Bagikan melalui

Menambahkan, menguji, atau menghapus tindakan yang dilindungi di ID Microsoft Entra

Tindakan yang dilindungi di ID Microsoft Entra adalah izin yang telah ditetapkan polisi Akses Bersyarat yang diberlakukan saat pengguna mencoba melakukan tindakan. Artikel ini menjelaskan cara menambahkan, menguji, atau menghapus tindakan yang dilindungi.

Nota

Anda harus melakukan langkah-langkah ini dalam urutan berikut untuk memastikan bahwa tindakan yang dilindungi dikonfigurasi dan diberlakukan dengan benar. Jika Anda tidak mengikuti pesanan ini, Anda mungkin mendapatkan perilaku tak terduga, seperti mendapatkan permintaan berulang untuk diautentikasi ulang.

Prasyarat

Untuk menambahkan atau menghapus tindakan yang dilindungi, Anda harus memiliki:

Langkah 1: Mengonfigurasi kebijakan Akses Bersyarat

Tindakan yang dilindungi menggunakan konteks autentikasi Akses Bersyarat, sehingga Anda harus mengonfigurasi konteks autentikasi dan menambahkannya ke kebijakan Akses Bersyarat. Jika Anda sudah memiliki kebijakan dengan konteks autentikasi, Anda dapat melompat ke bagian berikutnya.

  1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Akses Bersyarat.

  2. Pilih Entra ID>Akses Bersyarat>Konteks Autentikasi>Konteks Autentikasi.

  3. Pilih Konteks autentikasi baru untuk membuka panel Tambahkan konteks autentikasi .

  4. Masukkan nama dan deskripsi lalu pilih Simpan.

    Cuplikan layar panel Tambahkan konteks autentikasi untuk menambahkan konteks autentikasi baru.

  5. Pilih Kebijakan>Kebijakan baru untuk membuat kebijakan baru.

  6. Buat kebijakan baru dan pilih konteks autentikasi Anda.

    Untuk informasi selengkapnya, lihat Akses Bersyarat: Aplikasi Cloud, tindakan, dan konteks autentikasi.

    Cuplikan layar halaman Kebijakan baru untuk membuat kebijakan baru dengan konteks autentikasi.

Langkah 2: Menambahkan tindakan yang dilindungi

Untuk menambahkan tindakan perlindungan, gunakan konteks autentikasi Conditional Access untuk menetapkan kebijakan Conditional Access pada satu atau beberapa perizinan.

  1. Pilih Entra ID>Akses Bersyarat>Kebijakan.

  2. Pastikan status kebijakan Akses Bersyarat yang Anda rencanakan untuk digunakan dengan tindakan yang dilindungi diatur ke Aktif dan bukan Nonaktif atau Hanya laporan.

  3. Pilih Entra IDPeran & adminTindakan yang Dilindungi.

    Cuplikan layar halaman Tambahkan tindakan yang dilindungi di Peran dan administrator.

  4. Pilih Tambahkan tindakan yang diproteksi untuk menambahkan tindakan baru yang dilindungi.

    Jika Tambahkan tindakan yang dilindungi dinonaktifkan, pastikan Anda ditugaskan peran Administrator Akses Bersyarat atau Administrator Keamanan. Untuk informasi selengkapnya, lihat Mengatasi masalah tindakan yang dilindungi.

  5. Pilih konteks autentikasi Akses Bersyarat yang dikonfigurasi.

  6. Pilih Pilih izin dan pilih izin untuk dilindungi dengan Akses Bersyarat.

    Cuplikan layar halaman Tambahkan tindakan terproteksi dengan izin dipilih.

  7. Pilih Tambahkan.

  8. Setelah selesai, pilih Simpan.

    Tindakan baru yang diproteksi muncul dalam daftar tindakan yang dilindungi

Langkah 3: Menguji tindakan yang dilindungi

Saat pengguna melakukan tindakan yang dilindungi, mereka harus memenuhi persyaratan kebijakan Akses Bersyarat. Bagian ini menunjukkan pengalaman bagi pengguna yang diminta untuk memenuhi kebijakan. Dalam contoh ini, pengguna diharuskan untuk mengautentikasi dengan kunci keamanan FIDO sebelum mereka dapat memperbarui kebijakan Akses Bersyarat.

  1. Masuk ke pusat admin Microsoft Entra sebagai pengguna yang harus memenuhi kebijakan yang berlaku.

  2. Pilih Entra ID>Akses Kondisional.

  3. Pilih kebijakan Akses Bersyarat untuk melihatnya.

    Pengeditan kebijakan dinonaktifkan karena persyaratan autentikasi belum terpenuhi. Di bagian bawah halaman adalah catatan berikut:

    Pengeditan dilindungi oleh persyaratan akses tambahan. Klik di sini untuk mengaauthentikasi ulang.

    Cuplikan layar kebijakan Akses Bersyarat yang dinonaktifkan dengan catatan yang menunjukkan untuk dilakukan autentikasi ulang.

  4. Pilih Klik di sini untuk mengotortikasi ulang.

  5. Selesaikan persyaratan autentikasi saat browser dialihkan ke halaman masuk Microsoft Entra.

    Cuplikan layar halaman masuk untuk diaauthentikasi ulang.

    Setelah menyelesaikan persyaratan autentikasi, kebijakan dapat diedit.

  6. Edit kebijakan dan simpan perubahan.

    Cuplikan layar kebijakan Akses Bersyarat yang diaktifkan dan dapat diedit.

Menghapus tindakan yang diproteksi

Untuk menghapus tindakan perlindungan, batalkan penetapan persyaratan Kebijakan 'Conditional Access' dari hak akses.

  1. Pilih Entra IDPeran & adminTindakan yang Dilindungi.

  2. Temukan dan pilih kebijakan Akses Bersyarat untuk menghapus penetapan.

    Cuplikan layar halaman Tindakan terproteksi dengan izin dipilih untuk dihapus.

  3. Pada toolbar, pilih Hapus.

    Setelah Anda menghapus tindakan yang diproteksi, izin tidak akan memiliki persyaratan Akses Bersyarat. Kebijakan Akses Bersyarat baru dapat ditetapkan pada izin.

Microsoft Graph

Menambahkan tindakan yang dilindungi

Tindakan yang dilindungi ditambahkan dengan menetapkan nilai konteks autentikasi ke izin. Nilai konteks autentikasi yang tersedia di penyewa dapat ditemukan dengan memanggil API authenticationContextClassReference .

Konteks autentikasi dapat ditetapkan ke izin menggunakan endpoint beta API unifiedRbacResourceAction:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Contoh berikut menunjukkan cara mendapatkan ID konteks autentikasi yang diatur pada izin microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Tindakan sumber daya dengan properti isAuthenticationContextSettable diatur ke true mendukung konteks autentikasi. Aksi sumber daya dengan nilai properti authenticationContextId adalah ID konteks autentikasi yang telah ditetapkan ke aksi tersebut.

Untuk melihat properti isAuthenticationContextSettable dan authenticationContextId, properti tersebut harus disertakan dalam pernyataan pilih saat membuat permintaan ke API tindakan sumber daya.

Memecahkan masalah tindakan yang dilindungi

Gejala - Tidak ada nilai konteks autentikasi yang dapat dipilih

Saat mencoba memilih konteks autentikasi Akses Bersyarat, tidak ada nilai yang tersedia untuk dipilih.

Cuplikan layar halaman Tambahkan tindakan yang dilindungi tanpa konteks autentikasi untuk dipilih.

Sebab

Tidak ada nilai konteks autentikasi Akses Kondisional yang diaktifkan untuk penyewa.

Solusi

Aktifkan konteks autentikasi untuk penyewa dengan menambahkan konteks autentikasi baru. Pastikan Terbitkan ke aplikasi dicentang, sehingga nilai tersedia untuk dipilih. Untuk informasi selengkapnya, lihat konteks Autentikasi .

Gejala - Kebijakan tidak diaktifkan

Dalam beberapa kasus, setelah tindakan yang dilindungi ditambahkan, pengguna mungkin tidak menerima perintah seperti yang diharapkan. Misalnya, jika kebijakan memerlukan autentikasi multifaktor, pengguna mungkin tidak melihat perintah masuk.

Penyebab 1

Pengguna belum ditetapkan pada kebijakan Akses Bersyarat yang digunakan untuk tindakan terlindungi.

Solusi 1

Gunakan Alat Akses Bersyar What If untuk memeriksa apakah pengguna telah ditetapkan suatu kebijakan. Saat menggunakan alat ini, pilih pengguna dan konteks autentikasi yang digunakan dengan tindakan yang dilindungi. Pilih What If dan periksa kebijakan yang diharapkan tercantum dalam tabel Kebijakan yang akan diterapkan. Jika kebijakan tidak berlaku, periksa kondisi penetapan pengguna pada kebijakan, dan tambahkan pengguna.

Penyebab 2

Pengguna sebelumnya telah mematuhi kebijakan. Misalnya, autentikasi multifaktor yang telah selesai sebelumnya dalam sesi yang sama.

Solusi 2

Periksa peristiwa masuk Microsoft Entra untuk memecahkan masalah. Peristiwa masuk mencakup detail tentang sesi, termasuk apakah pengguna telah menyelesaikan autentikasi multifaktor. Saat memecahkan masalah menggunakan log masuk, juga berguna untuk memeriksa halaman detail kebijakan, untuk mengonfirmasi bahwa konteks autentikasi telah diminta.

Gejala - Kebijakan tidak pernah terpenuhi

Ketika Anda mencoba melakukan persyaratan untuk kebijakan Akses Bersyarat, kebijakan tidak pernah puas dan Anda terus diminta untuk mengautentikasi ulang.

Sebab

Kebijakan Akses Bersyarkat tidak dibuat atau status kebijakan Nonaktif atau Khusus laporan.

Solusi

Buat kebijakan Akses Bersyarat jika belum ada, atau jika sudah ada, atur status ke Aktif.

Jika Anda tidak dapat mengakses halaman Akses Bersyarkat karena tindakan yang diproteksi dan permintaan berulang untuk mengautentikasi ulang, gunakan tautan berikut untuk membuka halaman Akses Bersyarkat.

Gejala - Tidak ada akses untuk menambahkan tindakan yang dilindungi

Saat masuk, Anda tidak memiliki izin untuk menambahkan atau menghapus tindakan yang dilindungi.

Sebab

Anda tidak memiliki izin untuk mengelola tindakan yang dilindungi.

Solusi

Pastikan Anda diberi peran Administrator Akses Bersyarat atau Administrator Keamanan.

Gejala - Kesalahan muncul saat menggunakan PowerShell untuk menjalankan tindakan yang dilindungi

Saat menggunakan PowerShell untuk melakukan tindakan yang dilindungi, muncul kesalahan dan tidak ada notifikasi untuk memenuhi kebijakan Akses Bersyarat.

Sebab

Microsoft Graph PowerShell mendukung autentikasi bertingkat, yang diperlukan untuk mengizinkan permintaan kebijakan. Azure PowerShell tidak didukung untuk autentikasi tingkat lanjut.

Solusi

Pastikan Anda menggunakan Microsoft Graph PowerShell.

Langkah berikutnya

  • Last updated on