Apa itu tindakan yang dilindungi di ID Microsoft Entra?
Tindakan yang dilindungi di ID Microsoft Entra adalah izin yang telah ditetapkan kebijakan Akses Bersyar. Saat pengguna mencoba melakukan tindakan yang dilindungi, mereka harus terlebih dahulu memenuhi kebijakan Akses Bersyarat yang ditetapkan ke izin yang diperlukan. Misalnya, untuk mengizinkan administrator memperbarui kebijakan Akses Bersyarat, Anda dapat mengharuskan mereka terlebih dahulu memenuhi kebijakan MFA tahan Phishing.
Artikel ini menyediakan gambaran umum tindakan yang dilindungi dan cara mulai menggunakannya.
Mengapa menggunakan tindakan yang dilindungi?
Anda menggunakan tindakan yang dilindungi saat ingin menambahkan lapisan perlindungan tambahan. Tindakan yang dilindungi dapat diterapkan ke izin yang memerlukan perlindungan kebijakan Akses Bersyarat yang kuat, terlepas dari peran yang digunakan atau bagaimana pengguna diberi izin. Karena penegakan kebijakan terjadi pada saat pengguna mencoba melakukan tindakan yang dilindungi dan bukan selama masuk pengguna atau aktivasi aturan, pengguna hanya diminta saat diperlukan.
Kebijakan apa yang biasanya digunakan dengan tindakan yang dilindungi?
Sebaiknya gunakan autentikasi multifaktor di semua akun, terutama akun dengan peran istimewa. Tindakan yang dilindungi dapat digunakan untuk memerlukan keamanan tambahan. Berikut adalah beberapa kebijakan Akses Bersyar yang lebih kuat.
- Kekuatan autentikasi MFA yang lebih kuat, seperti MFA Tanpa Kata Sandi atau MFA tahan phishing,
- Stasiun kerja akses istimewa, dengan menggunakan filter perangkat kebijakan Akses Bersyar.
- Batas waktu sesi yang lebih singkat, dengan menggunakan kontrol sesi frekuensi masuk Akses Bersyarat.
Izin apa yang dapat digunakan dengan tindakan yang dilindungi?
Kebijakan Akses Bersyar dapat diterapkan ke sekumpulan izin terbatas. Anda dapat menggunakan tindakan yang dilindungi di area berikut:
- Manajemen kebijakan Akses Bersyar
- Manajemen pengaturan akses lintas penyewa
- Aturan kustom yang menentukan lokasi jaringan
- Manajemen tindakan yang dilindungi
Berikut adalah sekumpulan izin awal:
| Izin | Deskripsi |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Memperbarui properti dasar untuk kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/create | Membuat kebijakan Akses Bersyarat |
| microsoft.directory/conditionalAccessPolicies/delete | Menghapus kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/basic/update | Memperbarui properti dasar untuk kebijakan akses bersyarat |
| microsoft.directory/conditionalAccessPolicies/create | Membuat kebijakan akses bersyarat |
| microsoft.directory/conditionalAccessPolicies/delete | Menghapus kebijakan akses bersyarat |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Memperbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Memperbarui pengaturan kolaborasi Microsoft Entra B2B dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Memperbarui pengaturan koneksi langsung Microsoft Entra B2B dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Perbarui pengaturan rapat Teams lintas cloud dari kebijakan akses lintas penyewa default. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Perbarui pengaturan kolaborasi Microsoft Entra B2B dari kebijakan akses lintas penyewa untuk mitra. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Perbarui pengaturan koneksi langsung Microsoft Entra B2B dari kebijakan akses lintas penyewa untuk mitra. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Buat kebijakan akses lintas penyewa untuk mitra. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Perbarui pengaturan rapat Teams lintas cloud dari kebijakan akses lintas penyewa untuk mitra. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Menghapus kebijakan akses lintas penyewa untuk mitra. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra. |
| microsoft.directory/namedLocations/basic/update | Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/create | Buat aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/delete | Hapus aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Memperbarui konteks autentikasi Akses Bersyarkat dari tindakan sumber daya kontrol akses berbasis peran (RBAC) Microsoft 365 |
Bagaimana tindakan yang dilindungi dibandingkan dengan aktivasi peran Privileged Identity Management?
Aktivasi peran Privileged Identity Management juga dapat ditetapkan kebijakan Akses Bersyar. Kemampuan ini memungkinkan penegakan kebijakan hanya ketika pengguna mengaktifkan peran, memberikan perlindungan yang paling komprehensif. Tindakan yang dilindungi diberlakukan hanya ketika pengguna mengambil tindakan yang memerlukan izin dengan kebijakan Akses Bersyarat yang ditetapkan untuknya. Tindakan yang dilindungi memungkinkan izin berdampak tinggi dilindungi, terlepas dari peran pengguna. Aktivasi peran Privileged Identity Management dan tindakan yang dilindungi dapat digunakan bersama-sama untuk cakupan yang lebih kuat.
Langkah-langkah untuk menggunakan tindakan yang dilindungi
Catatan
Anda harus melakukan langkah-langkah ini dalam urutan berikut untuk memastikan bahwa tindakan yang dilindungi dikonfigurasi dan diberlakukan dengan benar. Jika Anda tidak mengikuti pesanan ini, Anda mungkin mendapatkan perilaku tak terduga, seperti mendapatkan permintaan berulang untuk diautentikasi ulang.
Periksa izin
Periksa apakah Anda diberi peran Administrator Akses Bersyarah atau Administrator Keamanan. Jika tidak, tanyakan kepada administrator Anda untuk menetapkan peran yang sesuai.
Mengonfigurasi kebijakan Akses Bersyar
Mengonfigurasi konteks autentikasi Akses Bersyar dan kebijakan Akses Bersyar terkait. Tindakan yang dilindungi menggunakan konteks autentikasi, yang memungkinkan penegakan kebijakan untuk sumber daya halus dalam layanan, seperti izin Microsoft Entra. Kebijakan yang baik untuk memulai adalah mewajibkan MFA tanpa kata sandi dan mengecualikan akun darurat. Pelajari lebih lanjut
Menambahkan tindakan yang dilindungi
Tambahkan tindakan yang diproteksi dengan menetapkan nilai konteks autentikasi Akses Bersyar ke izin yang dipilih. Pelajari lebih lanjut
Menguji tindakan yang dilindungi
Masuk sebagai pengguna dan uji pengalaman pengguna dengan melakukan tindakan yang dilindungi. Anda harus diminta untuk memenuhi persyaratan kebijakan Akses Bersyar. Misalnya, jika kebijakan memerlukan autentikasi multifaktor, Anda harus diarahkan ke halaman masuk dan dimintai autentikasi yang kuat. Pelajari lebih lanjut
Apa yang terjadi dengan tindakan dan aplikasi yang dilindungi?
Jika aplikasi atau layanan mencoba melakukan tindakan perlindungan, aplikasi atau layanan harus dapat menangani kebijakan Akses Bersyarat yang diperlukan. Dalam beberapa kasus, pengguna mungkin perlu mengintervensi dan memenuhi kebijakan. Misalnya, mereka mungkin diperlukan untuk menyelesaikan autentikasi multifaktor. Aplikasi berikut mendukung autentikasi peningkatan untuk tindakan yang dilindungi:
- Pengalaman administrator Microsoft Entra untuk tindakan di pusat admin Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Ada beberapa batasan yang diketahui dan diharapkan. Aplikasi berikut akan gagal jika mereka mencoba melakukan tindakan yang dilindungi.
- Azure PowerShell
- Azure Active Directory PowerShell
- Membuat halaman ketentuan penggunaan baru atau kontrol kustom di pusat admin Microsoft Entra. Halaman ketentuan penggunaan baru atau kontrol kustom didaftarkan dengan Akses Bersyar sehingga tunduk pada tindakan Pembuatan, pembaruan, dan penghapusan Akses Bersyar. Menghapus sementara persyaratan kebijakan dari tindakan Membuat, memperbarui, dan menghapus Akses Bersyarat akan memungkinkan pembuatan halaman ketentuan penggunaan baru atau kontrol kustom.
Jika organisasi Anda telah mengembangkan aplikasi yang memanggil Microsoft Graph API untuk melakukan tindakan yang dilindungi, Anda harus meninjau sampel kode tentang cara menangani tantangan klaim menggunakan autentikasi peningkatan. Untuk informasi selengkapnya, lihat Panduan pengembang untuk konteks autentikasi Akses Bersyar.
Praktik terbaik
Berikut adalah beberapa praktik terbaik untuk menggunakan tindakan yang dilindungi.
Memiliki akun darurat
Saat mengonfigurasi kebijakan Akses Bersyar untuk tindakan yang dilindungi, pastikan untuk memiliki akun darurat yang dikecualikan dari kebijakan. Ini memberikan mitigasi terhadap penguncian yang tidak disengaja.
Memindahkan pengguna dan kebijakan risiko masuk ke Akses Bersyarat
Izin Akses Bersyarkat tidak digunakan saat mengelola kebijakan risiko Perlindungan ID Microsoft Entra. Sebaiknya pindahkan kebijakan risiko pengguna dan masuk ke Akses Bersyarat.
Gunakan lokasi jaringan bernama
Izin lokasi jaringan bernama tidak digunakan saat mengelola IP tepercaya autentikasi multifaktor. Sebaiknya gunakan lokasi jaringan bernama.
Jangan gunakan tindakan yang dilindungi untuk memblokir akses berdasarkan identitas atau keanggotaan grup
Tindakan yang dilindungi digunakan untuk menerapkan persyaratan akses untuk melakukan tindakan yang dilindungi. Mereka tidak dimaksudkan untuk memblokir penggunaan izin hanya berdasarkan identitas pengguna atau keanggotaan grup. Siapa memiliki akses ke izin tertentu adalah keputusan otorisasi dan harus dikontrol oleh penetapan peran.
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.