузки.
  • Чтобы создать или изменить политики условного доступа, войдите в систему в качестве как минимум администратора условного доступа.
  • CAE для удостоверений рабочих нагрузок поддерживает учетные записи служб одного арендатора, зарегистрированные в вашем тенанте. Сторонние многопользовательские приложения и приложения SaaS находятся вне сферы охвата.
  • Управляемые удостоверения в настоящее время не поддерживаются CAE для удостоверений рабочей нагрузки.

Принцип работы Conditional Access Evaluation для идентификаций рабочих нагрузок

НЕО для идентификаторов рабочих нагрузок расширяет модель оценки непрерывного доступа к служебным принципалам. Когда субъект-служба выбирает ЦС, применяется следующий поток:

  1. Субъект-служба запрашивает маркер доступа из идентификатора Microsoft Entra для поддерживаемого поставщика ресурсов, объявляя cp1 возможность клиента в параметре утверждений запроса маркера.
  2. Идентификатор Microsoft Entra оценивает применимые политики условного доступа и выдает токен доступа с поддержкой CAE. Маркеры с поддержкой CAE для удостоверений рабочих нагрузок — это длительные маркеры (LLTs) со сроком службы до 24 часов.
  3. Служебный принципал представляет токен поставщику ресурсов (Microsoft Graph).
  4. Поставщик ресурсов оценивает токен с учетом событий отзыва и изменений политики условного доступа, синхронизированных с Microsoft Entra ID.
  5. Если происходит событие отзыва (например, отключение учетной записи службы или обнаружение высокого уровня риска), поставщик ресурсов отклоняет токен и возвращает 401 ответ с запросом проверки утверждений.
  6. Клиент, поддерживающий ЦС, обрабатывает вызов утверждений, запрашивая новый токен из идентификатора Microsoft Entra ID, который повторно вычисляет все условия перед выдачой нового токена.

Так как токены CAE для рабочих нагрузок имеют долгий срок действия (до 24 часов), они сокращают необходимость в частых запросах токенов, обеспечивая безопасность с помощью непрерывной оценки.

Note

Предыдущий процесс следует общей модели оценки непрерывного доступа, описанной в оценке непрерывного доступа. Поведение идентификации рабочей нагрузки соответствует этой модели, хотя конкретные детали реализации могут отличаться.

Дополнительные сведения о том, как работают вызовы претензий, см. в разделе "Проблемы с претензиями", "Запросы претензий" и возможности клиента.

Поддерживаемые сценарии

В следующих разделах описываются поставщики ресурсов, удостоверения, события и политики, которые поддерживаются CAE для удостоверений рабочей нагрузки.

Поставщики ресурсов

ЦАЕ для идентификационных данных рабочей нагрузки поддерживается только в запросах доступа, отправленных в Microsoft Graph в качестве провайдера ресурсов.

Поддерживаемые идентификаторы

Поддерживаются учетные записи службы для приложений для ведения бизнеса. Применяются следующие ограничения:

  • Поддерживаются только служебные принципы с одним арендатором, зарегистрированные в вашей организации.
  • Сторонние многопользовательские приложения и приложения SaaS находятся вне сферы охвата.
  • Управляемые удостоверения не поддерживаются.

События аннулирования

Поддерживаются следующие события отзыва:

  • Отключение субъекта-службы — администратор отключает субъект-службу в клиенте.
  • Удаление субъекта-службы — администратор удаляет субъект-службу из клиента.
  • Высокий риск служебного принципала — защита идентификационных данных Microsoft Entra обнаруживает высокий риск для служебного принципала. Дополнительные сведения см. в "Защита идентификаций рабочих нагрузок с помощью Microsoft Entra ID Protection".

Политики условного доступа

CAE для идентификаторов рабочих нагрузок поддерживает политики условного доступа, предназначенные для учета местоположения и риска. Сведения о создании этих политик см. в руководствах по пошаговому условному доступу для идентификаторов рабочих нагрузок.

Включение приложения

Разработчики могут включить CAE для удостоверений рабочей нагрузки, указав cp1 возможности клиента при запросе токенов. Объявление cp1 сигнализирует Microsoft Entra ID, что клиентское приложение может обрабатывать запросы на утверждения. Microsoft Graph (единственный поддерживаемый поставщик ресурсов для управления условным доступом рабочей нагрузки) отправляет запросы системной аутентификации только тем клиентам, которые заявляют о поддержке этой возможности.

Чтобы объявить возможность CAE, включите в запрос токена следующий параметр утверждений:

Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}

Метод объявления cp1 возможности зависит от используемой библиотеки аутентификации. Подробные примеры кода в .NET, Python, JavaScript и других языках см. в следующих примерах:

Important

Приложение не получит оспаривания требований и не получит маркеры CAE, если оно явно не объявит возможность cp1. Дополнительные сведения см. в разделе "Возможности клиента".

Note

Объявление cp1 — это клиентское действие. Отдельно разработчики API (ресурсные приложения) могут запрашивать xms_cc в качестве необязательного утверждения в своем манифесте приложения, чтобы определить, поддерживают ли вызывающие клиенты вызовы утверждений. Для получения дополнительной информации см. статью "Получение утверждения xms_cc в маркере доступа".

Отключить

Чтобы отказаться от CAE на уровне приложения, не отправляйте параметр cp1 в параметре запросов маркеров утверждений.

Известные ограничения

Ознакомьтесь со следующими ограничениями перед реализацией ЦС для удостоверений рабочей нагрузки:

  • Только Microsoft Graph. Контроль условного доступа для идентификаций рабочей нагрузки поддерживается только при запросах доступа к Microsoft Graph. В настоящее время другие поставщики ресурсов не поддерживаются.
  • Управляемые удостоверения не поддерживаются. CAE не поддерживает управляемые удостоверения на данный момент.
  • Только субъекты-службы с одним клиентом. Поддерживаются только служебные принципы с одним арендатором, зарегистрированные в вашей организации. Сторонние многопользовательские приложения и приложения SaaS находятся вне сферы охвата.
  • CAE обеспечивает соблюдение установленных политик расположения и риска. CAE для удостоверений сущностей рабочей нагрузки применяет политики условного доступа, нацеленные на расположение и риск в режиме реального времени. Полный список условий условного доступа, поддерживаемых для удостоверений рабочей нагрузки (включая контексты проверки подлинности), см. в разделе Условный доступ для удостоверений рабочей нагрузки.
  • Назначение групповой политики не соблюдается. Политики условного доступа, назначенные группе, содержащей субъект-службу, не применяются для этого субъекта-службы. Политика должна быть назначена непосредственно уполномоченному сервису в качестве идентификатора рабочей нагрузки. Для получения дополнительной информации см. Conditional Access для идентификаторов рабочей нагрузки.

Мониторинг CAE для идентификаций рабочей нагрузки

Администраторы могут мониторить активность непрерывной оценки доступа для идентичностей рабочей нагрузки с помощью журналов входа Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.
  2. Перейдите к Entra ID>Мониторинг и работоспособность>журналы входа>входы от имени службы. Используйте фильтры для упрощения процесса.
  3. Выберите запись для просмотра сведений о действиях. Поле оценки непрерывного доступа показывает, был ли выдан токен CAE для конкретной попытки входа.

Для общих средств мониторинга CAE, включая брошюру аналитики непрерывного доступа и анализ несоответствия IP-адресов, см. статью "Мониторинг и устранение неполадок непрерывной оценки доступа".

Устранение неполадок

Если ресурс с поддержкой CAE отклоняет маркер удостоверения рабочей нагрузки, приложение должно обработать вызов проверки утверждений 401 и запросить новый маркер из службы идентификации Microsoft Entra. Идентификатор Microsoft Entra затем переоценивает условия перед решением о том, следует ли выдавать новый токен. Выполните следующие действия для изучения.

Доступ учетной записи службы неожиданно заблокирован:

  1. Проверьте журналы входа в разделе служебных входов. Найдите записи, в которых поле оценки непрерывного доступа указывает, что участвовал маркер CAE.
  2. Проверьте, произошло ли отзывающее событие: отключен ли служебный принципал, удален или помечен как высокий риск в Microsoft Entra ID Protection.
  3. Проверьте применимые политики условного доступа, чтобы убедиться, что исходный IP-адрес субъекта-службы включен в разрешенное именованное расположение.

Субъект-служба не получает токены CAE:

  • Убедитесь, что приложение объявляет cp1 возможность в параметре утверждений в запросах токенов.
  • Подтвердите, что приложение предназначено для Microsoft Graph в качестве поставщика ресурсов. Другие поставщики ресурсов в настоящее время не поддерживаются для ЦС.
  • Убедитесь, что субъект-служба является бизнес-приложением с одним клиентом, зарегистрированным в вашем клиенте.

Несоответствие IP-адресов между идентификатором Microsoft Entra и поставщиком ресурсов:

  • Эта ситуация может возникнуть с сетями разделенного туннеля или конфигурацией прокси-сервера. Если IP-адреса не совпадают, идентификатор Microsoft Entra ID выдает токен CAE на один час и не применяет изменение положения клиента в течение этого периода. Дополнительные сведения см. в статье "Мониторинг и устранение неполадок с оценкой непрерывного доступа".

Дополнительные сведения об устранении неполадок ЦС см. в статье «Мониторинг и устранение неполадок при оценке непрерывного доступа».

Связанный контент

  • Last updated on