Védett műveletek hozzáadása, tesztelése vagy eltávolítása a Microsoft Entra-azonosítóban

A Microsoft Entra ID védett műveletei olyan engedélyek, amelyek feltételes hozzáférési szabályzatokhoz lettek rendelve, amelyeket a rendszer kényszerít, amikor egy felhasználó megkísérel végrehajtani egy műveletet. Ez a cikk a védett műveletek hozzáadását, tesztelését vagy eltávolítását ismerteti.

Megjegyzés:

Ezeket a lépéseket a következő sorrendben kell végrehajtania, hogy a védett műveletek megfelelően legyenek konfigurálva és kényszerítve. Ha nem követi ezt a sorrendet, előfordulhat, hogy váratlan viselkedést kap, például ismétlődő kéréseket kap az újrahitelesítésre.

Előfeltételek

Védett műveletek hozzáadásához vagy eltávolításához a következőket kell tennie:

• Microsoft Entra ID P1 or P2 license
• Feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkör

1. lépés: Feltételes hozzáférési szabályzat konfigurálása

A védett műveletek feltételes hozzáférési hitelesítési környezetet használnak, ezért konfigurálnia kell egy hitelesítési környezetet, és hozzá kell adnia egy feltételes hozzáférési szabályzathoz. Ha már rendelkezik hitelesítési környezettel rendelkező szabályzattal, ugorjon a következő szakaszra.

1. Sign in to the Microsoft Entra admin center.

2. Válassza a Védelmi>feltételes hozzáférés>hitelesítési környezetének>hitelesítési környezetét.

3. Válassza az Új hitelesítési környezet lehetőséget a Hitelesítési környezet hozzáadása panel megnyitásához.

4. Adjon meg egy nevet és leírást, majd válassza a Mentés lehetőséget.

   

5. Új szabályzat létrehozásához válassza a Szabályzatok>új szabályzata lehetőséget.

6. Hozzon létre egy új szabályzatot, és válassza ki a hitelesítési környezetet.

   További információ: Feltételes hozzáférés: Felhőalkalmazások, műveletek és hitelesítési környezet.

   

2. lépés: Védett műveletek hozzáadása

Védelmi műveletek hozzáadásához rendeljen hozzá egy feltételes hozzáférési szabályzatot egy vagy több engedélyhez feltételes hozzáférési hitelesítési környezet használatával.

1. Válassza a Védelmi>feltételes hozzáférési>szabályzatok lehetőséget.

2. Győződjön meg arról, hogy a védett művelettel használni kívánt feltételes hozzáférési szabályzat állapota be van kapcsolva, és nem ki vagy csak jelentés.

3. Válassza ki az Identitásszerepkörök>> rendszergazdák>által védett műveleteket.

   

4. Új védett művelet hozzáadásához válassza a Védett műveletek hozzáadása lehetőséget.

   Ha a védett műveletek hozzáadása le van tiltva, győződjön meg arról, hogy a feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkörhöz van hozzárendelve. További információ: A védett műveletek hibaelhárítása.

5. Válasszon ki egy konfigurált feltételes hozzáférési hitelesítési környezetet.

6. Válassza az Engedélyek kiválasztása lehetőséget, és válassza ki a feltételes hozzáféréssel védeni kívánt engedélyeket.

   

7. Válassza a Hozzáadás lehetőséget.

8. Ha végzett, válassza a Mentés lehetőséget.

   Az új védett műveletek megjelennek a védett műveletek listájában

3. lépés: Védett műveletek tesztelése

Ha egy felhasználó védett műveletet hajt végre, meg kell felelnie a feltételes hozzáférési szabályzat követelményeinek. Ez a szakasz azt mutatja be, hogy a rendszer milyen felhasználói élményt kér egy szabályzat teljesítésére. Ebben a példában a felhasználónak fido biztonsági kulccsal kell hitelesítenie magát, mielőtt frissítené a feltételes hozzáférési szabályzatokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba olyan felhasználóként, amelynek meg kell felelnie a szabályzatnak.

2. Válassza a Védelmi>feltételes hozzáférés lehetőséget.

3. A megtekintéséhez válasszon ki egy feltételes hozzáférési szabályzatot.

   A szabályzatszerkesztés le van tiltva, mert a hitelesítési követelmények nem teljesültek. Az oldal alján a következő megjegyzés látható:

   A szerkesztést további hozzáférési követelmények védik. Kattintson ide az újrahitelesítéshez.

   

4. Kattintson ide az újrahitelesítéshez.

5. A böngésző Microsoft Entra bejelentkezési lapra való átirányításakor végezze el a hitelesítési követelményeket.

   

   A hitelesítési követelmények teljesítése után a szabályzat szerkeszthető.

6. Szerkessze a szabályzatot, és mentse a módosításokat.

   

Védett műveletek eltávolítása

A védelmi műveletek eltávolításához törölje a feltételes hozzáférési szabályzat követelményeit egy engedélyből.

1. Válassza ki az Identitásszerepkörök>> rendszergazdák>által védett műveleteket.

2. Keresse meg és válassza ki az engedély feltételes hozzáférési szabályzatát az hozzárendelés megszüntetéséhez.

   

3. Az eszköztáron válassza az Eltávolítás lehetőséget.

   A védett művelet eltávolítása után az engedélynek nem lesz feltételes hozzáférési követelménye. Egy új feltételes hozzáférési szabályzat rendelhető hozzá az engedélyhez.

Microsoft Graph

Védett műveletek hozzáadása

A védett műveletek egy hitelesítési környezeti érték engedélyhez rendelésével lesznek hozzáadva. A bérlőben elérhető hitelesítési környezeti értékek az authenticationContextClassReference API meghívásával deríthetők fel.

A hitelesítési környezet az unifiedRbacResourceAction API bétavégponttal rendelhető hozzá egy engedélyhez:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Az alábbi példa bemutatja, hogyan szerezheti be az engedélyhez beállított hitelesítési környezet azonosítóját microsoft.directory/conditionalAccessPolicies/delete .

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

A valódi hitelesítési környezetre beállított tulajdonsággal isAuthenticationContextSettable rendelkező erőforrásműveletek. A tulajdonság authenticationContextId értékével rendelkező erőforrásműveletek a művelethez rendelt hitelesítési környezet azonosítója.

A tulajdonságok és authenticationContextId a isAuthenticationContextSettable tulajdonságok megtekintéséhez szerepelniük kell a kiválasztási utasításban az erőforrás-művelet API-nak küldött kéréskor.

Védett műveletek hibaelhárítása

Hibajelenség – Nem választhatók ki hitelesítési környezeti értékek

A feltételes hozzáférés hitelesítési környezetének kiválasztásakor nincsenek kiválasztható értékek.

Ok

A bérlőben nincs engedélyezve feltételes hozzáférésű hitelesítési környezeti érték.

Megoldás

A bérlő hitelesítési környezetének engedélyezése új hitelesítési környezet hozzáadásával. Győződjön meg arról , hogy a Közzététel az alkalmazásokban jelölőnégyzet be van jelölve, így az érték kiválasztható. További információ: Hitelesítési környezet.

Tünet – A szabályzat nem aktiválódik

Bizonyos esetekben a védett művelet hozzáadása után előfordulhat, hogy a rendszer nem a várt módon kéri a felhasználókat. Ha például a szabályzat többtényezős hitelesítést igényel, előfordulhat, hogy a felhasználó nem lát bejelentkezési kérést.

1. ok

A felhasználó nem lett hozzárendelve a védett művelethez használt feltételes hozzáférési szabályzatokhoz.

1\. megoldás

A feltételes hozzáférés what if eszközével ellenőrizze, hogy a felhasználóhoz hozzárendelt szabályzat van-e hozzárendelve. Az eszköz használatakor válassza ki a felhasználót és a védett művelethez használt hitelesítési környezetet. Válassza a What If lehetőséget, és ellenőrizze, hogy a várt szabályzat szerepel-e a táblát alkalmazó szabályzatokban. Ha a szabályzat nem érvényes, ellenőrizze a szabályzat felhasználó-hozzárendelési feltételét, és adja hozzá a felhasználót.

Ok 2

A felhasználó korábban már teljesítette a szabályzatot. A többtényezős hitelesítés például ugyanabban a munkamenetben korábban fejeződött be.

2\. megoldás

A hibaelhárításhoz tekintse meg a Microsoft Entra bejelentkezési eseményeit . A bejelentkezési események tartalmazzák a munkamenet részleteit, beleértve azt is, ha a felhasználó már elvégezte a többtényezős hitelesítést. A bejelentkezési naplók hibaelhárítása során a szabályzat részleteinek lapját is érdemes ellenőrizni, hogy a rendszer hitelesítési környezetet kért-e.

Tünet – A szabályzat soha nem teljesül

Amikor megkísérli végrehajtani a feltételes hozzáférési szabályzat követelményeit, a szabályzat soha nem teljesül, és a rendszer továbbra is újrahitelesítést kér.

Ok

A feltételes hozzáférési szabályzat nem lett létrehozva, vagy a szabályzat állapota ki van kapcsolva vagy csak jelentéssel rendelkezik.

Megoldás

Hozza létre a feltételes hozzáférési szabályzatot, ha az nem létezik, vagy állítsa be az állapotot Be értékre.

Ha a védett művelet és az újrahitelesítésre irányuló ismétlődő kérések miatt nem fér hozzá a Feltételes hozzáférés laphoz, az alábbi hivatkozás használatával nyissa meg a feltételes hozzáférési lapot.

• https://aka.ms/MSALProtectedActions

Hibajelenség – Nincs hozzáférés védett műveletek hozzáadásához

Bejelentkezéskor nincs engedélye védett műveletek hozzáadására vagy eltávolítására.

Ok

Nincs engedélye a védett műveletek kezelésére.

Megoldás

Győződjön meg arról, hogy a feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkörhöz van hozzárendelve.

Hiba – A PowerShell használatával visszaadott hiba védett művelet végrehajtásához

Ha a PowerShell-lel védett műveletet hajt végre, a rendszer hibát ad vissza, és a rendszer nem kéri a feltételes hozzáférési szabályzat teljesítését.

Ok

A Microsoft Graph PowerShell támogatja a lépésenkénti hitelesítést, amely a szabályzatkérések engedélyezéséhez szükséges. Az Azure és az Azure AD Graph PowerShell nem támogatott a fokozatos hitelesítéshez.

Megoldás

Győződjön meg arról, hogy a Microsoft Graph PowerShellt használja.

További lépések

• Mik a védett műveletek a Microsoft Entra ID-ban?
• Feltételes hozzáférés hitelesítési környezete