Sdílet prostřednictvím


Co jsou chráněné akce v Microsoft Entra ID?

Chráněné akce v MICROSOFT Entra ID jsou oprávnění, která mají přiřazené zásady podmíněného přístupu. Když se uživatel pokusí provést chráněnou akci, musí nejprve splňovat zásady podmíněného přístupu přiřazené požadovaným oprávněním. Pokud například chcete správcům povolit aktualizaci zásad podmíněného přístupu, můžete vyžadovat, aby nejprve splňovali zásady MFA odolné proti útokům phishing.

Tento článek obsahuje přehled chráněných akcí a jak je začít používat.

Proč používat chráněné akce?

Chráněné akce použijete, když chcete přidat další vrstvu ochrany. Chráněné akce se dají použít na oprávnění, která vyžadují silnou ochranu zásad podmíněného přístupu, nezávisle na použité roli nebo na tom, jak uživatel udělil oprávnění. Vzhledem k tomu, že k vynucení zásad dochází v době, kdy se uživatel pokusí provést chráněnou akci, a ne během aktivace přihlašování nebo pravidla uživatele, zobrazí se uživatelům výzva pouze v případě potřeby.

Jaké zásady se obvykle používají s chráněnými akcemi?

U všech účtů doporučujeme používat vícefaktorové ověřování, zejména účty s privilegovanými rolemi. Chráněné akce je možné použít k vyžadování dalšího zabezpečení. Tady jsou některé běžné silnější zásady podmíněného přístupu.

Jaká oprávnění se dají použít s chráněnými akcemi?

Zásady podmíněného přístupu je možné použít pro omezenou sadu oprávnění. Chráněné akce můžete použít v následujících oblastech:

  • Správa zásad podmíněného přístupu
  • Správa nastavení přístupu mezi tenanty
  • Vlastní pravidla definující síťová umístění
  • Správa chráněných akcí

Tady je počáteční sada oprávnění:

Oprávnění Popis
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/create Vytváření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/create Vytvoření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených koncových bodů cloudu zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Připojení/update Aktualizace nastavení přímého připojení Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizujte nastavení schůzek teams napříč cloudy výchozích zásad přístupu mezi tenanty.
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizujte omezení tenanta výchozích zásad přístupu mezi tenanty.
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizujte nastavení spolupráce Microsoft Entra B2B zásad přístupu mezi tenanty pro partnery.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Připojení/update Aktualizujte nastavení přímého připojení Microsoft Entra B2B zásad přístupu mezi tenanty pro partnery.
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvořte zásady přístupu mezi tenanty pro partnery.
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizujte nastavení schůzek teams napříč cloudy pro zásady přístupu mezi tenanty pro partnery.
microsoft.directory/crossTenantAccessPolicy/partners/delete Odstraňte zásady přístupu mezi tenanty pro partnery.
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizujte omezení tenanta zásad přístupu mezi tenanty pro partnery.
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365

Jak se chráněné akce porovnávají s aktivací role Privileged Identity Management?

Aktivaci role Privileged Identity Management je také možné přiřadit zásady podmíněného přístupu. Tato funkce umožňuje vynucování zásad pouze v případě, že uživatel aktivuje roli a poskytuje nejkomplexnější ochranu. Chráněné akce se vynucují jenom v případech, kdy uživatel provede akci, která vyžaduje oprávnění s přiřazenými zásadami podmíněného přístupu. Chráněné akce umožňují chránit oprávnění s vysokým dopadem nezávisle na roli uživatele. Aktivace role Privileged Identity Management a chráněné akce je možné použít společně pro silnější pokrytí.

Postup použití chráněných akcí

Poznámka:

Tyto kroky byste měli provést v následujícím pořadí, abyste měli jistotu, že jsou chráněné akce správně nakonfigurované a vynucované. Pokud toto pořadí nedodržujete, může se zobrazit neočekávané chování, jako je například opakované žádosti o opětovné ověření.

  1. Kontrola oprávnění

    Zkontrolujte, že máte přiřazené role podmíněného přístupu Správa istratoru nebo role Správa istrator zabezpečení. Pokud ne, obraťte se na správce a přiřaďte odpovídající roli.

  2. Konfigurace zásad podmíněného přístupu

    Nakonfigurujte kontext ověřování podmíněného přístupu a přidružené zásady podmíněného přístupu. Chráněné akce používají kontext ověřování, který umožňuje vynucování zásad pro jemně odstupňované prostředky ve službě, jako jsou oprávnění Microsoft Entra. Dobrou zásadou pro začátek je vyžadovat vícefaktorové ověřování bez hesla a vyloučit účet tísňového volání. Další informace

  3. Přidání chráněných akcí

    Přidejte chráněné akce přiřazením hodnot kontextu ověřování podmíněného přístupu k vybraným oprávněním. Další informace

  4. Testování chráněných akcí

    Přihlaste se jako uživatel a otestujte uživatelské prostředí provedením chráněné akce. Měli byste být vyzváni, abyste splnili požadavky zásad podmíněného přístupu. Pokud například zásada vyžaduje vícefaktorové ověřování, měli byste být přesměrováni na přihlašovací stránku a zobrazit výzvu k silnému ověřování. Další informace

Co se stane s chráněnými akcemi a aplikacemi?

Pokud se aplikace nebo služba pokusí provést akci ochrany, musí být schopná zpracovat požadované zásady podmíněného přístupu. V některých případech může být nutné, aby uživatel zasahoval a splňoval zásady. Může se například vyžadovat k dokončení vícefaktorového ověřování. Následující aplikace podporují podrobné ověřování chráněných akcí:

Existují určitá známá a očekávaná omezení. Pokud se pokusí provést chráněnou akci, následující aplikace selžou.

  • Azure PowerShell
  • Azure AD PowerShell
  • Vytvoření nové stránky použití nebo vlastního ovládacího prvku v Centru pro správu Microsoft Entra Nové podmínky použití stránek nebo vlastních ovládacích prvků jsou zaregistrované v podmíněném přístupu, takže se na ně vztahují podmíněné vytváření, aktualizace a odstraňování chráněných akcí. Dočasné odebrání požadavku na zásady z akcí vytvoření, aktualizace a odstranění podmíněného přístupu umožní vytvoření nové stránky použití nebo vlastního ovládacího prvku.

Pokud vaše organizace vyvinula aplikaci, která volá rozhraní Microsoft Graph API, aby prováděla chráněnou akci, měli byste si projít ukázku kódu a zjistit, jak zpracovat výzvu deklarací identity pomocí podrobného ověřování. Další informace najdete v příručce pro vývojáře k kontextu ověřování podmíněného přístupu.

Osvědčené postupy

Tady je několik osvědčených postupů pro používání chráněných akcí.

  • Mít účet tísňového volání

    Při konfiguraci zásad podmíněného přístupu pro chráněné akce nezapomeňte mít účet tísňového volání, který je ze zásad vyloučený. To poskytuje zmírnění rizik proti náhodnému uzamčení.

  • Přesunutí zásad rizik uživatelů a přihlašování do podmíněného přístupu

    Oprávnění podmíněného přístupu se nepoužívají při správě zásad rizik microsoft Entra ID Protection. Doporučujeme přesunout zásady rizik uživatelů a přihlašování do podmíněného přístupu.

  • Použití pojmenovaných síťových umístění

    Pojmenovaná oprávnění síťového umístění se nepoužívají při správě důvěryhodných IP adres vícefaktorového ověřování. Doporučujeme používat pojmenovaná síťová umístění.

  • Nepoužívejte chráněné akce k blokování přístupu na základě členství v identitě nebo skupině.

    Chráněné akce slouží k použití požadavku na přístup k provedení chráněné akce. Nejsou určeny k blokování použití oprávnění pouze na základě identity uživatele nebo členství ve skupině. Kdo má přístup ke konkrétním oprávněním, je rozhodnutí o autorizaci a mělo by být řízeno přiřazením role.

Požadavky na licenci

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

Další kroky