实时安全：持续访问评估(CAE)登陆 Azure DevOps

我们很高兴地宣布，持续访问评估(CAE)现已在 Azure DevOps 中获得支持，为您的开发工作流程带来了全新的近实时安全执行能力。

什么是 CAE？

持续访问评估(CAE)是 Microsoft Entra ID 的一项功能，可实现近实时的条件访问策略执行。传统上，Azure DevOps 中的 Microsoft Entra 访问令牌有效期最长为一小时，这意味着即使用户账户被禁用或密码被更改，访问权限仍可能持续到令牌过期。CAE 改变了这一状况。

通过 CAE，Azure DevOps 可以在发生以下关键事件后快速撤销访问权限：

• 用户删除或禁用
• 密码更改或重置
• 管理员触发的令牌撤销
• 多因素身份验证启用
• IP/位置变更

这是通过 Entra 与 Azure DevOps 之间的双向对话实现的，允许在访问时执行策略，而不仅仅依赖于令牌颁发时的执行。实时执行意味着受损账户或策略违规行为在我们获悉事件后立即得到处理，从而减少暴露窗口并改善事件响应。（有关每个关键事件的预期考虑因素和延迟，请参阅 Microsoft Entra 文档。）

这些更改现已在 Azure DevOps Web 平台中推出，预计将在 8 月底前全面可用。

对开发者的影响

如果您使用我们最新的 .NET 客户端库，需要优雅地处理 CAE 拒绝。当令牌被拒绝时，客户端将收到带有声明质询的 401 未授权响应。您的应用程序必须提取质询、获取新令牌并重试请求。CAE 预计将在 2025 年底前在我们的 Python 和 Go 客户端库中推出。

有关声明质询的更多信息，请参阅 Entra 文档。我们也将很快更新此博客，提供最新 .NET 客户端库的代码示例。

请在下方评论区告诉我们您对这一新 CAE 支持的看法！