Partilhar via


Adicionar, testar ou remover ações protegidas no Microsoft Entra ID

As ações protegidas no Microsoft Entra ID são permissões às quais foram atribuídas políticas de Acesso Condicional que são impostas quando um usuário tenta executar uma ação. Este artigo descreve como adicionar, testar ou remover ações protegidas.

Nota

Você deve executar essas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e aplicadas corretamente. Se você não seguir essa ordem, poderá ter um comportamento inesperado, como receber solicitações repetidas para autenticar novamente.

Pré-requisitos

Para adicionar ou remover ações protegidas, você deve ter:

Etapa 1: Configurar a política de Acesso Condicional

As ações protegidas usam um contexto de autenticação de Acesso Condicional, portanto, você deve configurar um contexto de autenticação e adicioná-lo a uma política de Acesso Condicional. Se já tiver uma política com um contexto de autenticação, pode saltar para a secção seguinte.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Selecione Contexto de autenticação de acesso>condicional de proteção Contexto> de>autenticação.

  3. Selecione Novo contexto de autenticação para abrir o painel de contexto Adicionar autenticação.

  4. Introduza um nome e uma descrição e, em seguida, selecione Guardar.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Selecione Políticas>Nova política para criar uma nova política.

  6. Crie uma nova política e selecione seu contexto de autenticação.

    Para obter mais informações, consulte Acesso condicional: aplicativos, ações e contexto de autenticação na nuvem.

    Screenshot of New policy page to create a new policy with an authentication context.

Etapa 2: adicionar ações protegidas

Para adicionar ações de proteção, atribua uma política de Acesso Condicional a uma ou mais permissões usando um contexto de autenticação de Acesso Condicional.

  1. Selecione Políticas de acesso>condicional de proteção.>

  2. Verifique se o estado da política de Acesso Condicional que você planeja usar com sua ação protegida está definido como Ativado e não Desativado ou Somente relatório.

  3. Selecione Funções de identidade>e administradores Ações protegidas.>

    Screenshot of Add protected actions page in Roles and administrators.

  4. Selecione Adicionar ações protegidas para adicionar uma nova ação protegida.

    Se Adicionar ações protegidas estiver desativado, certifique-se de que lhe foi atribuída a função de Administrador de Acesso Condicional ou Administrador de Segurança. Para obter mais informações, consulte Solucionar problemas de ações protegidas.

  5. Selecione um contexto de autenticação de Acesso Condicional configurado.

  6. Selecione Selecionar permissões e selecione as permissões a proteger com Acesso Condicional.

    Screenshot of Add protected actions page with permissions selected.

  7. Selecione Adicionar.

  8. Depois de terminar, selecione Guardar.

    As novas ações protegidas aparecem na lista de ações protegidas

Etapa 3: Testar ações protegidas

Quando um usuário executa uma ação protegida, ele precisará atender aos requisitos da política de Acesso Condicional. Esta seção mostra a experiência de um usuário que está sendo solicitado a satisfazer uma política. Neste exemplo, o usuário precisa se autenticar com uma chave de segurança FIDO antes de atualizar as políticas de Acesso Condicional.

  1. Entre no centro de administração do Microsoft Entra como um usuário que deve satisfazer a política.

  2. Selecione Acesso condicional de proteção>.

  3. Selecione uma política de Acesso Condicional para visualizá-la.

    A edição de políticas está desativada porque os requisitos de autenticação não foram cumpridos. Na parte inferior da página está a seguinte nota:

    A edição é protegida por um requisito de acesso adicional. Clique aqui para autenticar novamente.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Selecione Clique aqui para autenticar novamente.

  5. Conclua os requisitos de autenticação quando o navegador for redirecionado para a página de entrada do Microsoft Entra.

    Screenshot of a sign-in page to reauthenticate.

    Depois de concluir os requisitos de autenticação, a política pode ser editada.

  6. Edite a política e salve as alterações.

    Screenshot of an enabled Conditional Access policy that can be edited.

Remover ações protegidas

Para remover ações de proteção, cancele a atribuição de requisitos de política de Acesso Condicional de uma permissão.

  1. Selecione Funções de identidade>e administradores Ações protegidas.>

  2. Localize e selecione a política de Acesso Condicional de permissão para cancelar a atribuição.

    Screenshot of Protected actions page with permission selected to remove.

  3. Na barra de ferramentas, selecione Remover.

    Depois de remover a ação protegida, a permissão não terá um requisito de Acesso Condicional. Uma nova política de Acesso Condicional pode ser atribuída à permissão.

Microsoft Graph

Adicionar ações protegidas

As ações protegidas são adicionadas atribuindo um valor de contexto de autenticação a uma permissão. Os valores de contexto de autenticação disponíveis no locatário podem ser descobertos chamando a API authenticationContextClassReference .

O contexto de autenticação pode ser atribuído a uma permissão usando o ponto de extremidade beta da API unifiedRbacResourceAction :

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

O exemplo a seguir mostra como obter a ID de contexto de autenticação que foi definida na microsoft.directory/conditionalAccessPolicies/delete permissão.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

As ações de recurso com a propriedade isAuthenticationContextSettable definida como true suportam o contexto de autenticação. Ações de recurso com o valor da propriedade authenticationContextId é a ID de contexto de autenticação que foi atribuída à ação.

Para exibir as isAuthenticationContextSettable propriedades e authenticationContextId , elas devem ser incluídas na instrução select ao fazer a solicitação para a API de ação de recurso.

Solucionar problemas de ações protegidas

Sintoma - Nenhum valor de contexto de autenticação pode ser selecionado

Ao tentar selecionar um contexto de autenticação de Acesso Condicional, não há valores disponíveis para serem selecionados.

Screenshot of Add protected actions page with no authentication context to select.

Motivo

Nenhum valor de contexto de autenticação de Acesso Condicional foi habilitado no locatário.

Solução

Habilite o contexto de autenticação para o locatário adicionando um novo contexto de autenticação. Verifique se a opção Publicar em aplicativos está marcada, para que o valor esteja disponível para ser selecionado. Para obter mais informações, consulte Contexto de autenticação.

Sintoma - A política não está sendo acionada

Em alguns casos, após a adição de uma ação protegida, os usuários podem não ser solicitados conforme o esperado. Por exemplo, se a política exigir autenticação multifator, um usuário pode não ver um prompt de entrada.

Causa 1

O usuário não foi atribuído às políticas de Acesso Condicional usadas para a ação protegida.

Solução 1

Use a ferramenta Acesso condicional e se para verificar se o usuário recebeu a política. Ao usar a ferramenta, selecione o usuário e o contexto de autenticação que foi usado com a ação protegida. Selecione E se e verifique se a política esperada está listada na tabela Políticas que serão aplicadas . Se a política não se aplicar, verifique a condição de atribuição de usuário da política e adicione o usuário.

Causa 2

O usuário já satisfez a política. Por exemplo, a autenticação multifator concluída anteriormente na mesma sessão.

Solução 2

Verifique os eventos de início de sessão do Microsoft Entra para resolver problemas. Os eventos de entrada incluem detalhes sobre a sessão, incluindo se o usuário já concluiu a autenticação multifator. Ao solucionar problemas com os logs de entrada, também é útil verificar a página de detalhes da política para confirmar que um contexto de autenticação foi solicitado.

Sintoma - A política nunca está satisfeita

Quando você tenta executar os requisitos para a política de Acesso Condicional, a política nunca é satisfeita e você continua sendo solicitado a se autenticar novamente.

Motivo

A política de Acesso Condicional não foi criada ou o estado da política é Desativado ou Somente Relatório.

Solução

Crie a política de Acesso Condicional se ela não existir ou e defina o estado como Ativado.

Se você não conseguir acessar a página Acesso Condicional devido à ação protegida e às repetidas solicitações de reautenticação, use o link a seguir para abrir a página Acesso Condicional.

Sintoma - Sem acesso para adicionar ações protegidas

Quando tem sessão iniciada, não tem permissões para adicionar ou remover ações protegidas.

Motivo

Você não tem permissão para gerenciar ações protegidas.

Solução

Certifique-se de que lhe foi atribuída a função de Administrador de Acesso Condicional ou Administrador de Segurança .

Sintoma - Erro retornado usando o PowerShell para executar uma ação protegida

Ao usar o PowerShell para executar uma ação protegida, um erro é retornado e não há nenhum prompt para satisfazer a política de Acesso Condicional.

Motivo

O Microsoft Graph PowerShell oferece suporte à autenticação step-up, que é necessária para permitir prompts de política. O Azure e o Azure AD Graph PowerShell não têm suporte para autenticação step-up.

Solução

Certifique-se de que está a utilizar o Microsoft Graph PowerShell.

Próximos passos