ワークロード ID の継続的アクセス評価 (CAE) は、組織にセキュリティ上の利点をもたらします。 これにより、条件付きアクセスの場所とリスク ポリシーをリアルタイムで適用し、ワークロード ID のトークン失効イベントを即時に適用できます。
継続的アクセス評価では、現在、マネージド ID はサポートされていません。
サポートのスコープ
ワークロード ID の継続的なアクセス評価は、リソース プロバイダーとして Microsoft Graph に送信されたアクセス要求でのみサポートされます。 今後、さらに多くのサービスが追加される予定です。
基幹業務 (LOB) アプリケーションのサービス プリンシパルがサポートされています。
次の失効イベントがサポートされています。
- サービス プリンシパルの無効化
- サービス プリンシパルの削除
- Microsoft Entra ID Protection によって検出された高いサービス プリンシパル リスク
ワークロード ID の継続的なアクセス評価では、 場所とリスクを対象とする条件付きアクセス ポリシーがサポートされます。
アプリケーションを有効にする
開発者は、API がオプションのクレームとして xms_cc を要求したときに、ワークロード ID の継続的アクセス評価をオプトインできます。 アクセス トークン内の値が xms_cc の cp1 クレームは、クライアント アプリケーションがクレーム チャレンジを処理できることを識別するための信頼できる方法です。 アプリケーションでこの作業を行う方法の詳細については、記事、 要求チャレンジ、要求要求、およびクライアント機能を参照してください。
無効にする
オプトアウトするには、値が xms_cc の cp1 クレームを送信しないでください。
Microsoft Entra ID P1 または P2 を持つ組織は、 条件付きアクセス ポリシー を作成して、特定のワークロード ID に適用される継続的アクセス評価を即時のストップギャップメジャーとして無効にすることができます。
トラブルシューティング
CAE がトリガーされたためにクライアントのリソースへのアクセスがブロックされると、クライアントのセッションは取り消され、クライアントは再認証する必要があります。 この動作は、サインイン ログで確認できます。
次の手順では、管理者がサインイン ログでサインイン アクティビティを確認する方法について詳しく説明します。
- Microsoft Entra 管理センターに、少なくともセキュリティ閲覧者としてサインインします。
- Entra ID>監視と健康>サインインログ>サービス プリンシパルのサインインに移動します。フィルターを使用してデバッグ プロセスを容易にすることができます。
- アクティビティの詳細を表示するには、エントリを選択します。 継続的アクセス評価フィールドは、特定のサインイン試行で CAE トークンが発行されたかどうかを示します。