Evaluación de acceso continua para identidades de carga de trabajo

La evaluación continua del acceso (CAE) para las identidades de carga de trabajo proporciona ventajas de seguridad a la organización. Permite la aplicación en tiempo real de las directivas de riesgo y la ubicación del acceso condicional junto con la aplicación instantánea de eventos de revocación de tokens para las identidades de carga de trabajo.

La evaluación continua del acceso no admite actualmente identidades administradas.

Alcance del soporte técnico

La evaluación continua del acceso de las identidades de carga de trabajo solo se admite en las solicitudes de acceso enviadas a Microsoft Graph como proveedor de recursos. Posteriormente se agregarán más proveedores de recursos.

Se admiten entidades de servicio para aplicaciones de línea de negocio (LOB).

Se admiten los siguientes eventos de revocación:

• Deshabilitar la entidad de servicio
• Eliminar la entidad de servicio
• Alto riesgo de entidad de servicio según lo detectado por Microsoft Entra Protection

La evaluación continua del acceso para las identidades de carga de trabajo admite directivas de acceso condicional que tienen como destino la ubicación y el riesgo.

Habilitar la aplicación

Los desarrolladores pueden participar en la evaluación continua del acceso para las identidades de carga de trabajo cuando la API solicite xms_cc como notificación opcional. La notificación xms_cc con un valor de cp1 en el token de acceso es la manera autoritativa de identificar que una aplicación cliente es capaz de controlar un desafío de notificaciones. Para obtener más información sobre cómo realizar este trabajo en la aplicación, consulte el artículo Desafíos de notificaciones, solicitudes de notificaciones y funcionalidades de cliente.

Deshabilitar

Para no participar, no envíe la notificación xms_cc con un valor de cp1.

Las organizaciones que tienen Microsoft Entra ID P1 o P2 pueden crear una directiva de acceso condicional para deshabilitar la evaluación continua del acceso aplicada a identidades de carga de trabajo específicas como medida inmediata de brecha de detención.

Solución de problemas

Cuando se bloquea el acceso de un cliente a un recurso debido a que CAE se desencadena, se revocará la sesión del cliente y el cliente tendrá que volver a autenticarse. Este comportamiento se puede comprobar en los registros de inicio de sesión.

En los pasos siguientes se detalla cómo un administrador puede comprobar la actividad de inicio de sesión en los registros de inicio de sesión:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
2. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión>Inicio de sesión de entidad de servicio. Puede usar filtros para facilitar el proceso de depuración.
3. Para ver los detalles de la actividad, seleccione una entrada. El campo Evaluación continua de acceso indica si se emitió un token de CAE en un intento de inicio de sesión determinado.

Contenido relacionado

• Registrar una aplicación con Microsoft Entra ID y crear una entidad de servicio
• Uso de las API habilitadas para la evaluación continua de acceso en las aplicaciones
• Aplicación de ejemplo que usa la evaluación continua de acceso
• Proteger identidades de carga de trabajo con Microsoft Entra ID Protection
• En qué consiste la evaluación continua de acceso?