Vad är skyddade åtgärder i Microsoft Entra-ID?
Skyddade åtgärder i Microsoft Entra-ID är behörigheter som har tilldelats principer för villkorsstyrd åtkomst. När en användare försöker utföra en skyddad åtgärd måste de först uppfylla de principer för villkorsstyrd åtkomst som tilldelats de behörigheter som krävs. Om du till exempel vill tillåta administratörer att uppdatera principer för villkorsstyrd åtkomst kan du kräva att de först uppfyller den nätfiskeresistenta MFA-principen .
Den här artikeln innehåller en översikt över skyddade åtgärder och hur du kommer igång med dem.
Varför ska du använda skyddade åtgärder?
Du använder skyddade åtgärder när du vill lägga till ytterligare ett skyddslager. Skyddade åtgärder kan tillämpas på behörigheter som kräver starkt principskydd för villkorsstyrd åtkomst, oberoende av vilken roll som används eller hur användaren fick behörigheten. Eftersom principtillämpningen inträffar vid den tidpunkt då användaren försöker utföra den skyddade åtgärden och inte vid aktivering av användarinloggning eller regel, uppmanas användarna endast när det behövs.
Vilka principer används vanligtvis med skyddade åtgärder?
Vi rekommenderar att du använder multifaktorautentisering på alla konton, särskilt konton med privilegierade roller. Skyddade åtgärder kan användas för att kräva ytterligare säkerhet. Här följer några vanliga starkare principer för villkorlig åtkomst.
- Starkare MFA-autentiseringsstyrkor, till exempel lösenordslös MFA eller nätfiskeresistent MFA,
- Arbetsstationer för privilegierad åtkomst med hjälp av enhetsfilter för principer för villkorsstyrd åtkomst.
- Kortare sessionstimeouter med hjälp av sessionskontroller för inloggningsfrekvens för villkorsstyrd åtkomst.
Vilka behörigheter kan användas med skyddade åtgärder?
Principer för villkorsstyrd åtkomst kan tillämpas på begränsad uppsättning behörigheter. Du kan använda skyddade åtgärder inom följande områden:
- Principhantering för villkorsstyrd åtkomst
- Hantering av inställningar för åtkomst mellan klientorganisationer
- Anpassade regler som definierar nätverksplatser
- Hantering av skyddad åtgärd
Här är den första uppsättningen behörigheter:
| Behörighet | beskrivning |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Uppdatera tillåtna molnslutpunkter för åtkomstprincipen mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Anslut/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningarna för standardprincipen för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för standardprincipen för åtkomst mellan klientorganisationer. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Uppdatera klientbegränsningarna för standardprincipen för åtkomst mellan klientorganisationer. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för åtkomstprinciper mellan klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Anslut/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningar för åtkomstprinciper mellan klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Skapa åtkomstprincip för flera klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Uppdatera teams-mötesinställningar mellan moln för åtkomstprinciper mellan klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Ta bort åtkomstprincip för flera klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Uppdatera klientbegränsningar för åtkomstprinciper mellan klientorganisationer för partner. |
| microsoft.directory/namedLocations/basic/update | Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/create | Skapa anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/delete | Ta bort anpassade regler som definierar nätverksplatser |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) |
Hur jämförs skyddade åtgärder med rollaktivering av privilegierad identitetshantering?
Rollaktivering av privilegierad identitetshantering kan också tilldelas principer för villkorsstyrd åtkomst. Den här funktionen möjliggör endast principframtvingande när en användare aktiverar en roll, vilket ger det mest omfattande skyddet. Skyddade åtgärder framtvingas endast när en användare vidtar en åtgärd som kräver behörigheter med en tilldelad princip för villkorsstyrd åtkomst. Skyddade åtgärder gör att behörigheter med hög påverkan kan skyddas, oberoende av en användarroll. Rollaktivering och skyddade åtgärder för privilegierad identitetshantering kan användas tillsammans för en starkare täckning.
Steg för att använda skyddade åtgärder
Kommentar
Du bör utföra de här stegen i följande sekvens för att säkerställa att skyddade åtgärder är korrekt konfigurerade och framtvingade. Om du inte följer den här ordningen kan du få oväntat beteende, till exempel att få upprepade begäranden om att autentisera igen.
Kontrollera behörigheter
Kontrollera att du har tilldelats rollerna Administratör för villkorsstyrd åtkomst eller Säkerhetsadministratör . Om inte kan du kontakta administratören för att tilldela lämplig roll.
Konfigurera princip för villkorlig åtkomst
Konfigurera en kontext för autentisering med villkorsstyrd åtkomst och en associerad princip för villkorsstyrd åtkomst. Skyddade åtgärder använder en autentiseringskontext som tillåter principframtvingande för detaljerade resurser i en tjänst, till exempel Microsoft Entra-behörigheter. En bra princip att börja med är att kräva lösenordslös MFA och exkludera ett nödkonto. Läs mer
Lägga till skyddade åtgärder
Lägg till skyddade åtgärder genom att tilldela kontextvärden för autentisering med villkorsstyrd åtkomst till valda behörigheter. Läs mer
Testa skyddade åtgärder
Logga in som användare och testa användarupplevelsen genom att utföra den skyddade åtgärden. Du bör uppmanas att uppfylla principkraven för villkorsstyrd åtkomst. Om principen till exempel kräver multifaktorautentisering bör du omdirigeras till inloggningssidan och uppmanas att ange stark autentisering. Läs mer
Vad händer med skyddade åtgärder och program?
Om ett program eller en tjänst försöker utföra en skyddsåtgärd måste det kunna hantera den nödvändiga principen för villkorsstyrd åtkomst. I vissa fall kan en användare behöva ingripa och uppfylla principen. De kan till exempel krävas för att slutföra multifaktorautentisering. Följande program stöder stegvis autentisering för skyddade åtgärder:
- Microsoft Entra-administratörsupplevelser för åtgärderna i administrationscentret för Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Det finns några kända och förväntade begränsningar. Följande program misslyckas om de försöker utföra en skyddad åtgärd.
- Azure PowerShell
- Azure AD PowerShell
- Skapa en ny användningssida eller anpassad kontroll i administrationscentret för Microsoft Entra. Nya användningsvillkor eller anpassade kontroller registreras med villkorsstyrd åtkomst, så omfattas av åtgärder för att skapa, uppdatera och ta bort skyddad åtkomst. Om du tillfälligt tar bort principkravet från åtgärderna för att skapa, uppdatera och ta bort villkorlig åtkomst kan du skapa en ny användningssida eller anpassad kontroll.
Om din organisation har utvecklat ett program som anropar Microsoft Graph API för att utföra en skyddad åtgärd bör du granska kodexemplet för hur du hanterar en anspråksutmaning med hjälp av stegvis autentisering. Mer information finns i Utvecklarguide för autentiseringskontext för villkorsstyrd åtkomst.
Bästa praxis
Här följer några metodtips för att använda skyddade åtgärder.
Ha ett nödkonto
När du konfigurerar principer för villkorsstyrd åtkomst för skyddade åtgärder måste du ha ett konto för nödsituationer som undantas från principen. Detta ger en åtgärd mot oavsiktlig utelåsning.
Flytta principer för användar- och inloggningsrisk till villkorsstyrd åtkomst
Behörigheter för villkorsstyrd åtkomst används inte när du hanterar riskprinciper för Microsoft Entra ID Protection. Vi rekommenderar att du flyttar principer för användar- och inloggningsrisk till villkorsstyrd åtkomst.
Använda namngivna nätverksplatser
Namngivna nätverksplatsbehörigheter används inte vid hantering av betrodda IP-adresser för multifaktorautentisering. Vi rekommenderar att du använder namngivna nätverksplatser.
Använd inte skyddade åtgärder för att blockera åtkomst baserat på identitets- eller gruppmedlemskap
Skyddade åtgärder används för att tillämpa ett åtkomstkrav för att utföra en skyddad åtgärd. De är inte avsedda att blockera användning av en behörighet som bara baseras på användaridentitet eller gruppmedlemskap. Vem har åtkomst till specifika behörigheter är ett auktoriseringsbeslut och bör styras av rolltilldelning.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.