Sdílet prostřednictvím

Přidání, testování nebo odebrání chráněných akcí v MICROSOFT Entra ID

  • Článek

Chráněné akce v Microsoft Entra ID jsou oprávnění, která mají přiřazené zásady podmíněného přístupu vynucené, když se uživatel pokusí provést akci. Tento článek popisuje, jak přidat, otestovat nebo odebrat chráněné akce.

Poznámka:

Tyto kroky byste měli provést v následujícím pořadí, abyste měli jistotu, že jsou chráněné akce správně nakonfigurované a vynucované. Pokud toto pořadí nedodržujete, může se zobrazit neočekávané chování, jako je například opakované žádosti o opětovné ověření.

Požadavky

Pokud chcete přidat nebo odebrat chráněné akce, musíte mít:

Krok 1: Konfigurace zásad podmíněného přístupu

Chráněné akce používají kontext ověřování podmíněného přístupu, takže musíte nakonfigurovat kontext ověřování a přidat ho do zásad podmíněného přístupu. Pokud už máte zásadu s kontextem ověřování, můžete přejít k další části.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Vyberte kontext ověřování podmíněného>přístupu>ochrany>.

  3. Výběrem možnosti Nový kontext ověřování otevřete podokno Přidat kontext ověřování.

  4. Zadejte název a popis a pak vyberte Uložit.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Vyberte Zásady>Nové zásady a vytvořte novou zásadu.

  6. Vytvořte novou zásadu a vyberte kontext ověřování.

    Další informace najdete v tématu Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování.

    Screenshot of New policy page to create a new policy with an authentication context.

Krok 2: Přidání chráněných akcí

Pokud chcete přidat akce ochrany, přiřaďte zásady podmíněného přístupu k jednomu nebo více oprávněním pomocí kontextu ověřování podmíněného přístupu.

  1. Vyberte Zásady podmíněného přístupu>ochrany>.

  2. Ujistěte se, že stav zásad podmíněného přístupu, které chcete použít s chráněnou akcí, je nastavená na Zapnuto , nikoli Vypnuto nebo Pouze sestava.

  3. Vyberte role identit>a akce chráněné správcem.>

    Screenshot of Add protected actions page in Roles and administrators.

  4. Vyberte Přidat chráněné akce a přidejte novou chráněnou akci.

    Pokud je možnost Přidat chráněné akce zakázaná, ujistěte se, že máte přiřazenou roli podmíněného přístupu Správa istrator nebo Správa istrator zabezpečení. Další informace najdete v tématu Řešení potíží s chráněnými akcemi.

  5. Vyberte nakonfigurovaný kontext ověřování podmíněného přístupu.

  6. Vyberte oprávnění a vyberte oprávnění, která chcete chránit pomocí podmíněného přístupu.

    Screenshot of Add protected actions page with permissions selected.

  7. Vyberte Přidat.

  8. Jakmile budete hotovi, vyberte Uložit.

    Nové chráněné akce se zobrazí v seznamu chráněných akcí.

Krok 3: Testování chráněných akcí

Když uživatel provede chráněnou akci, bude muset splnit požadavky zásad podmíněného přístupu. Tato část ukazuje prostředí pro uživatele, který se zobrazí výzva k splnění zásad. V tomto příkladu se uživatel musí ověřit pomocí klíče zabezpečení FIDO, aby mohl aktualizovat zásady podmíněného přístupu.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako uživatel, který musí splňovat zásady.

  2. Vyberte Podmíněný přístup ochrany>.

  3. Vyberte zásadu podmíněného přístupu, abyste ji zobrazili.

    Úpravy zásad jsou zakázané, protože požadavky na ověřování nebyly splněny. V dolní části stránky je následující poznámka:

    Úpravy jsou chráněné dodatečným požadavkem na přístup. Kliknutím sem znovu vytvořte ověření.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Chcete-li znovu provést ověření, vyberte kliknutím sem.

  5. Při přesměrování prohlížeče na přihlašovací stránku Microsoft Entra dokončete požadavky na ověřování.

    Screenshot of a sign-in page to reauthenticate.

    Po dokončení požadavků na ověřování je možné zásady upravit.

  6. Upravte zásadu a uložte změny.

    Screenshot of an enabled Conditional Access policy that can be edited.

Odebrání chráněných akcí

Pokud chcete odebrat akce ochrany, zrušte přiřazení požadavků zásad podmíněného přístupu z oprávnění.

  1. Vyberte role identit>a akce chráněné správcem.>

  2. Vyhledejte a vyberte zásady podmíněného přístupu oprávnění k zrušení přiřazení.

    Screenshot of Protected actions page with permission selected to remove.

  3. Na panelu nástrojů vyberte Odebrat.

    Po odebrání chráněné akce nebude mít oprávnění požadavek podmíněného přístupu. K oprávnění je možné přiřadit novou zásadu podmíněného přístupu.

Microsoft Graph

Přidání chráněných akcí

Chráněné akce se přidají přiřazením hodnoty kontextu ověřování k oprávnění. Kontextové hodnoty ověřování, které jsou k dispozici v tenantovi, je možné zjistit voláním ověřovacího rozhraní APIContextClassReference .

Kontext ověřování je možné přiřadit k oprávnění pomocí jednotného koncového bodu rozhraní APIRbacResourceAction beta:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Následující příklad ukazuje, jak získat ID kontextu ověřování, které bylo nastaveno na microsoft.directory/conditionalAccessPolicies/delete oprávnění.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Akce prostředků s vlastností isAuthenticationContextSettable nastavenou na true podporují kontext ověřování. Akce prostředků s hodnotou vlastnosti authenticationContextId jsou ID kontextu ověřování, které bylo přiřazeno k akci.

Chcete-li zobrazit isAuthenticationContextSettable vlastnosti a authenticationContextId vlastnosti, musí být zahrnuty do příkazu select při provádění požadavku na rozhraní API akce prostředku.

Řešení potíží s chráněnými akcemi

Příznak – Nelze vybrat žádné hodnoty kontextu ověřování.

Při pokusu o výběr kontextu ověřování podmíněného přístupu nejsou k dispozici žádné hodnoty, které je možné vybrat.

Screenshot of Add protected actions page with no authentication context to select.

Příčina

V tenantovi nebyly povoleny žádné hodnoty kontextu ověřování podmíněného přístupu.

Řešení

Povolte kontext ověřování pro tenanta přidáním nového kontextu ověřování. Ujistěte se, že je zaškrtnuté políčko Publikovat do aplikací , takže je možné vybrat hodnotu. Další informace najdete v tématu Kontext ověřování.

Příznak – Zásady se neaktivují

V některých případech se po přidání chráněné akce nemusí uživatelům zobrazovat výzva podle očekávání. Pokud například zásada vyžaduje vícefaktorové ověřování, nemusí se uživateli zobrazit výzva k přihlášení.

Příčina 1

Uživatel nebyl přiřazen k zásadám podmíněného přístupu používaným pro chráněnou akci.

Řešení 1

Pomocí nástroje Citlivostní analýza podmíněného přístupu zkontrolujte, jestli má uživatel přiřazenou zásadu. Při použití nástroje vyberte uživatele a kontext ověřování, který byl použit s chráněnou akcí. Vyberte What If (Citlivostní) a ověřte, že jsou očekávané zásady uvedené v tabulce Zásady, které budou platit . Pokud se zásada nepoužije, zkontrolujte podmínku přiřazení uživatele zásad a přidejte uživatele.

Příčina 2

Uživatel dříve splnil zásady. Například dokončené vícefaktorové ověřování dříve ve stejné relaci.

Řešení 2

Vyřešte potíže s událostmi přihlášení k Microsoft Entra. Události přihlášení zahrnují podrobnosti o relaci, včetně toho, jestli uživatel už dokončil vícefaktorové ověřování. Při řešení potíží s protokoly přihlašování je také užitečné zkontrolovat stránku s podrobnostmi o zásadách a ověřit, že byl požadován kontext ověřování.

Příznak – Zásady se nikdy nesplní

Když se pokusíte provést požadavky na zásady podmíněného přístupu, zásada se nikdy nesplní a stále se žádá o opětovné ověření.

Příčina

Zásady podmíněného přístupu se nevytvořily nebo je stav zásady vypnutý nebo je pouze sestava.

Řešení

Vytvořte zásadu podmíněného přístupu, pokud neexistuje nebo ji nastavte na Zapnuto.

Pokud nemáte přístup ke stránce podmíněného přístupu kvůli chráněné akci a opakovaným žádostem o opětovné ověření, otevřete stránku podmíněného přístupu pomocí následujícího odkazu.

Příznak – žádný přístup k přidání chráněných akcí

Když jste přihlášení, nemáte oprávnění přidávat nebo odebírat chráněné akce.

Příčina

Nemáte oprávnění ke správě chráněných akcí.

Řešení

Ujistěte se, že máte přiřazenou roli podmíněného přístupu Správa istrator nebo roli Správa istrator zabezpečení.

Příznak – Chyba vrácená pomocí PowerShellu k provedení chráněné akce

Při použití PowerShellu k provedení chráněné akce se vrátí chyba a nezobrazí se výzva k splnění zásad podmíněného přístupu.

Příčina

Microsoft Graph PowerShell podporuje podrobné ověřování, které je nutné k povolení výzev k zásadám. Azure a Azure AD Graph PowerShell nejsou podporované pro krokování ověřování.

Řešení

Ujistěte se, že používáte Microsoft Graph PowerShell.

Další kroky