Přidání, testování nebo odebrání chráněných akcí v MICROSOFT Entra ID
Chráněné akce v Microsoft Entra ID jsou oprávnění, která mají přiřazené zásady podmíněného přístupu vynucené, když se uživatel pokusí provést akci. Tento článek popisuje, jak přidat, otestovat nebo odebrat chráněné akce.
Poznámka:
Tyto kroky byste měli provést v následujícím pořadí, abyste měli jistotu, že jsou chráněné akce správně nakonfigurované a vynucované. Pokud toto pořadí nedodržujete, může se zobrazit neočekávané chování, jako je například opakované žádosti o opětovné ověření.
Požadavky
Pokud chcete přidat nebo odebrat chráněné akce, musíte mít:
- Licence Microsoft Entra ID P1 nebo P2
- Správa istrator nebo role Správa istrator podmíněného přístupu
Krok 1: Konfigurace zásad podmíněného přístupu
Chráněné akce používají kontext ověřování podmíněného přístupu, takže musíte nakonfigurovat kontext ověřování a přidat ho do zásad podmíněného přístupu. Pokud už máte zásadu s kontextem ověřování, můžete přejít k další části.
Přihlaste se do Centra pro správu Microsoft Entra.
Vyberte kontext ověřování podmíněného>přístupu>ochrany>.
Výběrem možnosti Nový kontext ověřování otevřete podokno Přidat kontext ověřování.
Zadejte název a popis a pak vyberte Uložit.
Vyberte Zásady>Nové zásady a vytvořte novou zásadu.
Vytvořte novou zásadu a vyberte kontext ověřování.
Další informace najdete v tématu Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování.
Krok 2: Přidání chráněných akcí
Pokud chcete přidat akce ochrany, přiřaďte zásady podmíněného přístupu k jednomu nebo více oprávněním pomocí kontextu ověřování podmíněného přístupu.
Vyberte Zásady podmíněného přístupu>ochrany>.
Ujistěte se, že stav zásad podmíněného přístupu, které chcete použít s chráněnou akcí, je nastavená na Zapnuto , nikoli Vypnuto nebo Pouze sestava.
Vyberte role identit>a akce chráněné správcem.>
Vyberte Přidat chráněné akce a přidejte novou chráněnou akci.
Pokud je možnost Přidat chráněné akce zakázaná, ujistěte se, že máte přiřazenou roli podmíněného přístupu Správa istrator nebo Správa istrator zabezpečení. Další informace najdete v tématu Řešení potíží s chráněnými akcemi.
Vyberte nakonfigurovaný kontext ověřování podmíněného přístupu.
Vyberte oprávnění a vyberte oprávnění, která chcete chránit pomocí podmíněného přístupu.
Vyberte Přidat.
Jakmile budete hotovi, vyberte Uložit.
Nové chráněné akce se zobrazí v seznamu chráněných akcí.
Krok 3: Testování chráněných akcí
Když uživatel provede chráněnou akci, bude muset splnit požadavky zásad podmíněného přístupu. Tato část ukazuje prostředí pro uživatele, který se zobrazí výzva k splnění zásad. V tomto příkladu se uživatel musí ověřit pomocí klíče zabezpečení FIDO, aby mohl aktualizovat zásady podmíněného přístupu.
Přihlaste se do Centra pro správu Microsoft Entra jako uživatel, který musí splňovat zásady.
Vyberte Podmíněný přístup ochrany>.
Vyberte zásadu podmíněného přístupu, abyste ji zobrazili.
Úpravy zásad jsou zakázané, protože požadavky na ověřování nebyly splněny. V dolní části stránky je následující poznámka:
Úpravy jsou chráněné dodatečným požadavkem na přístup. Kliknutím sem znovu vytvořte ověření.
Chcete-li znovu provést ověření, vyberte kliknutím sem.
Při přesměrování prohlížeče na přihlašovací stránku Microsoft Entra dokončete požadavky na ověřování.
Po dokončení požadavků na ověřování je možné zásady upravit.
Upravte zásadu a uložte změny.
Odebrání chráněných akcí
Pokud chcete odebrat akce ochrany, zrušte přiřazení požadavků zásad podmíněného přístupu z oprávnění.
Vyberte role identit>a akce chráněné správcem.>
Vyhledejte a vyberte zásady podmíněného přístupu oprávnění k zrušení přiřazení.
Na panelu nástrojů vyberte Odebrat.
Po odebrání chráněné akce nebude mít oprávnění požadavek podmíněného přístupu. K oprávnění je možné přiřadit novou zásadu podmíněného přístupu.
Microsoft Graph
Přidání chráněných akcí
Chráněné akce se přidají přiřazením hodnoty kontextu ověřování k oprávnění. Kontextové hodnoty ověřování, které jsou k dispozici v tenantovi, je možné zjistit voláním ověřovacího rozhraní APIContextClassReference .
Kontext ověřování je možné přiřadit k oprávnění pomocí jednotného koncového bodu rozhraní APIRbacResourceAction beta:
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Následující příklad ukazuje, jak získat ID kontextu ověřování, které bylo nastaveno na microsoft.directory/conditionalAccessPolicies/delete oprávnění.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
Akce prostředků s vlastností isAuthenticationContextSettable nastavenou na true podporují kontext ověřování. Akce prostředků s hodnotou vlastnosti authenticationContextId jsou ID kontextu ověřování, které bylo přiřazeno k akci.
Chcete-li zobrazit isAuthenticationContextSettable vlastnosti a authenticationContextId vlastnosti, musí být zahrnuty do příkazu select při provádění požadavku na rozhraní API akce prostředku.
Řešení potíží s chráněnými akcemi
Příznak – Nelze vybrat žádné hodnoty kontextu ověřování.
Při pokusu o výběr kontextu ověřování podmíněného přístupu nejsou k dispozici žádné hodnoty, které je možné vybrat.
Příčina
V tenantovi nebyly povoleny žádné hodnoty kontextu ověřování podmíněného přístupu.
Řešení
Povolte kontext ověřování pro tenanta přidáním nového kontextu ověřování. Ujistěte se, že je zaškrtnuté políčko Publikovat do aplikací , takže je možné vybrat hodnotu. Další informace najdete v tématu Kontext ověřování.
Příznak – Zásady se neaktivují
V některých případech se po přidání chráněné akce nemusí uživatelům zobrazovat výzva podle očekávání. Pokud například zásada vyžaduje vícefaktorové ověřování, nemusí se uživateli zobrazit výzva k přihlášení.
Příčina 1
Uživatel nebyl přiřazen k zásadám podmíněného přístupu používaným pro chráněnou akci.
Řešení 1
Pomocí nástroje Citlivostní analýza podmíněného přístupu zkontrolujte, jestli má uživatel přiřazenou zásadu. Při použití nástroje vyberte uživatele a kontext ověřování, který byl použit s chráněnou akcí. Vyberte What If (Citlivostní) a ověřte, že jsou očekávané zásady uvedené v tabulce Zásady, které budou platit . Pokud se zásada nepoužije, zkontrolujte podmínku přiřazení uživatele zásad a přidejte uživatele.
Příčina 2
Uživatel dříve splnil zásady. Například dokončené vícefaktorové ověřování dříve ve stejné relaci.
Řešení 2
Vyřešte potíže s událostmi přihlášení k Microsoft Entra. Události přihlášení zahrnují podrobnosti o relaci, včetně toho, jestli uživatel už dokončil vícefaktorové ověřování. Při řešení potíží s protokoly přihlašování je také užitečné zkontrolovat stránku s podrobnostmi o zásadách a ověřit, že byl požadován kontext ověřování.
Příznak – Zásady se nikdy nesplní
Když se pokusíte provést požadavky na zásady podmíněného přístupu, zásada se nikdy nesplní a stále se žádá o opětovné ověření.
Příčina
Zásady podmíněného přístupu se nevytvořily nebo je stav zásady vypnutý nebo je pouze sestava.
Řešení
Vytvořte zásadu podmíněného přístupu, pokud neexistuje nebo ji nastavte na Zapnuto.
Pokud nemáte přístup ke stránce podmíněného přístupu kvůli chráněné akci a opakovaným žádostem o opětovné ověření, otevřete stránku podmíněného přístupu pomocí následujícího odkazu.
Příznak – žádný přístup k přidání chráněných akcí
Když jste přihlášení, nemáte oprávnění přidávat nebo odebírat chráněné akce.
Příčina
Nemáte oprávnění ke správě chráněných akcí.
Řešení
Ujistěte se, že máte přiřazenou roli podmíněného přístupu Správa istrator nebo roli Správa istrator zabezpečení.
Příznak – Chyba vrácená pomocí PowerShellu k provedení chráněné akce
Při použití PowerShellu k provedení chráněné akce se vrátí chyba a nezobrazí se výzva k splnění zásad podmíněného přístupu.
Příčina
Microsoft Graph PowerShell podporuje podrobné ověřování, které je nutné k povolení výzev k zásadám. Azure a Azure AD Graph PowerShell nejsou podporované pro krokování ověřování.
Řešení
Ujistěte se, že používáte Microsoft Graph PowerShell.