实时安全：持续访问评估(CAE)登陆 Azure DevOps

我们很高兴地宣布，持续访问评估(CAE)现已在 Azure DevOps 上获得支持，为您的开发工作流程带来了近乎实时的安全执行新水平。

什么是 CAE？

持续访问评估(CAE)是 Microsoft Entra ID 的一项功能，可实现近乎实时的条件访问策略执行。传统上，Azure DevOps 中的 Microsoft Entra 访问令牌有效期最长为一小时，这意味着即使用户账户被禁用或密码更改后，访问权限仍可能持续到令牌过期。CAE 改变了这一点。

通过 CAE，Azure DevOps 可以在发生关键事件后快速撤销访问权限，例如：

• 用户删除或禁用
• 密码更改或重置
• 管理员触发的令牌撤销
• 多因素身份验证启用
• IP/位置更改

这是通过 Entra 和 Azure DevOps 之间的双向对话实现的，允许在访问时执行策略，而不仅仅依赖于令牌颁发时的执行。实时执行意味着受损账户或策略违规在我们得知事件后立即得到处理，从而减少暴露窗口并改善事件响应。（有关任何预期考虑因素和每个关键事件的延迟，请参阅 Microsoft Entra 文档。）

这些更改现已在 Azure DevOps Web 平台中推出，预计将在 8 月底前可用。

对开发者的变化

如果您使用我们最新的 .NET 客户端库，您需要优雅地处理 CAE 拒绝。当令牌被拒绝时，客户端将收到带有声明质询的 401 未经授权响应。您的应用程序必须提取质询，获取新令牌，并重试请求。CAE 预计将在 2025 年底前在我们的 Python 和 Go 客户端库中推出。

在 Entra 文档中了解更多关于声明质询的信息。我们也将很快更新此博客，提供我们最新 .NET 客户端库的代码示例。

在下面的评论中告诉我们您对这种新的 CAE 支持的看法！

更新（10月16日）：持续访问评估(CAE)曾暂时暂停，因为我们解决了客户报告的问题。它将在 11 月初前为所有客户重新启用。