Dela via

Lägga till, testa eller ta bort skyddade åtgärder i Microsoft Entra-ID

  • Artikel

Skyddade åtgärder i Microsoft Entra-ID är behörigheter som har tilldelats principer för villkorlig åtkomst som tillämpas när en användare försöker utföra en åtgärd. I den här artikeln beskrivs hur du lägger till, testar eller tar bort skyddade åtgärder.

Kommentar

Du bör utföra de här stegen i följande sekvens för att säkerställa att skyddade åtgärder är korrekt konfigurerade och framtvingade. Om du inte följer den här ordningen kan du få oväntat beteende, till exempel att få upprepade begäranden om att autentisera igen.

Förutsättningar

Om du vill lägga till eller ta bort skyddade åtgärder måste du ha:

Steg 1: Konfigurera princip för villkorlig åtkomst

Skyddade åtgärder använder en kontext för autentisering med villkorsstyrd åtkomst, så du måste konfigurera en autentiseringskontext och lägga till den i en princip för villkorsstyrd åtkomst. Om du redan har en princip med en autentiseringskontext kan du gå vidare till nästa avsnitt.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Välj Skyddskontext>>för autentisering med villkorsstyrd åtkomst>Autentiseringskontext.

  3. Välj Ny autentiseringskontext för att öppna fönstret Lägg till autentiseringskontext .

  4. Ange ett namn och en beskrivning och välj sedan Spara.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Välj Principer>Ny princip för att skapa en ny princip.

  6. Skapa en ny princip och välj din autentiseringskontext.

    Mer information finns i Villkorlig åtkomst: Molnappar, åtgärder och autentiseringskontext.

    Screenshot of New policy page to create a new policy with an authentication context.

Steg 2: Lägg till skyddade åtgärder

Om du vill lägga till skyddsåtgärder tilldelar du en princip för villkorlig åtkomst till en eller flera behörigheter med hjälp av en kontext för autentisering med villkorsstyrd åtkomst.

  1. Välj Skyddsprinciper> för villkorsstyrd åtkomst.>

  2. Kontrollera att tillståndet för principen för villkorsstyrd åtkomst som du planerar att använda med din skyddade åtgärd är inställt på På och inte Av eller Endast rapport.

  3. Välj Identitetsroller>>och administratörer Skyddade åtgärder.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Välj Lägg till skyddade åtgärder för att lägga till en ny skyddad åtgärd.

    Om Lägg till skyddade åtgärder är inaktiverat kontrollerar du att du har tilldelats rollen Administratör för villkorsstyrd åtkomst eller säkerhetsadministratör. Mer information finns i Felsöka skyddade åtgärder.

  5. Välj en konfigurerad kontext för autentisering med villkorsstyrd åtkomst.

  6. Välj Välj behörigheter och välj de behörigheter som ska skyddas med villkorsstyrd åtkomst.

    Screenshot of Add protected actions page with permissions selected.

  7. Markera Lägga till.

  8. När du är klar väljer du Spara.

    De nya skyddade åtgärderna visas i listan över skyddade åtgärder

Steg 3: Testa skyddade åtgärder

När en användare utför en skyddad åtgärd måste de uppfylla principkraven för villkorsstyrd åtkomst. Det här avsnittet visar upplevelsen för en användare som uppmanas att uppfylla en princip. I det här exemplet måste användaren autentisera med en FIDO-säkerhetsnyckel innan de kan uppdatera principer för villkorsstyrd åtkomst.

  1. Logga in på administrationscentret för Microsoft Entra som en användare som måste uppfylla principen.

  2. Välj Villkorlig åtkomst för skydd>.

  3. Välj en princip för villkorsstyrd åtkomst för att visa den.

    Principredigering är inaktiverat eftersom autentiseringskraven inte har uppfyllts. Längst ned på sidan finns följande anmärkning:

    Redigering skyddas av ytterligare ett åtkomstkrav. Klicka här om du vill autentisera igen.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Välj Klicka här om du vill autentisera igen.

  5. Slutför autentiseringskraven när webbläsaren omdirigeras till inloggningssidan för Microsoft Entra.

    Screenshot of a sign-in page to reauthenticate.

    När du har slutfört autentiseringskraven kan principen redigeras.

  6. Redigera principen och spara ändringarna.

    Screenshot of an enabled Conditional Access policy that can be edited.

Ta bort skyddade åtgärder

Om du vill ta bort skyddsåtgärder avtilldelar du principkrav för villkorsstyrd åtkomst från en behörighet.

  1. Välj Identitetsroller>>och administratörer Skyddade åtgärder.

  2. Leta upp och välj behörighetsprincipen för villkorsstyrd åtkomst för att ta bort tilldelningen.

    Screenshot of Protected actions page with permission selected to remove.

  3. Välj Ta bort i verktygsfältet.

    När du har tagit bort den skyddade åtgärden har behörigheten inget krav på villkorsstyrd åtkomst. En ny princip för villkorsstyrd åtkomst kan tilldelas behörigheten.

Microsoft Graph

Lägga till skyddade åtgärder

Skyddade åtgärder läggs till genom att tilldela ett autentiseringskontextvärde till en behörighet. Autentiseringskontextvärden som är tillgängliga i klientorganisationen kan identifieras genom att anropa API:et authenticationContextClassReference .

Autentiseringskontext kan tilldelas en behörighet med betaslutpunkten unifiedRbacResourceAction API:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

I följande exempel visas hur du hämtar det autentiseringskontext-ID som har angetts för behörigheten microsoft.directory/conditionalAccessPolicies/delete .

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Resursåtgärder med egenskapen isAuthenticationContextSettable inställd på sant stöd för autentiseringskontext. Resursåtgärder med värdet för egenskapen authenticationContextId är det autentiseringskontext-ID som har tilldelats till åtgärden.

Om du vill visa isAuthenticationContextSettable egenskaperna och authenticationContextId måste de inkluderas i select-instruktionen när du skickar begäran till resursåtgärds-API:et.

Felsöka skyddade åtgärder

Symptom – Inga autentiseringskontextvärden kan väljas

När du försöker välja en autentiseringskontext för villkorsstyrd åtkomst finns det inga tillgängliga värden att välja.

Screenshot of Add protected actions page with no authentication context to select.

Orsak

Inga kontextvärden för autentisering med villkorsstyrd åtkomst har aktiverats i klientorganisationen.

Lösning

Aktivera autentiseringskontext för klientorganisationen genom att lägga till en ny autentiseringskontext. Se till att Publicera till appar är markerat, så att värdet är tillgängligt för att väljas. Mer information finns i Autentiseringskontext.

Symptom – Principen utlöses inte

I vissa fall, när en skyddad åtgärd har lagts till, kanske användarna inte uppmanas som förväntat. Om principen till exempel kräver multifaktorautentisering kanske en användare inte ser någon inloggningsprompt.

Orsak 1

Användaren har inte tilldelats de principer för villkorsstyrd åtkomst som används för skyddad åtgärd.

Lösning 1

Använd verktyget För villkorsstyrd åtkomst Vad händer om för att kontrollera om användaren har tilldelats en princip. När du använder verktyget väljer du användaren och den autentiseringskontext som användes med den skyddade åtgärden. Välj Vad om och kontrollera att den förväntade principen visas i tabellen Principer som ska tillämpas . Om principen inte tillämpas kontrollerar du villkoret för tilldelning av principanvändare och lägger till användaren.

Orsak 2

Användaren har tidigare uppfyllt principen. Till exempel den slutförda multifaktorautentiseringen tidigare i samma session.

Lösning 2

Kontrollera inloggningshändelserna för Microsoft Entra för att felsöka. Inloggningshändelserna innehåller information om sessionen, inklusive om användaren redan har slutfört multifaktorautentisering. När du felsöker med inloggningsloggarna är det också bra att kontrollera sidan med principinformation för att bekräfta att en autentiseringskontext har begärts.

Symptom – Principen uppfylls aldrig

När du försöker utföra kraven för principen för villkorsstyrd åtkomst uppfylls aldrig principen och du uppmanas att autentisera igen.

Orsak

Principen för villkorsstyrd åtkomst har inte skapats eller så är principtillståndet Inaktiverat eller Endast rapport.

Lösning

Skapa principen för villkorsstyrd åtkomst om den inte finns eller ange tillståndet till .

Om du inte kan komma åt sidan Villkorsstyrd åtkomst på grund av den skyddade åtgärden och upprepade begäranden om att autentisera igen använder du följande länk för att öppna sidan Villkorsstyrd åtkomst.

Symptom – Ingen åtkomst till att lägga till skyddade åtgärder

När du är inloggad har du inte behörighet att lägga till eller ta bort skyddade åtgärder.

Orsak

Du har inte behörighet att hantera skyddade åtgärder.

Lösning

Kontrollera att du har tilldelats rollen Administratör för villkorsstyrd åtkomst eller säkerhetsadministratör.

Symptom – Fel som returnerades med Hjälp av PowerShell för att utföra en skyddad åtgärd

När du använder PowerShell för att utföra en skyddad åtgärd returneras ett fel och det finns ingen uppmaning om att uppfylla principen för villkorsstyrd åtkomst.

Orsak

Microsoft Graph PowerShell stöder stegvis autentisering, vilket krävs för att tillåta principfrågor. Azure och Azure AD Graph PowerShell stöds inte för stegvis autentisering.

Lösning

Kontrollera att du använder Microsoft Graph PowerShell.

Nästa steg