Mik a védett műveletek a Microsoft Entra ID-ban?
A Microsoft Entra ID védett műveletei feltételes hozzáférési szabályzatokhoz rendelt engedélyek. Amikor egy felhasználó védett műveletet kísérel meg végrehajtani, először meg kell felelnie a szükséges engedélyekhez rendelt feltételes hozzáférési szabályzatoknak. Ha például lehetővé szeretné tenni a rendszergazdák számára a feltételes hozzáférési szabályzatok frissítését, megkövetelheti, hogy először megfeleljenek az adathalászatnak ellenálló MFA-szabályzatnak .
Ez a cikk áttekintést nyújt a védett műveletekről és azok használatának megkezdéséről.
Miért érdemes védett műveleteket használni?
Védett műveleteket akkor használ, ha további védelmi réteget szeretne hozzáadni. A védett műveletek olyan engedélyekre alkalmazhatók, amelyek erős feltételes hozzáférési szabályzatvédelmet igényelnek, függetlenül a használt szerepkörtől vagy a felhasználó engedélyének megadásától. Mivel a szabályzatkényszerítés akkor történik, amikor a felhasználó megkísérli végrehajtani a védett műveletet, és nem a felhasználói bejelentkezés vagy a szabály aktiválása során, a rendszer csak szükség esetén kéri a felhasználókat.
Milyen szabályzatokat használnak általában védett műveletekhez?
Javasoljuk, hogy minden fiókon használjunk többtényezős hitelesítést, különösen a kiemelt szerepkörrel rendelkező fiókokat. A védett műveletek további biztonságot igényelhetnek. Íme néhány gyakori, erősebb feltételes hozzáférési szabályzat.
- Erősebb MFA-hitelesítési erősségek, például jelszó nélküli MFA vagy adathalászat-ellenálló MFA,
- Emelt szintű hozzáférési munkaállomások feltételes hozzáférési szabályzat eszközszűrőkkel.
- Rövidebb munkamenet-időtúllépések a feltételes hozzáférés bejelentkezési gyakoriságú munkamenet-vezérlőinek használatával.
Milyen engedélyek használhatók védett műveletekkel?
A feltételes hozzáférési szabályzatok korlátozott engedélyekre alkalmazhatók. A védett műveleteket a következő területeken használhatja:
- Feltételes hozzáférési szabályzat kezelése
- Bérlők közötti hozzáférési beállítások kezelése
- Hálózati helyeket meghatározó egyéni szabályok
- Védett műveletkezelés
Íme az engedélyek kezdeti készlete:
| Engedély | Leírás |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Feltételes hozzáférési szabályzatok alapvető tulajdonságainak frissítése |
| microsoft.directory/conditionalAccessPolicies/create | Feltételes hozzáférési szabályzatok létrehozása |
| microsoft.directory/conditionalAccessPolicies/delete | Feltételes hozzáférési szabályzatok törlése |
| microsoft.directory/conditionalAccessPolicies/basic/update | Feltételes hozzáférési szabályzatok alapvető tulajdonságainak frissítése |
| microsoft.directory/conditionalAccessPolicies/create | Feltételes hozzáférési szabályzatok létrehozása |
| microsoft.directory/conditionalAccessPolicies/delete | Feltételes hozzáférési szabályzatok törlése |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | A bérlők közötti hozzáférési szabályzat engedélyezett felhővégpontjainak frissítése |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | A Microsoft Entra B2B alapértelmezett bérlőközi hozzáférési szabályzatának együttműködési beállításainak frissítése |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Csatlakozás/update | A Microsoft Entra B2B közvetlen kapcsolódási beállításainak frissítése az alapértelmezett bérlőközi hozzáférési szabályzathoz |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Frissítse a felhők közötti Teams-értekezletek beállításait az alapértelmezett bérlőközi hozzáférési szabályzatban. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Frissítse az alapértelmezett bérlőközi hozzáférési szabályzat bérlői korlátozásait. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | A bérlők közötti hozzáférési szabályzat Microsoft Entra B2B együttműködési beállításainak frissítése a partnerek számára. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Csatlakozás/update | Frissítse a Microsoft Entra B2B közvetlen kapcsolódási beállításait a partnerek bérlők közötti hozzáférési szabályzatához. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Bérlők közötti hozzáférési szabályzat létrehozása partnerek számára. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | A bérlők közötti hozzáférési szabályzat felhők közötti Teams-értekezletbeállításainak frissítése a partnerek számára. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Bérlők közötti hozzáférési szabályzat törlése a partnerek számára. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | A bérlők közötti hozzáférési szabályzat bérlői korlátozásainak frissítése a partnerek számára. |
| microsoft.directory/namedLocations/basic/update | A hálózati helyeket meghatározó egyéni szabályok alapvető tulajdonságainak frissítése |
| microsoft.directory/namedLocations/create | Hálózati helyeket meghatározó egyéni szabályok létrehozása |
| microsoft.directory/namedLocations/delete | Hálózati helyeket meghatározó egyéni szabályok törlése |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | A Microsoft 365 szerepköralapú hozzáférés-vezérlési (RBAC) erőforrásműveletek feltételes hozzáférés-hitelesítési környezetének frissítése |
Hogyan összehasonlítani a védett műveleteket a Privileged Identity Management szerepkör aktiválásával?
A Privileged Identity Management szerepkör aktiválása feltételes hozzáférési szabályzatokhoz is hozzárendelhető. Ez a funkció csak akkor teszi lehetővé a szabályzatok kikényszerítését, ha egy felhasználó aktivál egy szerepkört, és a legátfogóbb védelmet nyújtja. A védett műveletek csak akkor lesznek kényszerítve, ha egy felhasználó olyan műveletet hajt végre, amelyhez feltételes hozzáférési szabályzattal rendelkező engedélyek szükségesek. A védett műveletek lehetővé teszik a nagy hatású engedélyek védelmét, függetlenül a felhasználói szerepkörökétől. A privileged Identity Management szerepkör aktiválása és a védett műveletek együtt használhatók az erősebb lefedettség érdekében.
A védett műveletek használatának lépései
Feljegyzés
Ezeket a lépéseket a következő sorrendben kell végrehajtania, hogy a védett műveletek megfelelően legyenek konfigurálva és kényszerítve. Ha nem követi ezt a sorrendet, előfordulhat, hogy váratlan viselkedést kap, például ismétlődő kéréseket kap az újrahitelesítésre.
Engedélyek ellenőrzése
Ellenőrizze, hogy a feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkörhöz van-e hozzárendelve. Ha nem, kérje meg a rendszergazdát, hogy rendelje hozzá a megfelelő szerepkört.
Feltételes hozzáférési szabályzat konfigurálása
Konfiguráljon egy feltételes hozzáférési hitelesítési környezetet és egy társított feltételes hozzáférési szabályzatot. A védett műveletek hitelesítési környezetet használnak, amely lehetővé teszi a szabályzatok kikényszerítését a szolgáltatás részletes erőforrásaihoz, például a Microsoft Entra-engedélyekhez. Első lépésként érdemes jelszó nélküli MFA-t igényelni, és kizárni egy segélyhívási fiókot. További információ
Védett műveletek hozzáadása
Védett műveletek hozzáadása feltételes hozzáférésű hitelesítési környezeti értékek kijelölt engedélyekhez való hozzárendelésével. További információ
Védett műveletek tesztelése
Jelentkezzen be felhasználóként, és tesztelje a felhasználói élményt a védett művelet végrehajtásával. A rendszer kérni fogja, hogy feleljen meg a feltételes hozzáférési szabályzat követelményeinek. Ha például a szabályzat többtényezős hitelesítést igényel, a rendszer átirányítja a bejelentkezési oldalra, és erős hitelesítést kér. További információ
Mi történik a védett műveletekkel és alkalmazásokkal?
Ha egy alkalmazás vagy szolgáltatás védelmi műveletet kísérel meg végrehajtani, képesnek kell lennie a szükséges feltételes hozzáférési szabályzat kezelésére. Bizonyos esetekben előfordulhat, hogy a felhasználónak közbe kell avatkoznia, és teljesítenie kell a szabályzatot. Előfordulhat például, hogy többtényezős hitelesítésre van szükség. A következő alkalmazások támogatják a fokozott hitelesítést a védett műveletekhez:
- Microsoft Entra rendszergazdai élmények a Microsoft Entra felügyeleti központban végzett műveletekhez
- Microsoft Graph PowerShell
- Graph Explorer
Vannak ismert és várt korlátozások. A következő alkalmazások sikertelenek lesznek, ha védett műveletet kísérelnek meg végrehajtani.
- Azure PowerShell
- Azure AD PowerShell
- Új használati feltételek lap vagy egyéni vezérlő létrehozása a Microsoft Entra Felügyeleti központban. Az új használati feltételek lapjai vagy egyéni vezérlői regisztrálva vannak a feltételes hozzáférésben, így a feltételes hozzáférés védett műveletek létrehozására, frissítésére és törlésére vonatkozik. Ha ideiglenesen eltávolítja a szabályzatkövetelményt a feltételes hozzáférés létrehozási, frissítési és törlési műveleteiből, új használati feltételek lap vagy egyéni vezérlő hozható létre.
Ha a szervezet kifejlesztett egy alkalmazást, amely meghívja a Microsoft Graph API-t egy védett művelet végrehajtására, tekintse át a kódmintát, amelyből megtudhatja, hogyan kezelheti a jogcímekkel kapcsolatos kihívásokat a lépésenkénti hitelesítéssel. További információ: Fejlesztői útmutató a feltételes hozzáférés hitelesítési környezetéhez.
Ajánlott eljárások
Íme néhány ajánlott eljárás a védett műveletek használatához.
Segélyhívási fiók
Ha feltételes hozzáférési szabályzatokat konfigurál védett műveletekhez, győződjön meg arról, hogy a szabályzatból kizárt vészhelyzeti fiókkal rendelkezik. Ez enyhíti a véletlen zárolást.
Felhasználói és bejelentkezési kockázati szabályzatok áthelyezése feltételes hozzáférésre
A feltételes hozzáférési engedélyek nem használhatók Microsoft Entra ID-védelem kockázati szabályzatok kezelésekor. Javasoljuk, hogy a felhasználói és bejelentkezési kockázati szabályzatokat a feltételes hozzáférésre helyezhesse át.
Elnevezett hálózati helyek használata
A rendszer nem használja a névvel ellátott hálózatihely-engedélyeket a többtényezős hitelesítés megbízható IP-címeinek kezelésekor. A nevesített hálózati helyek használatát javasoljuk.
Ne használjon védett műveleteket a hozzáférés letiltásához identitás vagy csoporttagság alapján
A védett műveletek hozzáférési követelményt alkalmaznak a védett műveletek végrehajtásához. Nem célja, hogy csak felhasználói identitás vagy csoporttagság alapján tiltsa le az engedélyek használatát. Az, hogy kinek van hozzáférése adott engedélyekhez, az engedélyezési döntés, és szerepkör-hozzárendeléssel kell szabályozni.
Licenckövetelmények
A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.