Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La evaluación continua del acceso (CAE) para las identidades de carga de trabajo mejora la seguridad de la organización. Aplica directivas de riesgo y ubicación de acceso condicional en tiempo real y aplica instantáneamente eventos de revocación de tokens para las identidades de carga de trabajo.
La evaluación continua del acceso no admite actualmente identidades administradas.
Alcance del soporte técnico
La evaluación continua del acceso de las identidades de carga de trabajo solo se admite en las solicitudes de acceso enviadas a Microsoft Graph como proveedor de recursos. Posteriormente se agregarán más proveedores de recursos.
Se admiten entidades de servicio para aplicaciones de línea de negocio (LOB).
Se admiten los siguientes eventos de revocación:
- Deshabilitar la entidad de servicio
- Eliminar la entidad de servicio
- Alto riesgo de entidad de servicio según lo detectado por Microsoft Entra Protection
La evaluación continua del acceso para las identidades de carga de trabajo admite directivas de acceso condicional que tienen como destino la ubicación y el riesgo.
Habilitar la aplicación
Los desarrolladores pueden optar por la evaluación continua de acceso para las identidades de carga de trabajo cuando sus solicitudes de API xms_cc incluyen como una declaración opcional. La reclamación xms_cc con un valor de cp1 en el token de acceso es la manera autoritativa de identificar que una aplicación cliente es capaz de gestionar un desafío de reclamaciones. Para obtener más información sobre cómo implementar esto en su aplicación, consulte Desafíos de declaraciones, solicitudes de declaraciones y capacidades del cliente.
Deshabilitar
Para no participar, no envíe la xms_cc reclamación con un valor de cp1.
Las organizaciones que tienen Microsoft Entra ID P1 o P2 pueden crear una directiva de acceso condicional para deshabilitar la evaluación continua del acceso, aplicada a identidades de carga de trabajo específicas, como medida provisional.
Solución de problemas
Cuando se bloquea el acceso de un cliente a un recurso porque CAE se desencadena, se revoca la sesión del cliente y el cliente debe volver a autenticarse. Puede comprobar este comportamiento en los registros de inicio de sesión.
Siga estos pasos para comprobar la actividad de inicio de sesión en los registros de inicio de sesión:
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
- Vaya a Entra ID>Supervisión y salud>Registros de inicio de sesión>Inicios de sesión del Principal del Servicio. Use filtros para simplificar el proceso de depuración.
- Seleccione una entrada para ver los detalles de la actividad. El campo Evaluación continua del acceso muestra si se emite un token CAE para un intento de inicio de sesión específico.
Contenido relacionado
- Aprenda a registrar una aplicación con Microsoft Entra ID y a crear un principal del servicio.
- Obtenga información sobre cómo usar las API habilitadas para evaluación de acceso continuo en las aplicaciones.
- Explore una aplicación de ejemplo mediante la evaluación continua del acceso.
- Obtenga información sobre cómo proteger las identidades de carga de trabajo con Microsoft Entra ID Protection.
- Comprenda qué es la evaluación continua del acceso.