实时安全：持续访问评估(CAE)登陆 Azure DevOps

更新（10月1日）：持续访问评估(CAE)因处理客户反馈问题而暂时暂停，将于10月底前为所有客户重新启用。

我们很高兴地宣布，持续访问评估(CAE)现已在 Azure DevOps 中得到支持，为您的开发工作流程带来了全新的近实时安全执行能力。

什么是 CAE？

持续访问评估(CAE)是 Microsoft Entra ID 的一项功能，可实现近实时的条件访问策略执行。传统上，Azure DevOps 中的 Microsoft Entra 访问令牌有效期最长为一小时，这意味着即使用户账户被禁用或密码更改后，访问权限仍可能持续到令牌过期。CAE 改变了这一状况。

通过 CAE，Azure DevOps 可以在发生关键事件后快速撤销访问权限，例如：

• 用户删除或禁用
• 密码更改或重置
• 管理员触发的令牌撤销
• 多重身份验证启用
• IP/位置更改

这是通过 Entra 与 Azure DevOps 之间的双向对话实现的，允许在访问时执行策略，而不仅仅依赖于令牌颁发时的执行。实时执行意味着受损账户或策略违规在我们得知事件后立即得到处理，从而减少暴露窗口并改善事件响应。（有关每个关键事件的预期考虑因素和延迟，请参阅 Microsoft Entra 文档。）

这些更改现正在 Azure DevOps Web 平台中推出，预计将在8月底前可用。

对开发者的变化

如果您使用我们最新的 .NET 客户端库，您需要优雅地处理 CAE 拒绝。当令牌被拒绝时，客户端将收到带有声明质询的 401 未授权响应。您的应用程序必须提取质询，获取新令牌，并重试请求。CAE 预计将在 2025 年底前在我们的 Python 和 Go 客户端库中推出。

在 Entra 文档中了解有关声明质询的更多信息。我们也将很快更新此博客，提供我们最新 .NET 客户端库的代码示例。

请在下方评论区告诉我们您对这一新的 CAE 支持的看法！