Védett műveletek hozzáadása, tesztelése vagy eltávolítása a Microsoft Entra-azonosítóban
A Microsoft Entra ID védett műveletei olyan engedélyek, amelyek feltételes hozzáférési szabályzatokhoz lettek rendelve, amelyeket a rendszer kényszerít, amikor egy felhasználó megkísérel végrehajtani egy műveletet. Ez a cikk a védett műveletek hozzáadását, tesztelését vagy eltávolítását ismerteti.
Megjegyzés:
Ezeket a lépéseket a következő sorrendben kell végrehajtania, hogy a védett műveletek megfelelően legyenek konfigurálva és kényszerítve. Ha nem követi ezt a sorrendet, előfordulhat, hogy váratlan viselkedést kap, például ismétlődő kéréseket kap az újrahitelesítésre.
Előfeltételek
Védett műveletek hozzáadásához vagy eltávolításához a következőket kell tennie:
- Microsoft Entra ID P1 or P2 license
- Feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkör
1. lépés: Feltételes hozzáférési szabályzat konfigurálása
A védett műveletek feltételes hozzáférési hitelesítési környezetet használnak, ezért konfigurálnia kell egy hitelesítési környezetet, és hozzá kell adnia egy feltételes hozzáférési szabályzathoz. Ha már rendelkezik hitelesítési környezettel rendelkező szabályzattal, ugorjon a következő szakaszra.
Sign in to the Microsoft Entra admin center.
Válassza a Védelmi>feltételes hozzáférés>hitelesítési környezetének>hitelesítési környezetét.
Válassza az Új hitelesítési környezet lehetőséget a Hitelesítési környezet hozzáadása panel megnyitásához.
Adjon meg egy nevet és leírást, majd válassza a Mentés lehetőséget.
Új szabályzat létrehozásához válassza a Szabályzatok>új szabályzata lehetőséget.
Hozzon létre egy új szabályzatot, és válassza ki a hitelesítési környezetet.
További információ: Feltételes hozzáférés: Felhőalkalmazások, műveletek és hitelesítési környezet.
2. lépés: Védett műveletek hozzáadása
Védelmi műveletek hozzáadásához rendeljen hozzá egy feltételes hozzáférési szabályzatot egy vagy több engedélyhez feltételes hozzáférési hitelesítési környezet használatával.
Válassza a Védelmi>feltételes hozzáférési>szabályzatok lehetőséget.
Győződjön meg arról, hogy a védett művelettel használni kívánt feltételes hozzáférési szabályzat állapota be van kapcsolva, és nem ki vagy csak jelentés.
Válassza ki az Identitásszerepkörök>> rendszergazdák>által védett műveleteket.
Új védett művelet hozzáadásához válassza a Védett műveletek hozzáadása lehetőséget.
Ha a védett műveletek hozzáadása le van tiltva, győződjön meg arról, hogy a feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkörhöz van hozzárendelve. További információ: A védett műveletek hibaelhárítása.
Válasszon ki egy konfigurált feltételes hozzáférési hitelesítési környezetet.
Válassza az Engedélyek kiválasztása lehetőséget, és válassza ki a feltételes hozzáféréssel védeni kívánt engedélyeket.
Válassza a Hozzáadás lehetőséget.
Ha végzett, válassza a Mentés lehetőséget.
Az új védett műveletek megjelennek a védett műveletek listájában
3. lépés: Védett műveletek tesztelése
Ha egy felhasználó védett műveletet hajt végre, meg kell felelnie a feltételes hozzáférési szabályzat követelményeinek. Ez a szakasz azt mutatja be, hogy a rendszer milyen felhasználói élményt kér egy szabályzat teljesítésére. Ebben a példában a felhasználónak fido biztonsági kulccsal kell hitelesítenie magát, mielőtt frissítené a feltételes hozzáférési szabályzatokat.
Jelentkezzen be a Microsoft Entra felügyeleti központba olyan felhasználóként, amelynek meg kell felelnie a szabályzatnak.
Válassza a Védelmi>feltételes hozzáférés lehetőséget.
A megtekintéséhez válasszon ki egy feltételes hozzáférési szabályzatot.
A szabályzatszerkesztés le van tiltva, mert a hitelesítési követelmények nem teljesültek. Az oldal alján a következő megjegyzés látható:
A szerkesztést további hozzáférési követelmények védik. Kattintson ide az újrahitelesítéshez.
Kattintson ide az újrahitelesítéshez.
A böngésző Microsoft Entra bejelentkezési lapra való átirányításakor végezze el a hitelesítési követelményeket.
A hitelesítési követelmények teljesítése után a szabályzat szerkeszthető.
Szerkessze a szabályzatot, és mentse a módosításokat.
Védett műveletek eltávolítása
A védelmi műveletek eltávolításához törölje a feltételes hozzáférési szabályzat követelményeit egy engedélyből.
Válassza ki az Identitásszerepkörök>> rendszergazdák>által védett műveleteket.
Keresse meg és válassza ki az engedély feltételes hozzáférési szabályzatát az hozzárendelés megszüntetéséhez.
Az eszköztáron válassza az Eltávolítás lehetőséget.
A védett művelet eltávolítása után az engedélynek nem lesz feltételes hozzáférési követelménye. Egy új feltételes hozzáférési szabályzat rendelhető hozzá az engedélyhez.
Microsoft Graph
Védett műveletek hozzáadása
A védett műveletek egy hitelesítési környezeti érték engedélyhez rendelésével lesznek hozzáadva. A bérlőben elérhető hitelesítési környezeti értékek az authenticationContextClassReference API meghívásával deríthetők fel.
A hitelesítési környezet az unifiedRbacResourceAction API bétavégponttal rendelhető hozzá egy engedélyhez:
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Az alábbi példa bemutatja, hogyan szerezheti be az engedélyhez beállított hitelesítési környezet azonosítóját microsoft.directory/conditionalAccessPolicies/delete
.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
A valódi hitelesítési környezetre beállított tulajdonsággal isAuthenticationContextSettable
rendelkező erőforrásműveletek. A tulajdonság authenticationContextId
értékével rendelkező erőforrásműveletek a művelethez rendelt hitelesítési környezet azonosítója.
A tulajdonságok és authenticationContextId
a isAuthenticationContextSettable
tulajdonságok megtekintéséhez szerepelniük kell a kiválasztási utasításban az erőforrás-művelet API-nak küldött kéréskor.
Védett műveletek hibaelhárítása
Hibajelenség – Nem választhatók ki hitelesítési környezeti értékek
A feltételes hozzáférés hitelesítési környezetének kiválasztásakor nincsenek kiválasztható értékek.
Ok
A bérlőben nincs engedélyezve feltételes hozzáférésű hitelesítési környezeti érték.
Megoldás
A bérlő hitelesítési környezetének engedélyezése új hitelesítési környezet hozzáadásával. Győződjön meg arról , hogy a Közzététel az alkalmazásokban jelölőnégyzet be van jelölve, így az érték kiválasztható. További információ: Hitelesítési környezet.
Tünet – A szabályzat nem aktiválódik
Bizonyos esetekben a védett művelet hozzáadása után előfordulhat, hogy a rendszer nem a várt módon kéri a felhasználókat. Ha például a szabályzat többtényezős hitelesítést igényel, előfordulhat, hogy a felhasználó nem lát bejelentkezési kérést.
1. ok
A felhasználó nem lett hozzárendelve a védett művelethez használt feltételes hozzáférési szabályzatokhoz.
1\. megoldás
A feltételes hozzáférés what if eszközével ellenőrizze, hogy a felhasználóhoz hozzárendelt szabályzat van-e hozzárendelve. Az eszköz használatakor válassza ki a felhasználót és a védett művelethez használt hitelesítési környezetet. Válassza a What If lehetőséget, és ellenőrizze, hogy a várt szabályzat szerepel-e a táblát alkalmazó szabályzatokban. Ha a szabályzat nem érvényes, ellenőrizze a szabályzat felhasználó-hozzárendelési feltételét, és adja hozzá a felhasználót.
Ok 2
A felhasználó korábban már teljesítette a szabályzatot. A többtényezős hitelesítés például ugyanabban a munkamenetben korábban fejeződött be.
2\. megoldás
A hibaelhárításhoz tekintse meg a Microsoft Entra bejelentkezési eseményeit . A bejelentkezési események tartalmazzák a munkamenet részleteit, beleértve azt is, ha a felhasználó már elvégezte a többtényezős hitelesítést. A bejelentkezési naplók hibaelhárítása során a szabályzat részleteinek lapját is érdemes ellenőrizni, hogy a rendszer hitelesítési környezetet kért-e.
Tünet – A szabályzat soha nem teljesül
Amikor megkísérli végrehajtani a feltételes hozzáférési szabályzat követelményeit, a szabályzat soha nem teljesül, és a rendszer továbbra is újrahitelesítést kér.
Ok
A feltételes hozzáférési szabályzat nem lett létrehozva, vagy a szabályzat állapota ki van kapcsolva vagy csak jelentéssel rendelkezik.
Megoldás
Hozza létre a feltételes hozzáférési szabályzatot, ha az nem létezik, vagy állítsa be az állapotot Be értékre.
Ha a védett művelet és az újrahitelesítésre irányuló ismétlődő kérések miatt nem fér hozzá a Feltételes hozzáférés laphoz, az alábbi hivatkozás használatával nyissa meg a feltételes hozzáférési lapot.
Hibajelenség – Nincs hozzáférés védett műveletek hozzáadásához
Bejelentkezéskor nincs engedélye védett műveletek hozzáadására vagy eltávolítására.
Ok
Nincs engedélye a védett műveletek kezelésére.
Megoldás
Győződjön meg arról, hogy a feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkörhöz van hozzárendelve.
Hiba – A PowerShell használatával visszaadott hiba védett művelet végrehajtásához
Ha a PowerShell-lel védett műveletet hajt végre, a rendszer hibát ad vissza, és a rendszer nem kéri a feltételes hozzáférési szabályzat teljesítését.
Ok
A Microsoft Graph PowerShell támogatja a lépésenkénti hitelesítést, amely a szabályzatkérések engedélyezéséhez szükséges. Az Azure és az Azure AD Graph PowerShell nem támogatott a fokozatos hitelesítéshez.
Megoldás
Győződjön meg arról, hogy a Microsoft Graph PowerShellt használja.
További lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: