Avaliação contínua de acesso para identidades de carga de trabalho

A avaliação contínua de acesso (CAE) para identidades de cargas de trabalho melhora a segurança da sua organização ao aplicar políticas de localização e de risco do Acesso Condicional em tempo real. O CAE aplica instantaneamente medidas de revogação de tokens para identidades de cargas de trabalho, ajudando a impedir que entidades de serviço comprometidas acessem recursos.

Pré-requisitos

Como o CAE funciona para identidades de carga de trabalho

A CAE para identidades de carga de trabalho amplia o modelo de avaliação contínua de acesso para entidades de serviço. Quando uma entidade de serviço adere ao CAE, aplica-se o seguinte fluxo:

  1. Uma entidade de serviço solicita um token de acesso ao Microsoft Entra ID para um provedor de recursos compatível, declarando a capacidade do cliente cp1 no parâmetro de reivindicações da solicitação do token.
  2. A ID do Microsoft Entra avalia as políticas de Acesso Condicional aplicáveis e emite um token de acesso habilitado para CAE. Os tokens habilitados para CAE para identidades de cargas de trabalho são tokens de longa duração (LLTs), com uma validade de até 24 horas.
  3. A entidade de serviço apresenta o token ao provedor de recursos (Microsoft Graph).
  4. O provedor de recursos avalia o token em relação a eventos de revogação e alterações na política de acesso condicional sincronizadas a partir do Microsoft Entra ID.
  5. Se ocorrer um evento de revogação (como a desativação de uma entidade de serviço ou a detecção de alto risco), o provedor de recursos rejeita o token e retorna uma resposta 401 com um desafio de reivindicações.
  6. O cliente compatível com CAE lida com o problema de validação solicitando um novo token ao Microsoft Entra ID, que reavalia todas as condições antes de emitir um novo token.

Como os Tokens CAE para identidades de carga de trabalho são de longa duração (até no máximo 24 horas), eles reduzem a necessidade de solicitações de token frequentes, enquanto mantém a segurança por meio de avaliação contínua.

Note

O fluxo anterior segue o modelo geral de CAE descrito na avaliação de acesso contínuo. O comportamento da identidade da carga de trabalho está alinhado com esse modelo, embora os detalhes de implementação específicos possam variar.

Para obter mais informações sobre como funcionam as contestações de reivindicações, consulte Contestações de reivindicações, solicitações de reivindicações e recursos do cliente.

Cenários com suporte

As seções a seguir descrevem os provedores de recursos, identidades, eventos e políticas que a CAE dá suporte para identidades de carga de trabalho.

Provedores de recursos

O CAE para identidades de carga de trabalho só tem suporte em solicitações de acesso enviadas ao Microsoft Graph como um provedor de recursos.

Identidades suportadas

São suportados os principais de serviço para aplicativos de linha de negócios (LOB). As seguintes restrições se aplicam:

  • Só são suportados as entidades de serviço de locatário único registradas no seu locatário.
  • Aplicativos SaaS de terceiros e aplicativos multilocatários estão fora do escopo.
  • Não há suporte para identidades gerenciadas.

Eventos de revogação

Há suporte para os seguintes eventos de revogação:

  • Desativação da entidade de serviço — Um administrador desativa a entidade de serviço no locatário.
  • Exclusão de entidade de serviço — Um administrador exclui a entidade de serviço do locatário.
  • Alto risco do principal de serviço — o Microsoft Entra ID Protection detecta alto risco para o principal de serviço. Para obter mais informações, consulte Proteção de identidades de carga de trabalho com o Microsoft Entra ID Protection.

Políticas de acesso condicional

O CAE para identidades de carga de trabalho oferece suporte a políticas de Acesso Condicional que têm como alvo a localização e o risco. Para criar essas políticas, confira o passo a passo no Acesso Condicional para identidades de trabalho.

Habilitar o aplicativo

Os desenvolvedores podem aderir ao CAE para identidades de cargas de trabalho declarando a capacidade do cliente cp1 ao solicitar tokens. A declaração cp1 indica ao Microsoft Entra ID que o aplicativo cliente é capaz de lidar com desafios de reivindicações. O Microsoft Graph (o único provedor de recursos compatível com a CAE de identidade de cargas de trabalho) envia solicitações de autenticação apenas aos clientes que declaram essa capacidade.

Para declarar a funcionalidade do CAE, inclua o seguinte parâmetro de declarações em sua solicitação de token:

Claims: {"access_token":{"xms_cc":{"values":["cp1"]}}}

O método para declarar a cp1 funcionalidade depende da biblioteca de autenticação que você usa. Para obter exemplos de código detalhados em .NET, Python, JavaScript e outros idiomas, consulte:

Importante

Uma aplicação não receberá contestações de reivindicações nem tokens CAE, a menos que declare explicitamente a capacidade cp1. Para obter mais informações, consulte os recursos do cliente.

Note

Declarar cp1 é uma ação do lado do cliente. Separadamente, os implementadores de API (aplicativos de recurso) podem solicitar xms_cc como uma declaração opcional no manifesto do aplicativo para detectar se os clientes que realizam chamadas dão suporte a desafios de reivindicações. Para obter mais informações, consulte Recebimento da reivindicação xms_cc em um token de acesso.

Desabilitar

Para desativar o CAE no nível da aplicação, não envie a capacidade cp1 no parâmetro de reivindicações das solicitações de token.

Limitações conhecidas

Examine as seguintes limitações antes de implementar o CAE para identidades de carga de trabalho:

  • Somente Microsoft Graph. A CAE para identidades de carga de trabalho tem suporte apenas em solicitações de acesso ao Microsoft Graph. No momento, não há suporte para outros provedores de recursos.
  • Não há suporte para identidades gerenciadas. O CAE não dá suporte a identidades gerenciadas no momento.
  • Apenas entidades de serviço de locatário único. Só são suportados as entidades de serviço de locatário único registradas no seu locatário. SaaS de terceiros e aplicativos multi-inquilino estão fora do escopo.
  • O CAE impõe políticas de localização e de risco. O CAE para identidades de carga de trabalho aplica políticas de acesso condicional que levam em conta a localização e o risco em tempo real. Para obter a lista completa das condições de Acesso Condicional com suporte para identidades de carga de trabalho (incluindo contextos de autenticação), consulte Acesso Condicional para identidades de carga de trabalho.
  • Atribuição de política baseada em grupo não imposta. As políticas de Acesso Condicional atribuídas a um grupo que contém uma entidade de serviço não são impostas para essa entidade de serviço. A política deve ser atribuída diretamente à entidade de serviço como uma identidade de carga de trabalho. Para obter mais informações, consulte Acesso Condicional para identidades de carga de trabalho.

Monitorar o CAE para identificar cargas de trabalho

Os administradores podem monitorar a atividade do CAE para identidades de carga de trabalho usando os registros de login do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. Acesse o Entra ID>Monitoramento e & Integridade>Logs de login>Logins de entidades de serviço. Use filtros para simplificar o processo.
  3. Selecione uma entrada para exibir os detalhes da atividade. O campo de avaliação de acesso contínuo mostra se um token CAE foi emitido para uma tentativa de entrada específica.

Para obter informações sobre ferramentas gerais de monitoramento do CAE, incluindo a pasta de trabalho insights da Avaliação de Acesso Contínuo e a análise de incompatibilidade de IP, consulte Monitorar e solucionar problemas da Avaliação de Acesso Contínuo.

Solução de problemas

Quando um recurso compatível com CAE rejeita um token de identidade de carga de trabalho, o aplicativo deve lidar com o desafio de reivindicações 401 e solicitar um novo token ao Microsoft Entra ID. Em seguida, a ID do Microsoft Entra reavalia as condições antes de decidir se deseja emitir um novo token. Siga as etapas abaixo para investigar.

O acesso ao service principal é bloqueado inesperadamente:

  1. Verifique os logs de login na seção Logins de entidades de serviço. Procure por entradas em que o campo Avaliação de acesso contínuo indique que um token CAE esteve envolvido.
  2. Verifique se ocorreu um evento de revogação: verifique se a entidade de serviço foi desabilitada, excluída ou sinalizada como de alto risco pelo Microsoft Entra ID Protection.
  3. Examine as políticas de Acesso Condicional aplicáveis para confirmar se o IP de origem da entidade de serviço está incluído em um local nomeado permitido.

A entidade de serviço não está recebendo tokens CAE:

  • Verifique se o aplicativo declara a capacidade cp1 no parâmetro de reinvindicações das solicitações de token.
  • Confirme se o aplicativo tem como destino o Microsoft Graph como o provedor de recursos. No momento, não há suporte para outros provedores de recursos para CAE.
  • Verifique se a entidade de serviço é um aplicativo LOB de locatário único registrado no seu locatário.

Incompatibilidade de endereço IP entre a ID do Microsoft Entra e o provedor de recursos:

  • Essa situação pode ocorrer com redes de túnel dividido ou configurações de proxy. Quando os endereços IP não correspondem, o Microsoft Entra ID emite um token CAE de uma hora e não executa a alteração de local do cliente durante esse período. Para obter mais informações, consulte Monitorar e solucionar problemas de avaliação de acesso contínuo.

Para obter mais informações sobre como solucionar problemas de CAE, consulte Monitorar e solucionar problemas de avaliação de acesso contínuo.

Conteúdo relacionado

  • Last updated on