Что такое защищенные действия в идентификаторе Microsoft Entra?
Защищенные действия в идентификаторе Microsoft Entra — это разрешения, которым назначены политики условного доступа. Когда пользователь пытается выполнить защищенное действие, он должен сначала удовлетворить политики условного доступа, назначенные необходимым разрешениям. Например, чтобы разрешить администраторам обновлять политики условного доступа, вам может потребоваться, чтобы они сначала соответствовали политике MFA, устойчивой к фишингу.
В этой статье содержатся общие сведения о защищенных действиях и о том, как приступить к работе с ними.
Зачем использовать защищенные действия?
При добавлении дополнительного уровня защиты используйте защищенные действия. Защищенные действия можно применять к разрешениям, требующим строгой защиты политики условного доступа, независимо от используемой роли или того, как пользователь получил разрешение. Так как применение политики происходит в то время, когда пользователь пытается выполнить защищенное действие, а не во время входа пользователя или активации правила, пользователи запрашиваются только при необходимости.
Какие политики обычно используются с защищенными действиями?
Мы рекомендуем использовать многофакторную проверку подлинности для всех учетных записей, особенно учетных записей с привилегированными ролями. Защищенные действия можно использовать для обеспечения дополнительной безопасности. Ниже приведены некоторые распространенные более надежные политики условного доступа.
- Более сильные преимущества проверки подлинности MFA, такие как MFA без пароля или фишинговый MFA,
- Привилегированный доступ к рабочим станциям с помощью фильтров устройств политики условного доступа.
- Более короткие время ожидания сеанса с помощью элементов управления сеансами условного доступа.
Какие разрешения можно использовать с защищенными действиями?
Политики условного доступа можно применять к ограниченному набору разрешений. Защищенные действия можно использовать в следующих областях:
- Управление политиками условного доступа
- Управление параметрами доступа между клиентами
- Пользовательские правила, определяющие сетевые расположения
- Управление защищенными действиями
Ниже приведен исходный набор разрешений:
| Разрешение | Description |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Обновление базовых свойств политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/create | Создание политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/delete | Удаление политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/basic/update | Обновление базовых свойств для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/create | Создание политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/delete | Удаление политик условного доступа |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Обновление разрешенных облачных конечных точек политики доступа между клиентами |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Обновление параметров совместной работы Microsoft Entra B2B политики доступа между клиентами по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Обновление параметров прямого подключения Microsoft Entra B2B политики доступа между клиентами по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Обновите параметры собраний Между облаками Teams политики доступа между клиентами по умолчанию. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Обновите ограничения клиента политики доступа между клиентами по умолчанию. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Обновление параметров совместной работы Microsoft Entra B2B политики доступа между клиентами для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Обновление параметров прямого подключения Microsoft Entra B2B для партнеров между клиентами. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Создайте политику доступа между клиентами для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Обновите параметры собраний между облаками Teams для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Удаление политики доступа между клиентами для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Обновите ограничения на доступ между клиентами для партнеров. |
| microsoft.directory/namedLocations/basic/update | Обновление основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/create | Создание настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/delete | Удаление настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Обновление контекста проверки подлинности условного доступа для действий ресурсов на основе ролей Microsoft 365 (RBAC) |
Как защищенные действия сравниваются с активацией роли управление привилегированными пользователями?
управление привилегированными пользователями активацию ролей также можно назначить политикам условного доступа. Эта возможность позволяет применять политики только в том случае, если пользователь активирует роль, обеспечивая наиболее полную защиту. Защищенные действия применяются только при выполнении пользователем действия, требующего разрешений с политикой условного доступа, назначенной ей. Защищенные действия позволяют защитить разрешения высокого влияния независимо от роли пользователя. управление привилегированными пользователями активацию ролей и защищенные действия можно использовать вместе для более строгого покрытия.
Действия по использованию защищенных действий
Примечание.
Эти действия необходимо выполнить в следующей последовательности, чтобы убедиться, что защищенные действия правильно настроены и применены. Если вы не следуйте этому заказу, может возникнуть непредвиденное поведение, например получение повторяющихся запросов для повторной проверки подлинности.
Проверка разрешений
Убедитесь, что вы назначаете роли условного доступа Администратор istrator или security Администратор istrator. В противном случае проверка с администратором, чтобы назначить соответствующую роль.
Настройка политики условного доступа
Настройте контекст проверки подлинности условного доступа и связанную политику условного доступа. Защищенные действия используют контекст проверки подлинности, который позволяет применять политики для подробных ресурсов в службе, таких как разрешения Microsoft Entra. Хорошая политика для начала заключается в том, чтобы требовать без пароля MFA и исключить учетную запись для экстренного реагирования. Подробнее
Добавление защищенных действий
Добавьте защищенные действия, назначив значения контекста проверки подлинности условного доступа выбранным разрешениям. Подробнее
Тестирование защищенных действий
Войдите как пользователь и протестируйте взаимодействие с пользователем, выполнив защищенное действие. Вам будет предложено выполнить требования политики условного доступа. Например, если для политики требуется многофакторная проверка подлинности, необходимо перенаправить на страницу входа и отправить запрос на надежную проверку подлинности. Подробнее
Что происходит с защищенными действиями и приложениями?
Если приложение или служба пытается выполнить действие защиты, он должен иметь возможность обрабатывать требуемую политику условного доступа. В некоторых случаях пользователю может потребоваться вмешаться и удовлетворить политику. Например, они могут потребоваться для выполнения многофакторной проверки подлинности. Следующие приложения поддерживают поэтапное выполнение проверки подлинности для защищенных действий:
- Возможности администратора Microsoft Entra для действий в Центре администрирования Microsoft Entra
- Microsoft Graph PowerShell
- Обозреватель Graph
Существуют некоторые известные и ожидаемые ограничения. Следующие приложения завершаются ошибкой, если они пытаются выполнить защищенное действие.
- Azure PowerShell
- Azure AD PowerShell
- Создание страницы использования или пользовательского элемента управления в Центре администрирования Microsoft Entra. Новые условия использования страниц или пользовательских элементов управления зарегистрированы в условном доступе, поэтому при условии условного доступа создаются, обновляются и удаляются защищенные действия. Временное удаление требования политики из действия создания, обновления и удаления условного доступа позволит создавать новые условия использования страницы или пользовательского элемента управления.
Если ваша организация разработала приложение, которое вызывает API Microsoft Graph для выполнения защищенного действия, ознакомьтесь с примером кода, чтобы справиться с вызовом утверждений с помощью поэтапной проверки подлинности. Дополнительные сведения см . в руководстве разработчика по контексту проверки подлинности условного доступа.
Рекомендации
Ниже приведены некоторые рекомендации по использованию защищенных действий.
У вас есть учетная запись для экстренного реагирования
При настройке политик условного доступа для защищенных действий обязательно укажите учетную запись экстренного реагирования, исключенную из политики. Это обеспечивает устранение последствий случайной блокировки.
Перемещение политик риска пользователей и входа в условный доступ
Разрешения условного доступа не используются при управлении политиками риска Защита идентификации Microsoft Entra. Рекомендуется переместить политики рисков пользователя и входа в условный доступ.
Использование именованных сетевых расположений
Разрешения именованных сетевых расположений не используются при управлении доверенными IP-адресами многофакторной проверки подлинности. Рекомендуется использовать именованные сетевые расположения.
Не используйте защищенные действия для блокировки доступа на основе удостоверений или членства в группах
Защищенные действия используются для применения требования к доступу для выполнения защищенного действия. Они не предназначены для блокировки использования разрешения только на основе удостоверения пользователя или членства в группах. Кто имеет доступ к определенным разрешениям — это решение авторизации и должно контролироваться назначением ролей.
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.