Quali sono le azioni protette in Microsoft Entra ID?
Le azioni protette in Microsoft Entra ID sono autorizzazioni assegnate ai criteri di accesso condizionale. Quando un utente tenta di eseguire un'azione protetta, deve prima soddisfare i criteri di accesso condizionale assegnati alle autorizzazioni necessarie. Ad esempio, per consentire agli amministratori di aggiornare i criteri di accesso condizionale, è possibile richiedere che soddisfino prima i criteri MFA resistenti al phishing.
Questo articolo offre una panoramica dell'azione protetta e di come iniziare a usarle.
Perché usare azioni protette?
Le azioni protette vengono usate quando si vuole aggiungere un ulteriore livello di protezione. Le azioni protette possono essere applicate alle autorizzazioni che richiedono una protezione avanzata dei criteri di accesso condizionale, indipendentemente dal ruolo usato o dal modo in cui l'utente ha concesso l'autorizzazione. Poiché l'imposizione dei criteri viene eseguita al momento in cui l'utente tenta di eseguire l'azione protetta e non durante l'accesso dell'utente o l'attivazione di regole, gli utenti vengono richiesti solo quando necessario.
Quali criteri vengono in genere usati con azioni protette?
È consigliabile usare l'autenticazione a più fattori in tutti gli account, in particolare gli account con ruoli con privilegi. Le azioni protette possono essere usate per richiedere una maggiore sicurezza. Ecco alcuni criteri di accesso condizionale più comuni.
- Maggiore livello di autenticazione MFA, ad esempio MFA senza password o MFA resistente al phishing,
- Workstation con accesso con privilegi, usando i filtri dei dispositivi dei criteri di accesso condizionale.
- Timeout di sessione più brevi, usando i controlli della frequenza di accesso condizionale.
Quali autorizzazioni possono essere usate con azioni protette?
I criteri di accesso condizionale possono essere applicati a un set limitato di autorizzazioni. È possibile usare le azioni protette nelle aree seguenti:
- Gestione dei criteri di accesso condizionale
- Gestione delle impostazioni di accesso tra tenant
- Regole personalizzate che definiscono i percorsi di rete
- Gestione delle azioni protette
Ecco il set iniziale di autorizzazioni:
| Autorizzazione | Descrizione |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminare i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/create | Crea criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminare i criteri di accesso condizionale |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Connessione/update | Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso cross-tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso cross-tenant predefiniti. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Connessione/update | Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner. |
| microsoft.directory/namedLocations/basic/update | Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/create | Creare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/delete | Eliminare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di Controllo degli accessi in base al ruolo di Microsoft 365 |
In che modo le azioni protette vengono confrontate con l'attivazione del ruolo Privileged Identity Management?
È anche possibile assegnare criteri di accesso condizionale all'attivazione del ruolo Privileged Identity Management. Questa funzionalità consente l'imposizione dei criteri solo quando un utente attiva un ruolo, fornendo la protezione più completa. Le azioni protette vengono applicate solo quando un utente esegue un'azione che richiede autorizzazioni con i criteri di accesso condizionale assegnati. Le azioni protette consentono di proteggere le autorizzazioni ad alto impatto, indipendentemente da un ruolo utente. L'attivazione del ruolo Privileged Identity Management e le azioni protette possono essere usate insieme per una maggiore copertura.
Passaggi per l'uso di azioni protette
Nota
È necessario eseguire questi passaggi nella sequenza seguente per assicurarsi che le azioni protette siano configurate e applicate correttamente. Se non si segue questo ordine, è possibile che si verifichi un comportamento imprevisto, ad esempio ricevere richieste ripetute per riautenticare.
Controllare le autorizzazioni
Verificare di aver assegnato i ruoli Amministrazione istrator di accesso condizionale o Amministrazione istrator di sicurezza. In caso contrario, rivolgersi all'amministratore per assegnare il ruolo appropriato.
Configurare i criteri di accesso condizionale
Configurare un contesto di autenticazione dell'accesso condizionale e un criterio di accesso condizionale associato. Le azioni protette usano un contesto di autenticazione, che consente l'applicazione dei criteri per le risorse con granularità fine in un servizio, ad esempio le autorizzazioni di Microsoft Entra. Un buon criterio da usare consiste nel richiedere l'autenticazione a più fattori senza password ed escludere un account di emergenza. Ulteriori informazioni
Aggiungere azioni protette
Aggiungere azioni protette assegnando i valori del contesto di autenticazione dell'accesso condizionale alle autorizzazioni selezionate. Ulteriori informazioni
Testare le azioni protette
Accedere come utente e testare l'esperienza utente eseguendo l'azione protetta. Verrà richiesto di soddisfare i requisiti dei criteri di accesso condizionale. Ad esempio, se il criterio richiede l'autenticazione a più fattori, si dovrebbe essere reindirizzati alla pagina di accesso e viene richiesta l'autenticazione avanzata. Ulteriori informazioni
Cosa accade con le azioni e le applicazioni protette?
Se un'applicazione o un servizio tenta di eseguire un'azione di protezione, deve essere in grado di gestire i criteri di accesso condizionale necessari. In alcuni casi, un utente potrebbe dover intervenire e soddisfare i criteri. Ad esempio, potrebbero essere necessari per completare l'autenticazione a più fattori. Le applicazioni seguenti supportano l'autenticazione dettagliata per le azioni protette:
- Esperienze di amministratore di Microsoft Entra per le azioni nell'interfaccia di amministrazione di Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Esistono alcune limitazioni note e previste. Le applicazioni seguenti avranno esito negativo se tentano di eseguire un'azione protetta.
- Azure PowerShell
- Azure AD PowerShell
- Creazione di una nuova pagina per l'utilizzo o di un controllo personalizzato nell'interfaccia di amministrazione di Microsoft Entra. Le nuove pagine per l'utilizzo o i controlli personalizzati vengono registrati con l'accesso condizionale, pertanto sono soggette a azioni protette di creazione, aggiornamento ed eliminazione dell'accesso condizionale. Rimuovendo temporaneamente il requisito dei criteri dalle azioni di creazione, aggiornamento ed eliminazione dell'accesso condizionale consentirà la creazione di una nuova pagina per l'utilizzo o di un controllo personalizzato.
Se l'organizzazione ha sviluppato un'applicazione che chiama l'API Microsoft Graph per eseguire un'azione protetta, è necessario esaminare l'esempio di codice per gestire una richiesta di attestazioni usando l'autenticazione dettagliata. Per altre informazioni, vedere Guida per sviluppatori al contesto di autenticazione dell'accesso condizionale.
Procedure consigliate
Ecco alcune procedure consigliate per l'uso di azioni protette.
Avere un account di emergenza
Quando si configurano i criteri di accesso condizionale per le azioni protette, assicurarsi di avere un account di emergenza escluso dai criteri. In questo modo viene fornita una mitigazione contro il blocco accidentale.
Spostare i criteri di rischio di accesso e utente all'accesso condizionale
Le autorizzazioni di accesso condizionale non vengono usate per la gestione dei criteri di rischio di Microsoft Entra ID Protection. È consigliabile spostare i criteri di rischio di accesso e utente all'accesso condizionale.
Usare percorsi di rete denominati
Le autorizzazioni dei percorsi di rete denominate non vengono usate quando si gestiscono indirizzi IP attendibili per l'autenticazione a più fattori. È consigliabile usare percorsi di rete denominati.
Non usare azioni protette per bloccare l'accesso in base all'appartenenza a identità o gruppi
Le azioni protette vengono usate per applicare un requisito di accesso per eseguire un'azione protetta. Non sono destinati a bloccare l'uso di un'autorizzazione solo in base all'identità utente o all'appartenenza a gruppi. Chi ha accesso a autorizzazioni specifiche è una decisione di autorizzazione e deve essere controllato dall'assegnazione di ruolo.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.