Menambahkan, menguji, atau menghapus tindakan yang dilindungi di ID Microsoft Entra
Tindakan yang dilindungi di ID Microsoft Entra adalah izin yang telah ditetapkan polisi Akses Bersyarat yang diberlakukan saat pengguna mencoba melakukan tindakan. Artikel ini menjelaskan cara menambahkan, menguji, atau menghapus tindakan yang dilindungi.
Catatan
Anda harus melakukan langkah-langkah ini dalam urutan berikut untuk memastikan bahwa tindakan yang dilindungi dikonfigurasi dan diberlakukan dengan benar. Jika Anda tidak mengikuti pesanan ini, Anda mungkin mendapatkan perilaku tak terduga, seperti mendapatkan permintaan berulang untuk diautentikasi ulang.
Prasyarat
Untuk menambahkan atau menghapus tindakan yang dilindungi, Anda harus memiliki:
- Lisensi Microsoft Entra ID P1 atau P2
- Peran Administrator Akses Bersyar atau Administrator Keamanan
Langkah 1: Mengonfigurasi kebijakan Akses Bersyar
Tindakan yang dilindungi menggunakan konteks autentikasi Akses Bersyar, sehingga Anda harus mengonfigurasi konteks autentikasi dan menambahkannya ke kebijakan Akses Bersyar. Jika Anda sudah memiliki kebijakan dengan konteks autentikasi, Anda dapat melompat ke bagian berikutnya.
Masuk ke Pusat Admin Microsoft Entra.
Pilih Konteks Autentikasi Konteks>Autentikasi Akses>Bersyar perlindungan>.
Pilih Konteks autentikasi baru untuk membuka panel Tambahkan konteks autentikasi.
Masukkan nama dan deskripsi lalu pilih Simpan.
Pilih Kebijakan>Kebijakan baru untuk membuat kebijakan baru.
Buat kebijakan baru dan pilih konteks autentikasi Anda.
Untuk informasi selengkapnya, lihat Akses Bersyar: Aplikasi cloud, tindakan, dan konteks autentikasi.
Langkah 2: Menambahkan tindakan yang dilindungi
Untuk menambahkan tindakan perlindungan, tetapkan kebijakan Akses Bersyar ke satu atau beberapa izin menggunakan konteks autentikasi Akses Bersyar.
Pilih Proteksi>Kebijakan Akses>Bersyar.
Pastikan status kebijakan Akses Bersyar yang Anda rencanakan untuk digunakan dengan tindakan yang dilindungi diatur ke Aktif dan bukan Nonaktif atau Khusus laporan.
Pilih Peran Identitas>& admin>Tindakan yang Dilindungi.
Pilih Tambahkan tindakan yang diproteksi untuk menambahkan tindakan baru yang dilindungi.
Jika Tambahkan tindakan yang dilindungi dinonaktifkan, pastikan Anda diberi peran Administrator Akses Bersyar atau Administrator Keamanan. Untuk informasi selengkapnya, lihat Memecahkan masalah tindakan yang dilindungi.
Pilih konteks autentikasi Akses Bersyar yang dikonfigurasi.
Pilih Pilih izin dan pilih izin untuk dilindungi dengan Akses Bersyar.
Pilih Tambahkan.
Setelah selesai, pilih Simpan.
Tindakan baru yang diproteksi muncul dalam daftar tindakan yang dilindungi
Langkah 3: Menguji tindakan yang dilindungi
Saat pengguna melakukan tindakan yang dilindungi, mereka harus memenuhi persyaratan kebijakan Akses Bersyar. Bagian ini menunjukkan pengalaman bagi pengguna yang diminta untuk memenuhi kebijakan. Dalam contoh ini, pengguna diharuskan untuk mengautentikasi dengan kunci keamanan FIDO sebelum mereka dapat memperbarui kebijakan Akses Bersyarat.
Masuk ke pusat admin Microsoft Entra sebagai pengguna yang harus memenuhi kebijakan.
Pilih Proteksi>Akses Bersyar.
Pilih kebijakan Akses Bersyar untuk melihatnya.
Pengeditan kebijakan dinonaktifkan karena persyaratan autentikasi belum terpenuhi. Di bagian bawah halaman adalah catatan berikut:
Pengeditan dilindungi oleh persyaratan akses tambahan. Klik di sini untuk mengaauthentikasi ulang.
Pilih Klik di sini untuk mengotortikasi ulang.
Selesaikan persyaratan autentikasi saat browser dialihkan ke halaman masuk Microsoft Entra.
Setelah menyelesaikan persyaratan autentikasi, kebijakan dapat diedit.
Edit kebijakan dan simpan perubahan.
Menghapus tindakan yang diproteksi
Untuk menghapus tindakan perlindungan, hapus penetapan persyaratan kebijakan Akses Bersyar dari izin.
Pilih Peran Identitas>& admin>Tindakan yang Dilindungi.
Temukan dan pilih kebijakan Akses Bersyarah izin untuk membatalkan penetapan.
Pada toolbar, pilih Hapus.
Setelah Anda menghapus tindakan yang diproteksi, izin tidak akan memiliki persyaratan Akses Bersyarat. Kebijakan Akses Bersyar baru dapat ditetapkan ke izin.
Microsoft Graph
Menambahkan tindakan yang dilindungi
Tindakan yang dilindungi ditambahkan dengan menetapkan nilai konteks autentikasi ke izin. Nilai konteks autentikasi yang tersedia di penyewa dapat ditemukan dengan memanggil API authenticationContextClassReference .
Konteks autentikasi dapat ditetapkan ke izin menggunakan titik akhir beta API unifiedRbacResourceAction :
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Contoh berikut menunjukkan cara mendapatkan ID konteks autentikasi yang diatur pada microsoft.directory/conditionalAccessPolicies/delete
izin.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
Tindakan sumber daya dengan properti isAuthenticationContextSettable
diatur ke konteks autentikasi dukungan true. Tindakan sumber daya dengan nilai properti authenticationContextId
adalah ID konteks autentikasi yang telah ditetapkan ke tindakan.
Untuk melihat isAuthenticationContextSettable
properti dan authenticationContextId
, properti harus disertakan dalam pernyataan pilih saat membuat permintaan ke API tindakan sumber daya.
Memecahkan masalah tindakan yang dilindungi
Gejala - Tidak ada nilai konteks autentikasi yang dapat dipilih
Saat mencoba memilih konteks autentikasi Akses Bersyarat, tidak ada nilai yang tersedia untuk dipilih.
Penyebab
Tidak ada nilai konteks autentikasi Akses Bersyar yang diaktifkan di penyewa.
Solusi
Aktifkan konteks autentikasi untuk penyewa dengan menambahkan konteks autentikasi baru. Pastikan Terbitkan ke aplikasi dicentang, sehingga nilai tersedia untuk dipilih. Untuk informasi selengkapnya, lihat Konteks autentikasi.
Gejala - Kebijakan tidak dipicu
Dalam beberapa kasus, setelah tindakan yang dilindungi ditambahkan, pengguna mungkin tidak diminta seperti yang diharapkan. Misalnya, jika kebijakan memerlukan autentikasi multifaktor, pengguna mungkin tidak melihat perintah masuk.
Penyebab 1
Pengguna belum ditetapkan ke kebijakan Akses Bersyarah yang digunakan untuk tindakan yang dilindungi.
Solusi 1
Gunakan alat What If Akses Bersyar untuk memeriksa apakah pengguna telah ditetapkan kebijakannya. Saat menggunakan alat ini, pilih pengguna dan konteks autentikasi yang digunakan dengan tindakan yang dilindungi. Pilih Bagaimana Jika dan verifikasi kebijakan yang diharapkan tercantum dalam tabel Kebijakan yang akan diterapkan . Jika kebijakan tidak berlaku, periksa kondisi penetapan pengguna kebijakan, dan tambahkan pengguna.
Penyebab 2
Pengguna sebelumnya telah memenuhi kebijakan. Misalnya, autentikasi multifaktor yang telah selesai sebelumnya dalam sesi yang sama.
Solusi 2
Periksa peristiwa masuk Microsoft Entra untuk memecahkan masalah. Peristiwa masuk mencakup detail tentang sesi, termasuk apakah pengguna telah menyelesaikan autentikasi multifaktor. Saat memecahkan masalah dengan log masuk, juga berguna untuk memeriksa halaman detail kebijakan, untuk mengonfirmasi konteks autentikasi diminta.
Gejala - Kebijakan tidak pernah terpenuhi
Ketika Anda mencoba melakukan persyaratan untuk kebijakan Akses Bersyarat, kebijakan tidak pernah puas dan Anda terus diminta untuk mengautentikasi ulang.
Penyebab
Kebijakan Akses Bersyarkat tidak dibuat atau status kebijakan Nonaktif atau Khusus laporan.
Solusi
Buat kebijakan Akses Bersyarah jika tidak ada atau dan atur status ke Aktif.
Jika Anda tidak dapat mengakses halaman Akses Bersyarkat karena tindakan yang diproteksi dan permintaan berulang untuk mengautentikasi ulang, gunakan tautan berikut untuk membuka halaman Akses Bersyarkat.
Gejala - Tidak ada akses untuk menambahkan tindakan yang dilindungi
Saat masuk, Anda tidak memiliki izin untuk menambahkan atau menghapus tindakan yang dilindungi.
Penyebab
Anda tidak memiliki izin untuk mengelola tindakan yang dilindungi.
Solusi
Pastikan Anda diberi peran Administrator Akses Bersyarah atau Administrator Keamanan.
Gejala - Kesalahan yang dikembalikan menggunakan PowerShell untuk melakukan tindakan yang dilindungi
Saat menggunakan PowerShell untuk melakukan tindakan yang dilindungi, kesalahan dikembalikan dan tidak ada permintaan untuk memenuhi kebijakan Akses Bersyar.
Penyebab
Microsoft Graph PowerShell mendukung autentikasi peningkatan, yang diperlukan untuk mengizinkan permintaan kebijakan. Azure dan Azure AD Graph PowerShell tidak didukung untuk autentikasi langkah-up.
Solusi
Pastikan Anda menggunakan Microsoft Graph PowerShell.