Microsoft Entra ID 中的受保護的動作是什麼?
Microsoft Entra ID 中的受保護的動作是已獲指派條件式存取原則的權限。 當使用者嘗試執行受保護的動作時,他們必須先滿足已指派給必要權限的條件式存取原則。 例如,若要允許系統管理員更新條件式存取原則,您可以要求他們先滿足防網路釣魚 MFA 原則。
本文提供受保護的動作的概觀,以及如何開始使用。
為什麼要使用受保護的動作?
您會在想要新增額外的保護層時使用受保護的動作。 受保護的動作可以套用至需要強式條件式存取原則保護的權限,其與所使用的角色,或是使用者如何獲得權限無關。 因為原則強制執行會在使用者嘗試執行受保護的動作時發生,而不是在使用者登入或規則啟用期間發生,因此只有在需要時才會提示使用者。
哪些原則通常會與受保護的動作搭配使用?
我們建議在所有帳戶上使用多重要素驗證,特別是具有特殊權限角色的帳戶。 受保護的動作可以用來要求額外的安全性。 以下是一些常見的更強條件式存取原則。
- 更強大的 MFA 驗證強度,例如無密碼 MFA 或防網路釣魚 MFA。
- 特殊權限存取工作站,透過使用條件式存取原則裝置篩選 (部分機器翻譯) 來達成。
- 更短的工作階段逾時,透過使用條件式存取登入頻率工作階段控制來達成。
哪些權限可以搭配受保護的動作使用?
條件式存取原則可以套用至一組有限的權限。 您可以在下列區域中使用受保護的動作:
- 條件式存取原則管理
- 跨租用戶存取設定管理
- 定義網路位置的自訂規則
- 受保護的動作管理
以下是初始權限集合:
| 權限 | 描述 |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新條件式存取原則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/create | 建立條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/delete | 刪除條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新條件式存取原則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/create | 建立條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/delete | 刪除條件式存取原則 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新允許的跨租用戶存取原則的雲端端點 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 更新預設跨租用戶存取原則的 Microsoft Entra B2B 共同作業設定 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 更新預設跨租用戶存取原則的 Microsoft Entra B2B 直接連接設定 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新預設跨租用戶存取原則的跨雲端 Teams 會議設定。 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 更新預設跨租用戶存取原則的租用戶限制。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 更新合作夥伴的跨租用戶存取原則的 Microsoft Entra B2B 共同作業設定。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | 更新合作夥伴的跨租用戶存取原則的 Microsoft Entra B2B 直接連接設定。 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 建立合作夥伴的跨租用戶存取原則。 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作夥伴的跨租用戶存取原則的跨雲端 Teams 會議設定。 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 刪除合作夥伴的跨租用戶存取原則。 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 更新合作夥伴的跨租用戶存取原則的租用戶限制。 |
| microsoft.directory/namedLocations/basic/update | 更新可定義網路位置之自訂規則的基本屬性 |
| microsoft.directory/namedLocations/create | 建立可定義網路位置的自訂規則 |
| microsoft.directory/namedLocations/delete | 刪除可定義網路位置的自訂規則 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容 |
受保護的動作與 Privileged Identity Management 角色啟用相比如何?
Privileged Identity Management 角色啟用也可以獲指派條件式存取原則。 這項功能只會在使用者啟用角色時才允許強制執行原則,以提供最全面的保護。 只有當使用者採取需要指派條件式存取原則之權限的動作時,才會強制執行受保護的動作。 受保護的動作可在獨立於使用者角色的情況下,保護具高度影響力的權限。 Privileged Identity Management 角色啟用和受保護的動作可以一起使用,以提供更強大的涵蓋範圍。
使用受保的護動作的步驟
注意
您應該依照下列順序執行這些步驟,以確保受保護的動作已正確設定並強制執行。 如果您未依照此順序執行,可能會發生非預期的行為,例如取得重複要求以重新驗證。
檢查權限
確認您已獲指派條件式存取系統管理員 (部分機器翻譯) 或安全性系統管理員 (部分機器翻譯) 角色。 如果沒有,請連絡您的系統管理員以指派適當的角色。
設定條件存取原則
設定條件式存取驗證內容和相關聯的條件式存取原則。 受保護的動作會使用驗證內容,其允許針對服務中的精細資源 (例如 Microsoft Entra 權限) 進行原則強制執行。 一個很適合作為開始的良好原則,是要求無密碼 MFA 及排除緊急帳戶。 深入了解
新增受保護的動作
將條件式存取驗證內容值指派給選取的權限,以新增受保護的動作。 深入了解
測試受保護的動作
以使用者身分登入,並執行受保護的動作來測試使用者體驗。 系統應該會提示您滿足條件式存取原則需求。 例如,如果原則需要多重要素驗證,系統應該會將您重新導向登入頁面,並提示您進行增強式驗證。 深入了解
受保護的動作和應用程式會發生什麼事?
如果應用程式或服務嘗試執行受保護的動作,其必須能夠處理必要的條件式存取原則。 在某些情況下,使用者可能需要介入並滿足原則。 例如,可能需要他們才能完成多重要素驗證。 下列應用程式支援受保護的動作的升級驗證:
- 適用於 Microsoft Entra 系統管理中心中動作的 Microsoft Entra 系統管理員體驗
- Microsoft Graph PowerShell (英文)
- Graph 總管 (英文)
有一些已知且預期的限制。 如果下列應用程式嘗試執行受保護的動作,其將會失敗。
- Azure PowerShell
- Azure AD PowerShell
- 在 Microsoft Entra 系統管理中心中建立新的使用規定頁面或自訂控制項。 新的使用規定頁面或自訂控制項會向條件式存取註冊,因此受限於條件式存取建立、更新和刪除受保護的動作。 暫時從條件式存取建立、更新和刪除動作中移除原則需求,將允許建立新的使用規定頁面或自訂控制項。
如果您的組織已開發應用程式來呼叫 Microsoft Graph API 以執行受保護的動作,您應該檢閱程式碼範例,了解如何使用升級驗證來處理宣告挑戰。 如需詳細資訊,請參閱條件式存取驗證內容的開發人員指南 (部分機器翻譯)。
最佳作法
以下是使用受保護的動作的一些最佳做法。
有緊急帳戶
設定受保護的動作的條件式存取原則時,請務必具有從原則中排除的緊急帳戶。 這可降低意外鎖定的風險。
將使用者和登入風險原則移至條件式存取
管理 Microsoft Entra ID Protection 風險原則時,不會使用條件式存取權限。 建議將使用者和登入風險原則移至條件式存取。
使用具名網路位置
管理多重要素驗證受信任 IP 時,不會使用具名網路位置權限。 建議您使用具名網路位置。
請勿使用受保護的動作來根據身分識別或群組成員資格封鎖存取權
受保護的動作是用來套用執行受保護的動作的存取權需求。 其不適用於僅根據使用者身分識別或群組成員資格封鎖權限的使用。 誰應該具有特定權限的存取權是一個授權決策,且應該由角色指派控制。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: