Hinzufügen, Testen oder Entfernen geschützter Aktionen in Microsoft Entra ID
Geschützte Aktionen in Microsoft Entra ID sind Berechtigungen, denen Richtlinien für bedingten Zugriff zugewiesen wurden, die erzwungen werden, wenn Benutzer*innen versuchen, eine Aktion auszuführen. In diesem Artikel wird beschrieben, wie geschützte Aktionen hinzugefügt, getestet oder entfernt werden.
Hinweis
Führen Sie diese Schritte in der folgenden Sequenz aus, um sicherzustellen, dass geschützte Aktionen ordnungsgemäß konfiguriert und erzwungen werden. Wenn Sie diese Reihenfolge nicht einhalten, kann ein unerwartetes Verhalten auftreten, z. B. wiederholte Aufforderungen zur erneuten Authentifizierung.
Voraussetzungen
Um geschützte Aktionen hinzuzufügen oder zu entfernen, benötigen Sie:
- P1- oder P2-Lizenz für Microsoft Entra ID
- Rolle als Administrator für bedingten Zugriff oder Sicherheitsadministrator
Schritt 1: Konfigurieren der Richtlinie für bedingten Zugriff
Geschützte Aktionen verwenden einen Authentifizierungskontext für bedingten Zugriff. Daher müssen Sie einen Authentifizierungskontext konfigurieren und einer Richtlinie für bedingten Zugriff hinzufügen. Wenn Sie bereits über eine Richtlinie mit einem Authentifizierungskontext verfügen, können Sie mit dem nächsten Abschnitt fortfahren.
Melden Sie sich beim Microsoft Entra Admin Center an.
Wählen Sie Schutz>Bedingter Zugriff>Authentifizierungskontext>Authentifizierungskontext aus.
Wählen Sie Neuer Authentifizierungskontext aus, um den Bereich Authentifizierungskontext hinzufügen zu öffnen.
Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie dann Speichern aus.
Wählen Sie Richtlinien>Neue Richtlinie aus, um eine neue Richtlinie zu erstellen.
Erstellen Sie eine neue Richtlinie, und wählen Sie Ihren Authentifizierungskontext aus.
Weitere Informationen finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.
Schritt 2: Hinzufügen geschützter Aktionen
Um geschützte Aktionen hinzuzufügen, weisen Sie einer oder mehreren Berechtigungen mithilfe eines Authentifizierungskontexts für bedingten Zugriff eine Richtlinie für bedingten Zugriff zu.
Wählen SieRichtlinien>Bedingter Zugriff>Richtlinien aus.
Stellen Sie sicher, dass der Status der Richtlinie für bedingten Zugriff, die Sie mit Ihrer geschützten Aktion verwenden möchten, Ein lautet, nicht Aus oder Nur melden.
Wählen Sie Identität>Rollen & Administratoren>Geschützte Aktionen aus.
Wählen Sie Geschützte Aktionen hinzufügen aus, um eine neue geschützte Aktion hinzuzufügen.
Wenn Geschützte Aktionen hinzufügen deaktiviert ist, stellen Sie sicher, dass Ihnen die Rolle „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“ zugewiesen ist. Weitere Informationen finden Sie unter Problembehandlung bei geschützten Aktionen.
Wählen Sie einen konfigurierten Authentifizierungskontext für bedingten Zugriff aus.
Wählen Sie Berechtigungen auswählen und dann die Berechtigungen aus, die mit bedingtem Zugriff geschützt werden sollen.
Klicken Sie auf Hinzufügen.
Wenn Sie fertig sind, wählen Sie Speichern aus.
Die neuen geschützten Aktionen werden in der Liste der geschützten Aktionen angezeigt.
Schritt 3: Testen geschützter Aktionen
Wenn ein Benutzer eine geschützte Aktion ausführt, muss er die Richtlinienanforderungen für bedingten Zugriff erfüllen. In diesem Abschnitt wird gezeigt, wie ein Benutzer aufgefordert wird, eine Richtlinie zu erfüllen. In diesem Beispiel muss sich der Benutzer mit einem FIDO-Sicherheitsschlüssel authentifizieren, bevor er Richtlinien für bedingten Zugriff aktualisieren kann.
Melden Sie sich beim Microsoft Entra Admin Center als Benutzer an, der die Richtlinie erfüllen muss.
Wählen SieRichtlinien>Bedingter Zugriff aus.
Wählen Sie eine Richtlinie für bedingten Zugriff aus, um sie anzuzeigen.
Die Richtlinienbearbeitung ist deaktiviert, da die Authentifizierungsanforderungen nicht erfüllt wurden. Unten auf der Seite befindet sich der folgende Hinweis:
Die Bearbeitung ist durch eine zusätzliche Zugriffsanforderung geschützt. Klicken Sie hier, um sich erneut zu authentifizieren.
Wählen Sie Klicken Sie hier, um sich erneut zu authentifizieren aus.
Führen Sie die erforderlichen Authentifizierungsaktionen aus, wenn der Browser zur Microsoft Entra-Anmeldeseite umgeleitet wird.
Nach Erfüllung der Authentifizierungsanforderungen kann die Richtlinie bearbeitet werden.
Bearbeiten Sie die Richtlinie, und speichern Sie die Änderungen.
Entfernen geschützter Aktionen
Um geschützte Aktionen zu entfernen, heben Sie die Zuweisung von Richtlinienanforderungen für bedingten Zugriff zu einer Berechtigung auf.
Wählen Sie Identität>Rollen & Administratoren>Geschützte Aktionen aus.
Suchen Sie die Richtlinie für bedingten Zugriff für die Berechtigung und wählen Sie sie aus, um die Zuweisung aufzuheben.
Wählen Sie auf der Symbolleiste die Option Entfernen aus.
Nachdem Sie die geschützte Aktion entfernt haben, ist der Berechtigung keine Anforderung für bedingten Zugriff zugewiesen. Der Berechtigung kann eine neue Richtlinie für bedingten Zugriff zugewiesen werden.
Microsoft Graph
Hinzufügen geschützter Aktionen
Geschützte Aktionen werden durch Zuweisen eines Authentifizierungskontextwerts zu einer Berechtigung hinzugefügt. Authentifizierungskontextwerte, die im Mandanten verfügbar sind, können durch Aufrufen der API authenticationContextClassReference ermittelt werden.
Der Authentifizierungskontext kann einer Berechtigung mithilfe des API-Betaendpunkts unifiedRbacResourceAction zugewiesen werden:
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Das folgende Beispiel zeigt, wie Sie die Authentifizierungskontext-ID abrufen, die für die Berechtigung microsoft.directory/conditionalAccessPolicies/delete
festgelegt wurde.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
Ressourcenaktionen, deren Eigenschaft isAuthenticationContextSettable
auf TRUE festgelegt ist, unterstützen den Authentifizierungskontext. Ressourcenaktionen mit dem Wert der Eigenschaft authenticationContextId
sind die Authentifizierungskontext-ID, die der Aktion zugewiesen wurde.
Um die Eigenschaften isAuthenticationContextSettable
und authenticationContextId
anzuzeigen, müssen sie beim Senden der Anforderung an die Ressourcenaktions-API in der select-Anweisung eingeschlossen sein.
Problembehandlung bei geschützten Aktionen
Symptom: Keine Authentifizierungskontextwerte auswählbar
Wenn Sie versuchen, einen Authentifizierungskontext für bedingten Zugriff auszuwählen, stehen keine Werte zur Auswahl zur Verfügung.
Ursache
Im Mandanten wurden keine Authentifizierungskontextwerte für bedingten Zugriff aktiviert.
Lösung
Aktivieren Sie den Authentifizierungskontext für den Mandanten, indem Sie einen neuen Authentifizierungskontext hinzufügen. Stellen Sie sicher, dass In Apps veröffentlichen aktiviert ist, damit der Wert ausgewählt werden kann. Weitere Informationen finden Sie unter Authentifizierungskontext.
Symptom: Richtlinie wird nicht ausgelöst
In einigen Fällen werden Benutzer möglicherweise nicht wie erwartet aufgefordert, nachdem eine geschützte Aktion hinzugefügt wurde. Wenn die Richtlinie beispielsweise eine Multi-Faktor-Authentifizierung erfordert, wird einem Benutzer möglicherweise keine Aufforderung zum Anmelden angezeigt.
Ursache 1
Der Benutzer wurde nicht den Richtlinien für bedingten Zugriff zugewiesen, die für die geschützte Aktion verwendet werden.
Lösung 1
Nutzen Sie das What If-Tool für bedingten Zugriff, um zu überprüfen, ob dem Benutzer eine Richtlinie zugewiesen wurde. Wenn Sie das Tool nutzen, wählen Sie den Benutzer und den Authentifizierungskontext aus, der mit der geschützten Aktion verwendet wurde. Wählen Sie „What If“ aus, und überprüfen Sie, ob die erwartete Richtlinie in der Tabelle Anzuwendende Richtlinien aufgeführt ist. Wenn die Richtlinie nicht angewendet wird, überprüfen Sie die Bedingung für die Richtlinienbenutzerzuweisung, und fügen Sie den Benutzer hinzu.
Ursache 2
Der Benutzer hat zuvor die Richtlinie erfüllt. Beispielsweise die abgeschlossene Multi-Faktor-Authentifizierung früher in derselben Sitzung.
Lösung 2
Informationen zur Problembehandlung finden Sie unter Microsoft Entra-Anmeldeereignisse. Die Anmeldeereignisse enthalten Details zur Sitzung, unter anderem auch darüber, ob der Benutzer bzw. die Benutzerin die Multi-Faktor-Authentifizierung bereits abgeschlossen hat. Bei der Problembehandlung mit den Anmeldeprotokollen ist es auch hilfreich, die Seite mit den Richtliniendetails zu überprüfen, um zu bestätigen, dass ein Authentifizierungskontext angefordert wurde.
Symptom: Die Richtlinie wird nie erfüllt
Beim Versuch, die Anforderungen für die Richtlinie für bedingten Zugriff auszuführen, wird die Richtlinie nie erfüllt, und Sie werden immer wieder aufgefordert, sich erneut zu authentifizieren.
Ursache
Die Richtlinie für bedingten Zugriff wurde nicht erstellt, oder ihr Status lautet Aus oder Nur melden.
Lösung
Erstellen Sie die Richtlinie für bedingten Zugriff, wenn sie noch nicht vorhanden ist, und legen Sie den Status auf Ein fest.
Wenn Sie aufgrund der geschützten Aktion und der wiederholten Anforderungen zur erneuten Authentifizierung nicht auf die Seite „Bedingter Zugriff“ zugreifen können, verwenden Sie den folgenden Link, um die Seite zu öffnen.
Symptom: Kein Zugriff zum Hinzufügen geschützter Aktionen
Wenn Sie angemeldet sind, besitzen Sie keine Berechtigungen zum Hinzufügen oder Entfernen geschützter Aktionen.
Ursache
Sie besitzen keine Berechtigung zum Verwalten von geschützten Aktionen.
Lösung
Stellen Sie sicher, dass Ihnen die Rolle Administrator für bedingten Zugriff oder Sicherheitsadministrator zugewiesen wird.
Symptom: Fehler bei der Verwendung von PowerShell zum Ausführen einer geschützten Aktion zurückgegeben
Wenn Sie PowerShell zum Ausführen einer geschützten Aktion verwenden, wird ein Fehler zurückgegeben, und es wird keine Aufforderung zum Erfüllen der Richtlinie für bedingten Zugriff angezeigt.
Ursache
Microsoft Graph PowerShell unterstützt die Step-up-Authentifizierung, die erforderlich ist, um Richtlinienaufforderungen zuzulassen. Azure und Azure AD Graph PowerShell werden von der Step-up-Authentifizierung nicht unterstützt.
Lösung
Stellen Sie sicher, dass Sie Microsoft Graph PowerShell verwenden.