Bagikan melalui

Menambahkan, menguji, atau menghapus tindakan yang dilindungi di ID Microsoft Entra

  • Artikel

Tindakan yang dilindungi di ID Microsoft Entra adalah izin yang telah ditetapkan polisi Akses Bersyarat yang diberlakukan saat pengguna mencoba melakukan tindakan. Artikel ini menjelaskan cara menambahkan, menguji, atau menghapus tindakan yang dilindungi.

Catatan

Anda harus melakukan langkah-langkah ini dalam urutan berikut untuk memastikan bahwa tindakan yang dilindungi dikonfigurasi dan diberlakukan dengan benar. Jika Anda tidak mengikuti pesanan ini, Anda mungkin mendapatkan perilaku tak terduga, seperti mendapatkan permintaan berulang untuk diautentikasi ulang.

Prasyarat

Untuk menambahkan atau menghapus tindakan yang dilindungi, Anda harus memiliki:

Langkah 1: Mengonfigurasi kebijakan Akses Bersyar

Tindakan yang dilindungi menggunakan konteks autentikasi Akses Bersyar, sehingga Anda harus mengonfigurasi konteks autentikasi dan menambahkannya ke kebijakan Akses Bersyar. Jika Anda sudah memiliki kebijakan dengan konteks autentikasi, Anda dapat melompat ke bagian berikutnya.

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Pilih Konteks Autentikasi Konteks>Autentikasi Akses>Bersyar perlindungan>.

  3. Pilih Konteks autentikasi baru untuk membuka panel Tambahkan konteks autentikasi.

  4. Masukkan nama dan deskripsi lalu pilih Simpan.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Pilih Kebijakan>Kebijakan baru untuk membuat kebijakan baru.

  6. Buat kebijakan baru dan pilih konteks autentikasi Anda.

    Untuk informasi selengkapnya, lihat Akses Bersyar: Aplikasi cloud, tindakan, dan konteks autentikasi.

    Screenshot of New policy page to create a new policy with an authentication context.

Langkah 2: Menambahkan tindakan yang dilindungi

Untuk menambahkan tindakan perlindungan, tetapkan kebijakan Akses Bersyar ke satu atau beberapa izin menggunakan konteks autentikasi Akses Bersyar.

  1. Pilih Proteksi>Kebijakan Akses>Bersyar.

  2. Pastikan status kebijakan Akses Bersyar yang Anda rencanakan untuk digunakan dengan tindakan yang dilindungi diatur ke Aktif dan bukan Nonaktif atau Khusus laporan.

  3. Pilih Peran Identitas>& admin>Tindakan yang Dilindungi.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Pilih Tambahkan tindakan yang diproteksi untuk menambahkan tindakan baru yang dilindungi.

    Jika Tambahkan tindakan yang dilindungi dinonaktifkan, pastikan Anda diberi peran Administrator Akses Bersyar atau Administrator Keamanan. Untuk informasi selengkapnya, lihat Memecahkan masalah tindakan yang dilindungi.

  5. Pilih konteks autentikasi Akses Bersyar yang dikonfigurasi.

  6. Pilih Pilih izin dan pilih izin untuk dilindungi dengan Akses Bersyar.

    Screenshot of Add protected actions page with permissions selected.

  7. Pilih Tambahkan.

  8. Setelah selesai, pilih Simpan.

    Tindakan baru yang diproteksi muncul dalam daftar tindakan yang dilindungi

Langkah 3: Menguji tindakan yang dilindungi

Saat pengguna melakukan tindakan yang dilindungi, mereka harus memenuhi persyaratan kebijakan Akses Bersyar. Bagian ini menunjukkan pengalaman bagi pengguna yang diminta untuk memenuhi kebijakan. Dalam contoh ini, pengguna diharuskan untuk mengautentikasi dengan kunci keamanan FIDO sebelum mereka dapat memperbarui kebijakan Akses Bersyarat.

  1. Masuk ke pusat admin Microsoft Entra sebagai pengguna yang harus memenuhi kebijakan.

  2. Pilih Proteksi>Akses Bersyar.

  3. Pilih kebijakan Akses Bersyar untuk melihatnya.

    Pengeditan kebijakan dinonaktifkan karena persyaratan autentikasi belum terpenuhi. Di bagian bawah halaman adalah catatan berikut:

    Pengeditan dilindungi oleh persyaratan akses tambahan. Klik di sini untuk mengaauthentikasi ulang.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Pilih Klik di sini untuk mengotortikasi ulang.

  5. Selesaikan persyaratan autentikasi saat browser dialihkan ke halaman masuk Microsoft Entra.

    Screenshot of a sign-in page to reauthenticate.

    Setelah menyelesaikan persyaratan autentikasi, kebijakan dapat diedit.

  6. Edit kebijakan dan simpan perubahan.

    Screenshot of an enabled Conditional Access policy that can be edited.

Menghapus tindakan yang diproteksi

Untuk menghapus tindakan perlindungan, hapus penetapan persyaratan kebijakan Akses Bersyar dari izin.

  1. Pilih Peran Identitas>& admin>Tindakan yang Dilindungi.

  2. Temukan dan pilih kebijakan Akses Bersyarah izin untuk membatalkan penetapan.

    Screenshot of Protected actions page with permission selected to remove.

  3. Pada toolbar, pilih Hapus.

    Setelah Anda menghapus tindakan yang diproteksi, izin tidak akan memiliki persyaratan Akses Bersyarat. Kebijakan Akses Bersyar baru dapat ditetapkan ke izin.

Microsoft Graph

Menambahkan tindakan yang dilindungi

Tindakan yang dilindungi ditambahkan dengan menetapkan nilai konteks autentikasi ke izin. Nilai konteks autentikasi yang tersedia di penyewa dapat ditemukan dengan memanggil API authenticationContextClassReference .

Konteks autentikasi dapat ditetapkan ke izin menggunakan titik akhir beta API unifiedRbacResourceAction :

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Contoh berikut menunjukkan cara mendapatkan ID konteks autentikasi yang diatur pada microsoft.directory/conditionalAccessPolicies/delete izin.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Tindakan sumber daya dengan properti isAuthenticationContextSettable diatur ke konteks autentikasi dukungan true. Tindakan sumber daya dengan nilai properti authenticationContextId adalah ID konteks autentikasi yang telah ditetapkan ke tindakan.

Untuk melihat isAuthenticationContextSettable properti dan authenticationContextId , properti harus disertakan dalam pernyataan pilih saat membuat permintaan ke API tindakan sumber daya.

Memecahkan masalah tindakan yang dilindungi

Gejala - Tidak ada nilai konteks autentikasi yang dapat dipilih

Saat mencoba memilih konteks autentikasi Akses Bersyarat, tidak ada nilai yang tersedia untuk dipilih.

Screenshot of Add protected actions page with no authentication context to select.

Penyebab

Tidak ada nilai konteks autentikasi Akses Bersyar yang diaktifkan di penyewa.

Solusi

Aktifkan konteks autentikasi untuk penyewa dengan menambahkan konteks autentikasi baru. Pastikan Terbitkan ke aplikasi dicentang, sehingga nilai tersedia untuk dipilih. Untuk informasi selengkapnya, lihat Konteks autentikasi.

Gejala - Kebijakan tidak dipicu

Dalam beberapa kasus, setelah tindakan yang dilindungi ditambahkan, pengguna mungkin tidak diminta seperti yang diharapkan. Misalnya, jika kebijakan memerlukan autentikasi multifaktor, pengguna mungkin tidak melihat perintah masuk.

Penyebab 1

Pengguna belum ditetapkan ke kebijakan Akses Bersyarah yang digunakan untuk tindakan yang dilindungi.

Solusi 1

Gunakan alat What If Akses Bersyar untuk memeriksa apakah pengguna telah ditetapkan kebijakannya. Saat menggunakan alat ini, pilih pengguna dan konteks autentikasi yang digunakan dengan tindakan yang dilindungi. Pilih Bagaimana Jika dan verifikasi kebijakan yang diharapkan tercantum dalam tabel Kebijakan yang akan diterapkan . Jika kebijakan tidak berlaku, periksa kondisi penetapan pengguna kebijakan, dan tambahkan pengguna.

Penyebab 2

Pengguna sebelumnya telah memenuhi kebijakan. Misalnya, autentikasi multifaktor yang telah selesai sebelumnya dalam sesi yang sama.

Solusi 2

Periksa peristiwa masuk Microsoft Entra untuk memecahkan masalah. Peristiwa masuk mencakup detail tentang sesi, termasuk apakah pengguna telah menyelesaikan autentikasi multifaktor. Saat memecahkan masalah dengan log masuk, juga berguna untuk memeriksa halaman detail kebijakan, untuk mengonfirmasi konteks autentikasi diminta.

Gejala - Kebijakan tidak pernah terpenuhi

Ketika Anda mencoba melakukan persyaratan untuk kebijakan Akses Bersyarat, kebijakan tidak pernah puas dan Anda terus diminta untuk mengautentikasi ulang.

Penyebab

Kebijakan Akses Bersyarkat tidak dibuat atau status kebijakan Nonaktif atau Khusus laporan.

Solusi

Buat kebijakan Akses Bersyarah jika tidak ada atau dan atur status ke Aktif.

Jika Anda tidak dapat mengakses halaman Akses Bersyarkat karena tindakan yang diproteksi dan permintaan berulang untuk mengautentikasi ulang, gunakan tautan berikut untuk membuka halaman Akses Bersyarkat.

Gejala - Tidak ada akses untuk menambahkan tindakan yang dilindungi

Saat masuk, Anda tidak memiliki izin untuk menambahkan atau menghapus tindakan yang dilindungi.

Penyebab

Anda tidak memiliki izin untuk mengelola tindakan yang dilindungi.

Solusi

Pastikan Anda diberi peran Administrator Akses Bersyarah atau Administrator Keamanan.

Gejala - Kesalahan yang dikembalikan menggunakan PowerShell untuk melakukan tindakan yang dilindungi

Saat menggunakan PowerShell untuk melakukan tindakan yang dilindungi, kesalahan dikembalikan dan tidak ada permintaan untuk memenuhi kebijakan Akses Bersyar.

Penyebab

Microsoft Graph PowerShell mendukung autentikasi peningkatan, yang diperlukan untuk mengizinkan permintaan kebijakan. Azure dan Azure AD Graph PowerShell tidak didukung untuk autentikasi langkah-up.

Solusi

Pastikan Anda menggunakan Microsoft Graph PowerShell.

Langkah berikutnya