实时安全：持续访问评估(CAE)登陆 Azure DevOps

更新（10月1日）：持续访问评估(CAE)因处理客户反馈问题曾暂时暂停，将于10月底前为所有客户重新启用。

我们很高兴地宣布，Azure DevOps 现已支持持续访问评估(CAE)，为您的开发工作流程带来全新的近实时安全执行能力。

什么是 CAE？

持续访问评估(CAE)是 Microsoft Entra ID 的一项功能，能够近乎实时地执行条件访问策略。传统上，Azure DevOps 中的 Microsoft Entra 访问令牌有效期最长为一小时，这意味着即使用户账户被禁用或密码更改后，访问权限仍可能持续到令牌过期。CAE 改变了这一状况。

通过 CAE，Azure DevOps 可以在关键事件发生后快速撤销访问权限，例如：

• 用户删除或禁用
• 密码更改或重置
• 管理员触发的令牌撤销
• 多因素身份验证启用
• IP/位置变更

这是通过 Entra 与 Azure DevOps 之间的双向对话实现的，允许在访问时执行策略，而不仅仅依赖于令牌颁发时的执行。实时执行意味着一旦我们获悉事件，就会立即处理被入侵的账户或策略违规，从而减少暴露窗口并改善事件响应。（有关每个关键事件的预期考虑因素和延迟，请参阅 Microsoft Entra 文档。）

这些更改现已在 Azure DevOps Web 平台中推出，预计将于8月底前全面可用。

对开发者的变化

如果您使用我们最新的 .NET 客户端库，需要优雅地处理 CAE 拒绝。当令牌被拒绝时，客户端将收到带有声明质询的 401 未授权响应。您的应用程序必须提取质询，获取新令牌，并重试请求。CAE 预计将于2025年底在我们的 Python 和 Go 客户端库中推出。

在 Entra 文档中了解有关声明质询的更多信息。我们也将很快更新此博客，提供最新 .NET 客户端库的代码示例。

请在下方评论中告诉我们您对这一新 CAE 支持的看法！