O que são ações protegidas no Microsoft Entra ID?
As ações protegidas no Microsoft Entra ID são permissões às quais foram atribuídas políticas de Acesso Condicional. Quando um usuário tenta executar uma ação protegida, ele deve primeiro satisfazer as políticas de Acesso Condicional atribuídas às permissões necessárias. Por exemplo, para permitir que os administradores atualizem as políticas de Acesso Condicional, você pode exigir que eles primeiro satisfaçam a política de MFA resistente a phishing.
Este artigo fornece uma visão geral das ações protegidas e como começar a usá-las.
Porquê utilizar ações protegidas?
Você usa ações protegidas quando deseja adicionar uma camada adicional de proteção. As ações protegidas podem ser aplicadas a permissões que exigem uma forte proteção da política de Acesso Condicional, independentemente da função que está sendo usada ou de como o usuário recebeu a permissão. Como a imposição da política ocorre no momento em que o usuário tenta executar a ação protegida e não durante a entrada do usuário ou a ativação da regra, os usuários são solicitados somente quando necessário.
Quais políticas são normalmente usadas com ações protegidas?
Recomendamos o uso da autenticação multifator em todas as contas, especialmente em contas com funções privilegiadas. As ações protegidas podem ser usadas para exigir segurança adicional. Aqui estão algumas políticas comuns de Acesso Condicional mais fortes.
- Pontos fortes de autenticação de MFA mais fortes, como MFA sem senha ou MFA resistente a phishing,
- Estações de trabalho de acesso privilegiado, usando filtros de dispositivo da política de Acesso Condicional.
- Tempos limite de sessão mais curtos, usando controles de sessão de frequência de entrada de Acesso Condicional.
Que permissões podem ser usadas com ações protegidas?
As políticas de Acesso Condicional podem ser aplicadas a um conjunto limitado de permissões. Você pode usar ações protegidas nas seguintes áreas:
- Gestão da política de Acesso Condicional
- Gerenciamento de configurações de acesso entre locatários
- Regras personalizadas que definem locais de rede
- Gestão de ações protegidas
Aqui está o conjunto inicial de permissões:
| Permissão | Description |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/excluir | Excluir políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/excluir | Excluir políticas de acesso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade de nuvem permitidos da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários padrão |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários padrão |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualize as configurações de reunião do Teams entre nuvens da política de acesso entre locatários padrão. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Atualize as restrições de locatário da política de acesso entre locatários padrão. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualize as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualize as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crie uma política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualize as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Exclua a política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualize as restrições de locatário da política de acesso entre locatários para parceiros. |
| microsoft.directory/namedLocations/basic/update | Atualizar propriedades básicas de regras personalizadas que definem locais de rede |
| microsoft.directory/namedLocations/criar | Criar regras personalizadas que definem locais de rede |
| microsoft.directory/namedLocations/excluir | Excluir regras personalizadas que definem locais de rede |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de Acesso Condicional de ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365 |
Como as ações protegidas se comparam com a ativação da função Privileged Identity Management?
A ativação da função Gerenciamento de Identidades Privilegiadas também pode receber políticas de Acesso Condicional. Esse recurso permite a aplicação de políticas somente quando um usuário ativa uma função, fornecendo a proteção mais abrangente. As ações protegidas são impostas somente quando um usuário executa uma ação que requer permissões com a política de Acesso Condicional atribuída a ele. As ações protegidas permitem que as permissões de alto impacto sejam protegidas, independentemente de uma função de usuário. A ativação da função Privileged Identity Management e as ações protegidas podem ser usadas juntas para uma cobertura mais forte.
Etapas para usar ações protegidas
Nota
Você deve executar essas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e aplicadas corretamente. Se você não seguir essa ordem, poderá ter um comportamento inesperado, como receber solicitações repetidas para autenticar novamente.
Verificar permissões
Verifique se lhe foram atribuídas as funções de Administrador de Acesso Condicional ou Administrador de Segurança . Caso contrário, consulte o administrador para atribuir a função apropriada.
Configurar política de Acesso Condicional
Configure um contexto de autenticação de Acesso Condicional e uma política de Acesso Condicional associada. As ações protegidas usam um contexto de autenticação, que permite a imposição de políticas para recursos refinados em um serviço, como as permissões do Microsoft Entra. Uma boa política para começar é exigir MFA sem senha e excluir uma conta de emergência. Mais informações
Adicionar ações protegidas
Adicione ações protegidas atribuindo valores de contexto de autenticação de Acesso Condicional às permissões selecionadas. Mais informações
Testar ações protegidas
Entre como usuário e teste a experiência do usuário executando a ação protegida. Você deve ser solicitado a satisfazer os requisitos da política de Acesso Condicional. Por exemplo, se a política exigir autenticação multifator, você deverá ser redirecionado para a página de entrada e solicitado a autenticação forte. Mais informações
O que acontece com ações e aplicativos protegidos?
Se um aplicativo ou serviço tentar executar uma ação de proteção, ele deverá ser capaz de manipular a política de Acesso Condicional necessária. Em alguns casos, um usuário pode precisar intervir e satisfazer a política. Por exemplo, eles podem ser obrigados a concluir a autenticação multifator. Os seguintes aplicativos oferecem suporte à autenticação step-up para ações protegidas:
- Experiências de administrador do Microsoft Entra para as ações no centro de administração do Microsoft Entra
- Microsoft Graph PowerShell
- Explorador do Graph
Existem algumas limitações conhecidas e esperadas. Os aplicativos a seguir falharão se tentarem executar uma ação protegida.
- Azure PowerShell
- Azure AD PowerShell
- Criação de uma nova página de termos de uso ou controle personalizado no centro de administração do Microsoft Entra. Novas páginas de termos de uso ou controles personalizados são registrados com Acesso Condicional, portanto, estão sujeitos a ações protegidas de criação, atualização e exclusão de Acesso Condicional. A remoção temporária do requisito de política das ações de criação, atualização e exclusão do Acesso Condicional permitirá a criação de uma nova página de termos de uso ou controle personalizado.
Se sua organização desenvolveu um aplicativo que chama a API do Microsoft Graph para executar uma ação protegida, você deve revisar o exemplo de código para saber como lidar com um desafio de declarações usando a autenticação step-up. Para obter mais informações, consulte Guia do desenvolvedor para o contexto de autenticação de acesso condicional.
Melhores práticas
Aqui estão algumas práticas recomendadas para usar ações protegidas.
Ter uma conta de emergência
Ao configurar políticas de Acesso Condicional para ações protegidas, certifique-se de ter uma conta de emergência excluída da política. Isso fornece uma mitigação contra o bloqueio acidental.
Mover políticas de risco de usuário e entrada para Acesso Condicional
As permissões de Acesso Condicional não são usadas ao gerenciar políticas de risco da Proteção de ID do Microsoft Entra. Recomendamos mover as políticas de risco de usuário e entrada para Acesso Condicional.
Usar locais de rede nomeados
As permissões de local de rede nomeado não são usadas ao gerenciar IPs confiáveis de autenticação multifator. Recomendamos o uso de locais de rede nomeados.
Não use ações protegidas para bloquear o acesso com base na identidade ou na associação ao grupo
As ações protegidas são usadas para aplicar um requisito de acesso para executar uma ação protegida. Eles não se destinam a bloquear o uso de uma permissão apenas com base na identidade do usuário ou na associação ao grupo. Quem tem acesso a permissões específicas é uma decisão de autorização e deve ser controlado pela atribuição de função.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.