Delen via


Beveiligde acties toevoegen, testen of verwijderen in Microsoft Entra-id

Beveiligde acties in Microsoft Entra-id zijn machtigingen waaraan beleid voor voorwaardelijke toegang is toegewezen die worden afgedwongen wanneer een gebruiker een actie probeert uit te voeren. In dit artikel wordt beschreven hoe u beveiligde acties toevoegt, test of verwijdert.

Notitie

Voer deze stappen uit in de volgende volgorde om ervoor te zorgen dat beveiligde acties correct zijn geconfigureerd en afgedwongen. Als u deze volgorde niet volgt, krijgt u mogelijk onverwacht gedrag, zoals het ophalen van herhaalde aanvragen om opnieuw te verifiëren.

Vereisten

Als u beveiligde acties wilt toevoegen of verwijderen, moet u het volgende hebben:

Stap 1: Beleid voor voorwaardelijke toegang configureren

Beveiligde acties maken gebruik van een verificatiecontext voor voorwaardelijke toegang, dus u moet een verificatiecontext configureren en toevoegen aan een beleid voor voorwaardelijke toegang. Als u al een beleid met een verificatiecontext hebt, kunt u doorgaan naar de volgende sectie.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Selecteer Verificatiecontext verificatiecontext> voor beveiliging voor voorwaardelijke toegang.>>

  3. Selecteer Nieuwe verificatiecontext om het deelvenster Verificatiecontext toevoegen te openen.

  4. Voer een naam en beschrijving in en selecteer Opslaan.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Selecteer Beleid>nieuw beleid om een nieuw beleid te maken.

  6. Maak een nieuw beleid en selecteer uw verificatiecontext.

    Zie Voorwaardelijke toegang: Cloud-apps, acties en verificatiecontext voor meer informatie.

    Screenshot of New policy page to create a new policy with an authentication context.

Stap 2: Beveiligde acties toevoegen

Als u beveiligingsacties wilt toevoegen, wijst u een beleid voor voorwaardelijke toegang toe aan een of meer machtigingen met behulp van een context voor voorwaardelijke toegangsverificatie.

  1. Selecteer Beleid voor voorwaardelijke toegang>beveiligen>.

  2. Zorg ervoor dat de status van het beleid voor voorwaardelijke toegang dat u wilt gebruiken met uw beveiligde actie is ingesteld op Aan en niet op Aan of Alleen rapporteren.

  3. Selecteer Beveiligde acties voor identiteitsrollen>en beheerders>.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Selecteer Beveiligde acties toevoegen om een nieuwe beveiligde actie toe te voegen.

    Als Beveiligde acties toevoegen is uitgeschakeld, moet u ervoor zorgen dat u de rol Voorwaardelijke toegang Beheer istrator of Beveiliging Beheer istrator hebt toegewezen. Zie Problemen met beveiligde acties oplossen voor meer informatie.

  5. Selecteer een geconfigureerde context voor voorwaardelijke toegangsverificatie.

  6. Selecteer Machtigingen selecteren en selecteer de machtigingen die u wilt beveiligen met voorwaardelijke toegang.

    Screenshot of Add protected actions page with permissions selected.

  7. Selecteer Toevoegen.

  8. Selecteer Opslaan wanneer u klaar bent.

    De nieuwe beveiligde acties worden weergegeven in de lijst met beveiligde acties

Stap 3: Beveiligde acties testen

Wanneer een gebruiker een beveiligde actie uitvoert, moet deze voldoen aan de beleidsvereisten voor voorwaardelijke toegang. In deze sectie ziet u de ervaring voor een gebruiker die wordt gevraagd om aan een beleid te voldoen. In dit voorbeeld moet de gebruiker worden geverifieerd met een FIDO-beveiligingssleutel voordat het beleid voor voorwaardelijke toegang kan worden bijgewerkt.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een gebruiker die aan het beleid moet voldoen.

  2. Selecteer Voorwaardelijke toegang beveiligen>.

  3. Selecteer een beleid voor voorwaardelijke toegang om dit weer te geven.

    Het bewerken van beleid is uitgeschakeld omdat niet aan de verificatievereisten is voldaan. Onderaan de pagina ziet u de volgende opmerking:

    Bewerken wordt beveiligd door een extra toegangsvereiste. Klik hier om opnieuw te verifiëren.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Klik hier om opnieuw te verifiëren.

  5. Voltooi de verificatievereisten wanneer de browser wordt omgeleid naar de aanmeldingspagina van Microsoft Entra.

    Screenshot of a sign-in page to reauthenticate.

    Nadat de verificatievereisten zijn voltooid, kan het beleid worden bewerkt.

  6. Bewerk het beleid en sla wijzigingen op.

    Screenshot of an enabled Conditional Access policy that can be edited.

Beveiligde acties verwijderen

Als u beveiligingsacties wilt verwijderen, verwijdert u de toewijzing van beleidsvereisten voor voorwaardelijke toegang uit een machtiging.

  1. Selecteer Beveiligde acties voor identiteitsrollen>en beheerders>.

  2. Zoek en selecteer het machtigingsbeleid voor voorwaardelijke toegang om de toewijzing ongedaan te maken.

    Screenshot of Protected actions page with permission selected to remove.

  3. Selecteer Verwijderen op de werkbalk.

    Nadat u de beveiligde actie hebt verwijderd, heeft de machtiging geen vereiste voor voorwaardelijke toegang. Er kan een nieuw beleid voor voorwaardelijke toegang worden toegewezen aan de machtiging.

Microsoft Graph

Beveiligde acties toevoegen

Beveiligde acties worden toegevoegd door een verificatiecontextwaarde toe te wijzen aan een machtiging. Verificatiecontextwaarden die beschikbaar zijn in de tenant, kunnen worden gedetecteerd door de authenticationContextClassReference-API aan te roepen.

Verificatiecontext kan worden toegewezen aan een machtiging met behulp van het bèta-eindpunt van de UnifiedRbacResourceAction-API :

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

In het volgende voorbeeld ziet u hoe u de verificatiecontext-id kunt ophalen die is ingesteld voor de microsoft.directory/conditionalAccessPolicies/delete machtiging.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Resourceacties waarbij de eigenschap isAuthenticationContextSettable is ingesteld op true support authentication context. Resourceacties met de waarde van de eigenschap authenticationContextId is de verificatiecontext-id die is toegewezen aan de actie.

Als u de isAuthenticationContextSettable en authenticationContextId eigenschappen wilt weergeven, moeten ze worden opgenomen in de select-instructie bij het indienen van de aanvraag bij de resourceactie-API.

Problemen met beveiligde acties oplossen

Symptoom: er kunnen geen verificatiecontextwaarden worden geselecteerd

Wanneer u een verificatiecontext voor voorwaardelijke toegang probeert te selecteren, zijn er geen waarden beschikbaar die u kunt selecteren.

Screenshot of Add protected actions page with no authentication context to select.

Oorzaak

Er zijn geen contextwaarden voor voorwaardelijke toegang ingeschakeld in de tenant.

Oplossing

Schakel verificatiecontext voor de tenant in door een nieuwe verificatiecontext toe te voegen. Zorg ervoor dat Publiceren naar apps is ingeschakeld, zodat de waarde beschikbaar is om te worden geselecteerd. Zie Verificatiecontext voor meer informatie.

Symptoom - Beleid wordt niet geactiveerd

In sommige gevallen, nadat een beveiligde actie is toegevoegd, worden gebruikers mogelijk niet gevraagd zoals verwacht. Als beleid bijvoorbeeld meervoudige verificatie vereist, ziet een gebruiker mogelijk geen aanmeldingsprompt.

Oorzaak 1

De gebruiker is niet toegewezen aan het beleid voor voorwaardelijke toegang dat wordt gebruikt voor beveiligde actie.

Oplossing 1

Gebruik het hulpprogramma What If voor voorwaardelijke toegang om te controleren of het beleid van de gebruiker is toegewezen. Wanneer u het hulpprogramma gebruikt, selecteert u de gebruiker en de verificatiecontext die is gebruikt met de beveiligde actie. Selecteer What If en controleer of het verwachte beleid wordt vermeld in de tabel Beleid dat wordt toegepast . Als het beleid niet van toepassing is, controleert u de voorwaarde voor gebruikerstoewijzing van het beleid en voegt u de gebruiker toe.

Oorzaak 2

De gebruiker heeft eerder voldaan aan het beleid. Bijvoorbeeld de voltooide meervoudige verificatie eerder in dezelfde sessie.

Oplossing 2

Controleer de aanmeldingsgebeurtenissen van Microsoft Entra om problemen op te lossen. De aanmeldingsgebeurtenissen bevatten details over de sessie, waaronder als de gebruiker al meervoudige verificatie heeft voltooid. Bij het oplossen van problemen met de aanmeldingslogboeken is het ook handig om de pagina met beleidsdetails te controleren om te bevestigen dat er een verificatiecontext is aangevraagd.

Symptoom - Beleid is nooit tevreden

Wanneer u de vereisten voor het beleid voor voorwaardelijke toegang probeert uit te voeren, wordt nooit voldaan aan het beleid en wordt u steeds gevraagd om opnieuw te verifiëren.

Oorzaak

Het beleid voor voorwaardelijke toegang is niet gemaakt of de beleidsstatus is uitgeschakeld of alleen rapporteren.

Oplossing

Maak het beleid voor voorwaardelijke toegang als dit niet bestaat of stel de status in op Aan.

Als u geen toegang hebt tot de pagina Voorwaardelijke toegang vanwege de beveiligde actie en herhaalde aanvragen om opnieuw te verifiëren, gebruikt u de volgende koppeling om de pagina Voorwaardelijke toegang te openen.

Symptoom: geen toegang om beveiligde acties toe te voegen

Wanneer u bent aangemeld, bent u niet gemachtigd om beveiligde acties toe te voegen of te verwijderen.

Oorzaak

U bent niet gemachtigd om beveiligde acties te beheren.

Oplossing

Zorg ervoor dat u de rol Voorwaardelijke toegang Beheer istrator of Beveiliging Beheer istrator hebt toegewezen.

Symptoom: fout geretourneerd met Behulp van PowerShell om een beveiligde actie uit te voeren

Wanneer u PowerShell gebruikt om een beveiligde actie uit te voeren, wordt er een fout geretourneerd en is er geen prompt om te voldoen aan het beleid voor voorwaardelijke toegang.

Oorzaak

Microsoft Graph PowerShell biedt ondersteuning voor stapsgewijze verificatie. Dit is vereist om beleidsprompts toe te staan. Azure en Azure AD Graph PowerShell worden niet ondersteund voor stapsgewijze verificatie.

Oplossing

Zorg ervoor dat u Microsoft Graph PowerShell gebruikt.

Volgende stappen