Freigeben über


Hinzufügen, Testen oder Entfernen geschützter Aktionen in Microsoft Entra ID

Geschützte Aktionen in Microsoft Entra ID sind Berechtigungen, denen Richtlinien für bedingten Zugriff zugewiesen wurden, die erzwungen werden, wenn Benutzer*innen versuchen, eine Aktion auszuführen. In diesem Artikel wird beschrieben, wie geschützte Aktionen hinzugefügt, getestet oder entfernt werden.

Hinweis

Führen Sie diese Schritte in der folgenden Sequenz aus, um sicherzustellen, dass geschützte Aktionen ordnungsgemäß konfiguriert und erzwungen werden. Wenn Sie diese Reihenfolge nicht einhalten, kann ein unerwartetes Verhalten auftreten, z. B. wiederholte Aufforderungen zur erneuten Authentifizierung.

Voraussetzungen

Um geschützte Aktionen hinzuzufügen oder zu entfernen, benötigen Sie:

Schritt 1: Konfigurieren der Richtlinie für bedingten Zugriff

Geschützte Aktionen verwenden einen Authentifizierungskontext für bedingten Zugriff. Daher müssen Sie einen Authentifizierungskontext konfigurieren und einer Richtlinie für bedingten Zugriff hinzufügen. Wenn Sie bereits über eine Richtlinie mit einem Authentifizierungskontext verfügen, können Sie mit dem nächsten Abschnitt fortfahren.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Wählen Sie Schutz>Bedingter Zugriff>Authentifizierungskontext>Authentifizierungskontext aus.

  3. Wählen Sie Neuer Authentifizierungskontext aus, um den Bereich Authentifizierungskontext hinzufügen zu öffnen.

  4. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie dann Speichern aus.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Wählen Sie Richtlinien>Neue Richtlinie aus, um eine neue Richtlinie zu erstellen.

  6. Erstellen Sie eine neue Richtlinie, und wählen Sie Ihren Authentifizierungskontext aus.

    Weitere Informationen finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.

    Screenshot of New policy page to create a new policy with an authentication context.

Schritt 2: Hinzufügen geschützter Aktionen

Um geschützte Aktionen hinzuzufügen, weisen Sie einer oder mehreren Berechtigungen mithilfe eines Authentifizierungskontexts für bedingten Zugriff eine Richtlinie für bedingten Zugriff zu.

  1. Wählen SieRichtlinien>Bedingter Zugriff>Richtlinien aus.

  2. Stellen Sie sicher, dass der Status der Richtlinie für bedingten Zugriff, die Sie mit Ihrer geschützten Aktion verwenden möchten, Ein lautet, nicht Aus oder Nur melden.

  3. Wählen Sie Identität>Rollen & Administratoren>Geschützte Aktionen aus.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Wählen Sie Geschützte Aktionen hinzufügen aus, um eine neue geschützte Aktion hinzuzufügen.

    Wenn Geschützte Aktionen hinzufügen deaktiviert ist, stellen Sie sicher, dass Ihnen die Rolle „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“ zugewiesen ist. Weitere Informationen finden Sie unter Problembehandlung bei geschützten Aktionen.

  5. Wählen Sie einen konfigurierten Authentifizierungskontext für bedingten Zugriff aus.

  6. Wählen Sie Berechtigungen auswählen und dann die Berechtigungen aus, die mit bedingtem Zugriff geschützt werden sollen.

    Screenshot of Add protected actions page with permissions selected.

  7. Klicken Sie auf Hinzufügen.

  8. Wenn Sie fertig sind, wählen Sie Speichern aus.

    Die neuen geschützten Aktionen werden in der Liste der geschützten Aktionen angezeigt.

Schritt 3: Testen geschützter Aktionen

Wenn ein Benutzer eine geschützte Aktion ausführt, muss er die Richtlinienanforderungen für bedingten Zugriff erfüllen. In diesem Abschnitt wird gezeigt, wie ein Benutzer aufgefordert wird, eine Richtlinie zu erfüllen. In diesem Beispiel muss sich der Benutzer mit einem FIDO-Sicherheitsschlüssel authentifizieren, bevor er Richtlinien für bedingten Zugriff aktualisieren kann.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Benutzer an, der die Richtlinie erfüllen muss.

  2. Wählen SieRichtlinien>Bedingter Zugriff aus.

  3. Wählen Sie eine Richtlinie für bedingten Zugriff aus, um sie anzuzeigen.

    Die Richtlinienbearbeitung ist deaktiviert, da die Authentifizierungsanforderungen nicht erfüllt wurden. Unten auf der Seite befindet sich der folgende Hinweis:

    Die Bearbeitung ist durch eine zusätzliche Zugriffsanforderung geschützt. Klicken Sie hier, um sich erneut zu authentifizieren.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Wählen Sie Klicken Sie hier, um sich erneut zu authentifizieren aus.

  5. Führen Sie die erforderlichen Authentifizierungsaktionen aus, wenn der Browser zur Microsoft Entra-Anmeldeseite umgeleitet wird.

    Screenshot of a sign-in page to reauthenticate.

    Nach Erfüllung der Authentifizierungsanforderungen kann die Richtlinie bearbeitet werden.

  6. Bearbeiten Sie die Richtlinie, und speichern Sie die Änderungen.

    Screenshot of an enabled Conditional Access policy that can be edited.

Entfernen geschützter Aktionen

Um geschützte Aktionen zu entfernen, heben Sie die Zuweisung von Richtlinienanforderungen für bedingten Zugriff zu einer Berechtigung auf.

  1. Wählen Sie Identität>Rollen & Administratoren>Geschützte Aktionen aus.

  2. Suchen Sie die Richtlinie für bedingten Zugriff für die Berechtigung und wählen Sie sie aus, um die Zuweisung aufzuheben.

    Screenshot of Protected actions page with permission selected to remove.

  3. Wählen Sie auf der Symbolleiste die Option Entfernen aus.

    Nachdem Sie die geschützte Aktion entfernt haben, ist der Berechtigung keine Anforderung für bedingten Zugriff zugewiesen. Der Berechtigung kann eine neue Richtlinie für bedingten Zugriff zugewiesen werden.

Microsoft Graph

Hinzufügen geschützter Aktionen

Geschützte Aktionen werden durch Zuweisen eines Authentifizierungskontextwerts zu einer Berechtigung hinzugefügt. Authentifizierungskontextwerte, die im Mandanten verfügbar sind, können durch Aufrufen der API authenticationContextClassReference ermittelt werden.

Der Authentifizierungskontext kann einer Berechtigung mithilfe des API-Betaendpunkts unifiedRbacResourceAction zugewiesen werden:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Das folgende Beispiel zeigt, wie Sie die Authentifizierungskontext-ID abrufen, die für die Berechtigung microsoft.directory/conditionalAccessPolicies/delete festgelegt wurde.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Ressourcenaktionen, deren Eigenschaft isAuthenticationContextSettable auf TRUE festgelegt ist, unterstützen den Authentifizierungskontext. Ressourcenaktionen mit dem Wert der Eigenschaft authenticationContextId sind die Authentifizierungskontext-ID, die der Aktion zugewiesen wurde.

Um die Eigenschaften isAuthenticationContextSettable und authenticationContextId anzuzeigen, müssen sie beim Senden der Anforderung an die Ressourcenaktions-API in der select-Anweisung eingeschlossen sein.

Problembehandlung bei geschützten Aktionen

Symptom: Keine Authentifizierungskontextwerte auswählbar

Wenn Sie versuchen, einen Authentifizierungskontext für bedingten Zugriff auszuwählen, stehen keine Werte zur Auswahl zur Verfügung.

Screenshot of Add protected actions page with no authentication context to select.

Ursache

Im Mandanten wurden keine Authentifizierungskontextwerte für bedingten Zugriff aktiviert.

Lösung

Aktivieren Sie den Authentifizierungskontext für den Mandanten, indem Sie einen neuen Authentifizierungskontext hinzufügen. Stellen Sie sicher, dass In Apps veröffentlichen aktiviert ist, damit der Wert ausgewählt werden kann. Weitere Informationen finden Sie unter Authentifizierungskontext.

Symptom: Richtlinie wird nicht ausgelöst

In einigen Fällen werden Benutzer möglicherweise nicht wie erwartet aufgefordert, nachdem eine geschützte Aktion hinzugefügt wurde. Wenn die Richtlinie beispielsweise eine Multi-Faktor-Authentifizierung erfordert, wird einem Benutzer möglicherweise keine Aufforderung zum Anmelden angezeigt.

Ursache 1

Der Benutzer wurde nicht den Richtlinien für bedingten Zugriff zugewiesen, die für die geschützte Aktion verwendet werden.

Lösung 1

Nutzen Sie das What If-Tool für bedingten Zugriff, um zu überprüfen, ob dem Benutzer eine Richtlinie zugewiesen wurde. Wenn Sie das Tool nutzen, wählen Sie den Benutzer und den Authentifizierungskontext aus, der mit der geschützten Aktion verwendet wurde. Wählen Sie „What If“ aus, und überprüfen Sie, ob die erwartete Richtlinie in der Tabelle Anzuwendende Richtlinien aufgeführt ist. Wenn die Richtlinie nicht angewendet wird, überprüfen Sie die Bedingung für die Richtlinienbenutzerzuweisung, und fügen Sie den Benutzer hinzu.

Ursache 2

Der Benutzer hat zuvor die Richtlinie erfüllt. Beispielsweise die abgeschlossene Multi-Faktor-Authentifizierung früher in derselben Sitzung.

Lösung 2

Informationen zur Problembehandlung finden Sie unter Microsoft Entra-Anmeldeereignisse. Die Anmeldeereignisse enthalten Details zur Sitzung, unter anderem auch darüber, ob der Benutzer bzw. die Benutzerin die Multi-Faktor-Authentifizierung bereits abgeschlossen hat. Bei der Problembehandlung mit den Anmeldeprotokollen ist es auch hilfreich, die Seite mit den Richtliniendetails zu überprüfen, um zu bestätigen, dass ein Authentifizierungskontext angefordert wurde.

Symptom: Die Richtlinie wird nie erfüllt

Beim Versuch, die Anforderungen für die Richtlinie für bedingten Zugriff auszuführen, wird die Richtlinie nie erfüllt, und Sie werden immer wieder aufgefordert, sich erneut zu authentifizieren.

Ursache

Die Richtlinie für bedingten Zugriff wurde nicht erstellt, oder ihr Status lautet Aus oder Nur melden.

Lösung

Erstellen Sie die Richtlinie für bedingten Zugriff, wenn sie noch nicht vorhanden ist, und legen Sie den Status auf Ein fest.

Wenn Sie aufgrund der geschützten Aktion und der wiederholten Anforderungen zur erneuten Authentifizierung nicht auf die Seite „Bedingter Zugriff“ zugreifen können, verwenden Sie den folgenden Link, um die Seite zu öffnen.

Symptom: Kein Zugriff zum Hinzufügen geschützter Aktionen

Wenn Sie angemeldet sind, besitzen Sie keine Berechtigungen zum Hinzufügen oder Entfernen geschützter Aktionen.

Ursache

Sie besitzen keine Berechtigung zum Verwalten von geschützten Aktionen.

Lösung

Stellen Sie sicher, dass Ihnen die Rolle Administrator für bedingten Zugriff oder Sicherheitsadministrator zugewiesen wird.

Symptom: Fehler bei der Verwendung von PowerShell zum Ausführen einer geschützten Aktion zurückgegeben

Wenn Sie PowerShell zum Ausführen einer geschützten Aktion verwenden, wird ein Fehler zurückgegeben, und es wird keine Aufforderung zum Erfüllen der Richtlinie für bedingten Zugriff angezeigt.

Ursache

Microsoft Graph PowerShell unterstützt die Step-up-Authentifizierung, die erforderlich ist, um Richtlinienaufforderungen zuzulassen. Azure und Azure AD Graph PowerShell werden von der Step-up-Authentifizierung nicht unterstützt.

Lösung

Stellen Sie sicher, dass Sie Microsoft Graph PowerShell verwenden.

Nächste Schritte