Sdílet prostřednictvím


Přidání, testování nebo odebrání chráněných akcí v MICROSOFT Entra ID

Chráněné akce v Microsoft Entra ID jsou oprávnění, která mají přiřazené vynucené zásady podmíněného přístupu, když se uživatel pokusí provést akci. Tento článek popisuje, jak přidat, otestovat nebo odebrat chráněné akce.

Poznámka

Tyto kroky byste měli provést v následujícím pořadí, abyste měli jistotu, že jsou chráněné akce správně nakonfigurované a vynucované. Pokud toto pořadí nedodržujete, může dojít k neočekávanému chování, například opakované žádosti o opětovné ověření.

Požadavky

Pokud chcete přidat nebo odebrat chráněné akce, musíte mít:

Krok 1: Konfigurace zásad podmíněného přístupu

Chráněné akce používají kontext ověřování podmíněného přístupu, takže musíte nakonfigurovat kontext ověřování a přidat ho do zásad podmíněného přístupu. Pokud už máte zásadu s kontextem ověřování, můžete přejít k další části.

  1. Přihlaste se do administračního centra Microsoft Entra.

  2. Vyberte Protection>podmíněný přístup>kontext ověřování>kontext ověřování.

  3. Výběrem možnosti Nový ověřovací kontext otevřete podokno Přidat ověřovací kontext.

  4. Zadejte název a popis a pak vyberte Uložit.

    Snímek obrazovky s podoknem pro přidání nového kontextu ověřování.

  5. Pokud chcete vytvořit novou zásadu, vyberte Zásady>Nové zásady.

  6. Vytvořte novou zásadu a vyberte kontext ověřování.

    Další informace najdete v tématu Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování.

    Snímek obrazovky stránky pro vytvoření nové politiky s kontextem ověření

Krok 2: Přidání chráněných akcí

Pokud chcete přidat akce ochrany, přiřaďte zásady podmíněného přístupu k jednomu nebo více oprávněním pomocí kontextu ověřování podmíněného přístupu.

  1. Vyberte Protection>zásady podmíněného přístupu>.

  2. Ujistěte se, že stav zásad podmíněného přístupu, které plánujete použít s chráněnou akcí, je nastaven na Zapnuto a ne na Vypnuto ani na Pouze pro sestavy.

  3. Vyberte Identity>Role & Správci>Chráněné akce.

    snímek obrazovky stránky Přidání chráněných akcí v Rolích a správcích

  4. Pokud chcete přidat novou chráněnou akci, vyberte Přidat chráněné akce.

    Pokud Přidání chráněných akcí je zakázané, ujistěte se, že máte přiřazenou roli Správce podmíněného přístupu nebo Správce zabezpečení. Další informace najdete v tématu Řešení potíží s chráněnými akcemi.

  5. Vyberte nakonfigurovaný kontext ověřování podmíněného přístupu.

  6. Vyberte Vyberte oprávnění a vyberte oprávnění, která chcete chránit pomocí podmíněného přístupu.

    Snímek obrazovky se stránkou Přidat chráněné akce s vybranými oprávněními

  7. Vyberte Přidat.

  8. Po dokončení vyberte Uložit.

    Nové chráněné akce se zobrazí v seznamu chráněných akcí.

Krok 3: Testování chráněných akcí

Když uživatel provede chráněnou akci, bude muset splnit požadavky zásad podmíněného přístupu. Tato část ukazuje zkušenost uživatele, když je vyzván ke splnění zásad. V tomto příkladu se uživatel musí ověřit pomocí klíče zabezpečení FIDO, aby mohl aktualizovat zásady podmíněného přístupu.

  1. Přihlaste se do centra pro správu Microsoft Entra jako uživatel, který musí splňovat zásady.

  2. Vyberte ochranu >podmíněného přístupu.

  3. Vyberte zásadu podmíněného přístupu, abyste ji zobrazili.

    Úpravy zásad jsou zakázané, protože požadavky na ověřování nebyly splněny. V dolní části stránky je následující poznámka:

    Úpravy jsou chráněné dodatečným požadavkem na přístup. Klikněte sem a znovu se ověřte.

    Snímek obrazovky se zakázanou zásadou podmíněného přístupu s poznámkou, která označuje potřebu opětovného ověření

  4. Vyberte a kliknutím sem se znovu ověřte.

  5. Při přesměrování prohlížeče na přihlašovací stránku Microsoft Entra dokončete požadavky na ověřování.

    snímek obrazovky přihlašovací stránky pro opětovné ověření

    Po dokončení požadavků na ověřování je možné zásady upravit.

  6. Upravte zásadu a uložte změny.

    snímek obrazovky s povolenými zásadami podmíněného přístupu, které je možné upravit

Odstranit chráněné akce

Pokud chcete odebrat akce ochrany, zrušte přiřazení požadavků zásad podmíněného přístupu z oprávnění.

  1. Vyberte Role>Identity & správci>chráněné akce.

  2. Vyhledejte a vyberte zásady podmíněného přístupu, kterou chcete zrušit.

    snímek obrazovky stránky Chráněné akce s oprávněním vybraným k odebrání

  3. Na panelu nástrojů vyberte Odebrat.

    Po odebrání chráněné akce nebude mít oprávnění požadavek podmíněného přístupu. K oprávnění je možné přiřadit novou zásadu podmíněného přístupu.

Microsoft Graph

Přidání chráněných akcí

Chráněné akce se přidají přiřazením hodnoty kontextu ověřování k oprávnění. Kontextové hodnoty ověřování, které jsou k dispozici v tenantovi, je možné zjistit voláním authenticationContextClassReference API.

Kontext ověřování je možné přiřadit k oprávnění pomocí koncového bodu unifiedRbacResourceAction api beta:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Následující příklad ukazuje, jak získat ID kontextu ověřování nastavené na oprávnění microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Akce prostředků, které mají vlastnost isAuthenticationContextSettable nastavenu na true, podporují kontext ověřování. Akce prostředků, které mají hodnotu vlastnosti authenticationContextId, představují ID ověřovacího kontextu přiřazené akci.

Chcete-li zobrazit vlastnosti isAuthenticationContextSettable a authenticationContextId, musí být zahrnuty do příkazu select při provádění požadavku na rozhraní API akce prostředku.

Řešení potíží s chráněnými akcemi

Příznak – Nelze vybrat žádné hodnoty kontextu ověřování.

Při pokusu o výběr kontextu ověřování podmíněného přístupu nejsou k dispozici žádné hodnoty, které je možné vybrat.

Snímek obrazovky ze stránky Přidání chráněných akcí bez kontextu ověřování, který by bylo možné vybrat.

příčina

V tenantovi nejsou povoleny žádné hodnoty kontextu ověřování podmíněného přístupu.

řešení

Povolte kontext ověřování pro tenanta přidáním nového kontextu ověřování. Ujistěte se, že je zaškrtnuté políčko Publikovat do aplikací, aby byla tato hodnota dostupná k výběru. Další informace naleznete v tématu Kontext ověřování.

Příznak – Politika se neaktivuje

V některých případech se po přidání chráněné akce nemusí uživatelům zobrazit výzva podle očekávání. Pokud například zásada vyžaduje vícefaktorové ověřování, nemusí se uživateli zobrazit výzva k přihlášení.

Příčina 1

Uživatel nebyl přiřazen k zásadám podmíněného přístupu používaným pro chráněnou akci.

Řešení 1

Pomocí nástroje Podmíněného přístupu What If zkontrolujte, jestli má uživatel přiřazenou zásadu. Při použití nástroje vyberte uživatele a kontext ověřování, který byl použit s chráněnou akcí. Vyberte Co když a ověřte, jestli je očekávaná zásada uvedená v tabulce Zásady, které budou platit. Pokud se zásada nepoužije, zkontrolujte podmínku přiřazení uživatele zásad a přidejte uživatele.

příčina 2

Uživatel již dříve splnil požadavky zásad. Například dříve dokončené vícefaktorové ověřování ve stejné relaci.

řešení 2

Zkontrolujte události přihlášení k Microsoft Entra abyste řešili potíže. Události přihlášení zahrnují podrobnosti o relaci, včetně toho, zda uživatel dokončil vícefaktorové ověřování. Při řešení potíží s přihlašovacími protokoly je také užitečné zkontrolovat stránku s podrobnostmi o zásadách, abyste se ujistili, že byl vyžádán kontext ověřování.

Příznak – Politika není nikdy splněna

Když se pokusíte provést požadavky na zásady podmíněného přístupu, zásada se nikdy nesplní a stále se žádá o opětovné ověření.

příčiny

Zásady podmíněného přístupu nebyly vytvořeny nebo je stav zásad vypnuto nebo pouze pro zprávy.

řešení

Vytvořte zásadu podmíněného přístupu, pokud neexistuje, nebo nastavte stav na Při.

Pokud nemáte přístup ke stránce podmíněného přístupu kvůli chráněné akci a opakovaným žádostem o opětovné ověření, otevřete stránku podmíněného přístupu pomocí následujícího odkazu.

Příznak – žádný přístup k přidání chráněných akcí

Když jste přihlášení, nemáte oprávnění přidávat nebo odebírat chráněné akce.

Příčiny

Nemáte oprávnění ke správě chráněných akcí.

řešení

Ujistěte se, že máte přiřazenou roli správce podmíněného přístupu nebo roli Správce zabezpečení.

Příznak – Chyba vrácená pomocí PowerShellu k provedení chráněné akce

Při použití PowerShellu k provedení chráněné akce se vrátí chyba a nezobrazí se výzva k splnění zásad podmíněného přístupu.

příčina

Microsoft Graph PowerShell podporuje silnější ověřování, které je nutné k povolení výzev ke schválení zásad. Azure a Azure AD Graph PowerShell nejsou podporovány pro dvoufázové ověřování.

řešení

Ujistěte se, že používáte Microsoft Graph PowerShell.

Další kroky