Co to są akcje chronione w identyfikatorze Entra firmy Microsoft?
Chronione akcje w identyfikatorze Entra firmy Microsoft to uprawnienia, które zostały przypisane zasady dostępu warunkowego. Gdy użytkownik próbuje wykonać akcję chronioną, musi najpierw spełnić zasady dostępu warunkowego przypisane do wymaganych uprawnień. Aby na przykład umożliwić administratorom aktualizowanie zasad dostępu warunkowego, można wymagać, aby najpierw spełnili zasady uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji.
Ten artykuł zawiera omówienie akcji chronionej i sposobu rozpoczynania korzystania z nich.
Dlaczego warto używać akcji chronionych?
Akcje chronione są używane, gdy chcesz dodać dodatkową warstwę ochrony. Akcje chronione można stosować do uprawnień wymagających silnej ochrony zasad dostępu warunkowego, niezależnie od używanej roli lub sposobu, w jaki użytkownik otrzymał uprawnienie. Ponieważ wymuszanie zasad występuje w momencie, gdy użytkownik próbuje wykonać chronioną akcję, a nie podczas aktywacji logowania użytkownika lub reguły, użytkownicy są monitowani tylko w razie potrzeby.
Jakie zasady są zwykle używane z akcjami chronionymi?
Zalecamy używanie uwierzytelniania wieloskładnikowego na wszystkich kontach, zwłaszcza kont z rolami uprzywilejowanymi. Akcje chronione mogą służyć do wymagania dodatkowych zabezpieczeń. Poniżej przedstawiono niektóre typowe silniejsze zasady dostępu warunkowego.
- Silniejsze mocne uwierzytelnianie wieloskładnikowe, takie jak uwierzytelnianie wieloskładnikowe bez hasła lub uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji,
- Stacje robocze z dostępem uprzywilejowanym przy użyciu filtrów urządzeń zasad dostępu warunkowego.
- Krótsze limity czasu sesji przy użyciu kontrolek częstotliwości logowania warunkowego.
Jakich uprawnień można używać z akcjami chronionymi?
Zasady dostępu warunkowego można stosować do ograniczonego zestawu uprawnień. Akcje chronione można używać w następujących obszarach:
- Zarządzanie zasadami dostępu warunkowego
- Zarządzanie ustawieniami dostępu między dzierżawami
- Reguły niestandardowe definiujące lokalizacje sieciowe
- Zarządzanie akcjami chronionymi
Oto początkowy zestaw uprawnień:
| Uprawnienie | opis |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/create | Tworzenie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/delete | Usuwanie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/create | Tworzenie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/delete | Usuwanie zasad dostępu warunkowego |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualizowanie ustawień współpracy firmy Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Połączenie/update | Aktualizowanie ustawień połączenia bezpośredniego usługi Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Zaktualizuj ustawienia spotkań aplikacji Teams dla różnych chmur domyślnych zasad dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Zaktualizuj ograniczenia dzierżawy domyślnych zasad dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Zaktualizuj ustawienia współpracy firmy Microsoft Entra B2B zasad dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Połączenie/update | Zaktualizuj ustawienia połączeń bezpośrednich usługi Microsoft Entra B2B dla partnerów w zasadach dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Utwórz zasady dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Zaktualizuj ustawienia spotkań aplikacji Teams między chmurami dotyczące zasad dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Usuń zasady dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Zaktualizuj ograniczenia dzierżawy dotyczące zasad dostępu między dzierżawami dla partnerów. |
| microsoft.directory/namedLocations/basic/update | Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe |
| microsoft.directory/namedLocations/create | Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe |
| microsoft.directory/namedLocations/delete | Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aktualizowanie kontekstu uwierzytelniania dostępu warunkowego akcji zasobów kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365 |
Jak akcje chronione są porównywane z aktywacją roli usługi Privileged Identity Management?
Aktywacja roli usługi Privileged Identity Management można również przypisać zasady dostępu warunkowego. Ta funkcja umożliwia wymuszanie zasad tylko wtedy, gdy użytkownik aktywuje rolę, zapewniając najbardziej kompleksową ochronę. Akcje chronione są wymuszane tylko wtedy, gdy użytkownik podejmuje akcję, która wymaga uprawnień z przypisanymi zasadami dostępu warunkowego. Akcje chronione umożliwiają ochronę uprawnień o dużym wpływie niezależnie od roli użytkownika. Aktywacja ról usługi Privileged Identity Management i akcje chronione mogą być używane razem w celu uzyskania silniejszego pokrycia.
Kroki używania akcji chronionych
Uwaga
Te kroki należy wykonać w poniższej sekwencji, aby upewnić się, że akcje chronione są prawidłowo skonfigurowane i wymuszane. Jeśli nie wykonasz tej kolejności, może wystąpić nieoczekiwane zachowanie, takie jak wielokrotne żądania ponownego uwierzytelnienia.
Sprawdzanie uprawnień
Sprawdź, czy przypisano role Administracja istratora dostępu warunkowego lub Administracja istratora zabezpieczeń. Jeśli tak nie jest, zajrzyj do administratora, aby przypisać odpowiednią rolę.
Konfigurowanie zasad dostępu warunkowego
Skonfiguruj kontekst uwierzytelniania dostępu warunkowego i skojarzone zasady dostępu warunkowego. Akcje chronione używają kontekstu uwierzytelniania, który umożliwia wymuszanie zasad dla zasobów szczegółowego w usłudze, takich jak uprawnienia firmy Microsoft Entra. Dobrymi zasadami, od których należy zacząć, jest wymaganie bez hasła uwierzytelniania wieloskładnikowego i wykluczenie konta awaryjnego. Dowiedz się więcej
Dodawanie akcji chronionych
Dodaj chronione akcje, przypisując wartości kontekstu uwierzytelniania dostępu warunkowego do wybranych uprawnień. Dowiedz się więcej
Testowanie akcji chronionych
Zaloguj się jako użytkownik i przetestuj środowisko użytkownika, wykonując chronioną akcję. Powinien zostać wyświetlony monit o spełnienie wymagań zasad dostępu warunkowego. Jeśli na przykład zasady wymagają uwierzytelniania wieloskładnikowego, powinno nastąpić przekierowanie do strony logowania i wyświetlenie monitu o silne uwierzytelnianie. Dowiedz się więcej
Co się dzieje z chronionymi akcjami i aplikacjami?
Jeśli aplikacja lub usługa próbuje wykonać akcję ochrony, musi być w stanie obsłużyć wymagane zasady dostępu warunkowego. W niektórych przypadkach użytkownik może wymagać interwencji i spełnienia zasad. Na przykład mogą być wymagane do ukończenia uwierzytelniania wieloskładnikowego. Następujące aplikacje obsługują uwierzytelnianie krokowe dla akcji chronionych:
- Środowiska administratora firmy Microsoft Entra dla akcji w centrum administracyjnym firmy Microsoft Entra
- Microsoft Graph PowerShell
- Eksplorator usługi Graph
Istnieją pewne znane i oczekiwane ograniczenia. Następujące aplikacje nie powiedzą się, jeśli spróbują wykonać chronioną akcję.
- Azure PowerShell
- Azure AD PowerShell
- Tworzenie nowej strony użytkowania lub kontrolki niestandardowej w centrum administracyjnym firmy Microsoft Entra. Nowe warunki użytkowania stron lub kontrolek niestandardowych są rejestrowane za pomocą dostępu warunkowego, więc podlegają tworzeniu, aktualizowania i usuwania akcji chronionych dostępu warunkowego. Tymczasowe usunięcie wymagania dotyczącego zasad z akcji tworzenia, aktualizowania i usuwania dostępu warunkowego umożliwi utworzenie nowej strony użytkowania lub kontrolki niestandardowej.
Jeśli Twoja organizacja opracowała aplikację, która wywołuje interfejs API programu Microsoft Graph w celu wykonania chronionej akcji, zapoznaj się z przykładem kodu, aby dowiedzieć się, jak obsłużyć wyzwanie dotyczące oświadczeń przy użyciu uwierzytelniania krokowego. Aby uzyskać więcej informacji, zobacz Przewodnik dla deweloperów dotyczący kontekstu uwierzytelniania dostępu warunkowego.
Najlepsze rozwiązania
Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących używania akcji chronionych.
Posiadanie konta awaryjnego
Podczas konfigurowania zasad dostępu warunkowego dla akcji chronionych upewnij się, że konto awaryjne zostało wykluczone z zasad. Zapewnia to ograniczenie ryzyka związanego z przypadkową blokadą.
Przenoszenie zasad ryzyka związanego z użytkownikiem i logowaniem do dostępu warunkowego
Uprawnienia dostępu warunkowego nie są używane podczas zarządzania zasadami ryzyka Ochrona tożsamości Microsoft Entra. Zalecamy przeniesienie zasad ryzyka związanego z użytkownikiem i logowaniem do dostępu warunkowego.
Używanie nazwanych lokalizacji sieciowych
Nazwane uprawnienia lokalizacji sieciowej nie są używane podczas zarządzania zaufanymi adresami IP uwierzytelniania wieloskładnikowego. Zalecamy używanie nazwanych lokalizacji sieciowych.
Nie używaj akcji chronionych do blokowania dostępu na podstawie tożsamości lub członkostwa w grupie
Akcje chronione są używane do stosowania wymagania dostępu w celu wykonania chronionej akcji. Nie są one przeznaczone do blokowania używania uprawnień tylko na podstawie tożsamości użytkownika lub członkostwa w grupie. KtoTo ma dostęp do określonych uprawnień jest decyzją autoryzacji i powinna być kontrolowana przez przypisanie roli.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.