Co jsou chráněné akce v Microsoft Entra ID?
Chráněné akce v Microsoft Entra ID jsou oprávnění přiřazená zásadám podmíněného přístupu. Když se uživatel pokusí provést chráněnou akci, musí nejprve splňovat zásady podmíněného přístupu přiřazené požadovaným oprávněním. Například, pokud chcete správcům povolit aktualizaci zásad podmíněného přístupu, můžete vyžadovat, aby napřed splňovali zásady vícefaktorového ověřování odolné vůči phishingu.
Tento článek obsahuje přehled chráněných akcí a jak je začít používat.
Proč používat chráněné akce?
Chráněné akce použijete, když chcete přidat další vrstvu ochrany. Chráněné akce se dají použít na oprávnění, která vyžadují silnou ochranu zásad podmíněného přístupu, nezávisle na použité roli nebo na tom, jak uživatel udělil oprávnění. Vzhledem k tomu, že k vynucení zásad dochází v době, kdy se uživatel pokusí provést chráněnou akci, a ne během aktivace přihlašování nebo pravidla uživatele, zobrazí se uživatelům výzva pouze v případě potřeby.
Jaké zásady se obvykle používají s chráněnými akcemi?
U všech účtů doporučujeme používat vícefaktorové ověřování, zejména účty s privilegovanými rolemi. Chráněné akce je možné použít k vyžadování dalšího zabezpečení. Tady jsou některé běžné silnější zásady podmíněného přístupu.
- Silnější metody vícefaktorového ověřování, jako je vícefaktorové ověřování bez hesla nebo vícefaktorové ověřování odolné proti phishingu,,
- Pracovní stanice s privilegovaným přístupem jsou spravovány pomocí zásad podmíněného přístupu a filtrů zařízení .
- Krátké časové limity pro relaci, pomocí řízení frekvence přihlášení při podmíněném přístupu .
Jaká oprávnění se dají použít s chráněnými akcemi?
Zásady podmíněného přístupu je možné použít pro omezenou sadu oprávnění. Chráněné akce můžete použít v následujících oblastech:
- Správa zásad podmíněného přístupu
- Správa nastavení přístupu mezi tenanty
- Pevné odstranění některých objektů adresáře
- Vlastní pravidla definující síťová umístění
- Správa chráněných akcí
Tady je počáteční sada oprávnění:
| Povolení | Popis |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizace základních vlastností pro zásady podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/create | Vytvoření zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/delete | Odstranění zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizace základních vlastností pro zásady podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/create | Vytvoření zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/delete | Odstranění zásad podmíněného přístupu |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizujte povolené koncové body cloudu v rámci zásad přístupu mezi tenanty. |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update (aktualizace spolupráce B2B) | Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualizujte nastavení přímého připojení služby Microsoft Entra B2B ve výchozí zásadě přístupu napříč tenanty. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizujte nastavení schůzek Teams v rámci různých cloudů pro výchozí zásadu přístupu mezi tenanty. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualizujte omezení výchozích zásad přístupu mezi nájemci. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualizujte zásady přístupu mezi tenanty v nastavení spolupráce Microsoft Entra B2B pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualizujte nastavení přímého připojení Microsoft Entra B2B v rámci zásad křížového přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvořte zásady přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizujte nastavení schůzek Microsoft Teams napříč cloudovými platformami v rámci zásad přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Odstraňte zásady přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualizujte omezení zásady přístupu mezi nájemci pro partnery. |
| microsoft.adresář/smazanéPoložky/smazat | Trvalé odstranění objektů, které se už nedají obnovit |
| microsoft.directory/namedLocations/basic/update | Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/create | Vytvoření vlastních pravidel definujících síťová umístění |
| microsoft.directory/namedLocations/delete | Odstranění vlastních pravidel definujících síťová umístění |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update - aktualizace kontextu ověřování | Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365 |
Odstranění objektů adresáře
Microsoft Entra ID podporuje dva typy odstranění pro většinu objektů adresáře: obnovitelné odstranění a pevné odstranění. Při softwarovém odstranění objektu adresáře se objekt, jeho hodnoty vlastností a vztahy zachovají v koši po dobu 30 dnů. Obnovitelně odstraněný objekt lze obnovit se stejným ID a všemi hodnotami a vztahy vlastností beze změny. Při pevném odstranění obnovitelně odstraněného objektu se objekt trvale odstraní a nelze ho znovu vytvořit se stejným ID objektu.
Chcete-li zabránit náhodnému nebo škodlivému pevnému smazání některých měkce smazaných objektů adresáře z koše a tím trvalé ztrátě dat, můžete přidat chráněnou akci k následujícímu oprávnění. Toto odstranění platí pro uživatele, skupiny Microsoftu 365 a aplikace.
- microsoft.directory/deletedItems/delete
Jak se chráněné akce porovnávají s aktivací role Privileged Identity Management?
aktivaci role Privileged Identity Management je možné přiřadit také zásady podmíněného přístupu. Tato funkce umožňuje vynucování zásad pouze v případě, že uživatel aktivuje roli a poskytuje nejkomplexnější ochranu. Chráněné akce se vynucují jenom v případech, kdy uživatel provede akci, která vyžaduje oprávnění s přiřazenými zásadami podmíněného přístupu. Chráněné akce umožňují chránit oprávnění s vysokým dopadem nezávisle na roli uživatele. Aktivaci role Privileged Identity Management a chráněné akce je možné použít společně pro silnější pokrytí.
Postup použití chráněných akcí
Poznámka
Tyto kroky byste měli provést v následujícím pořadí, abyste měli jistotu, že jsou chráněné akce správně nakonfigurované a vynucované. Pokud toto pořadí nedodržíte, může dojít k neočekávanému chování, například obdrží opakované žádosti o znovu ověření.
Kontrola oprávnění
Zkontrolujte, jestli máte přiřazené role správce podmíněného přístupu nebo správce zabezpečení . Pokud ne, obraťte se na správce a přiřaďte odpovídající roli.
Konfigurace Zásad Podmíněného Přístupu
Nakonfigurujte kontext ověřování podmíněného přístupu a přidružené zásady podmíněného přístupu. Chráněné akce používají ověřovací kontext, který umožňuje vynucování zásad pro jemně definované prostředky ve službě, jako jsou přístupy Microsoft Entra. Dobrou zásadou pro začátek je vyžadovat vícefaktorové ověřování bez hesla a vyloučit účet tísňového volání. Další informace
Přidání chráněných akcí
Přidejte chráněné akce přiřazením hodnot kontextu ověřování podmíněného přístupu k vybraným oprávněním. Další informace
testování chráněných akcí
Přihlaste se jako uživatel a otestujte uživatelské prostředí provedením chráněné akce. Měli byste být vyzváni, abyste splnili požadavky zásad podmíněného přístupu. Pokud například zásada vyžaduje vícefaktorové ověřování, měli byste být přesměrováni na přihlašovací stránku a zobrazit výzvu k silnému ověření. Další informace
Co se stane s chráněnými akcemi a aplikacemi?
Pokud se aplikace nebo služba pokusí provést akci ochrany, musí být schopná zpracovat požadované zásady podmíněného přístupu. V některých případech může být nutné, aby uživatel zasahoval a splňoval zásady. Může se například vyžadovat k dokončení vícefaktorového ověřování. Následující aplikace podporují podrobné ověřování chráněných akcí:
- Prostředí správce Microsoft Entra pro akce v centru pro správu Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Existují určitá známá a očekávaná omezení. Pokud se pokusí provést chráněnou akci, následující aplikace selžou.
- Azure PowerShell
- Azure AD PowerShellu
- Vytvoření nové podmínek použití stránku nebo vlastní ovládací prvek v Centru pro správu Microsoft Entra. Nové stránky s podmínkami použití nebo vlastní ovládací prvky jsou zaregistrovány v rámci podmíněného přístupu, takže podléhají chráněným akcím pro vytváření, aktualizaci a odstraňování v rámci podmíněného přístupu. Dočasné odebrání požadavku na zásady z akcí vytvoření, aktualizace a odstranění podmíněného přístupu umožní vytvoření nové stránky použití nebo vlastního ovládacího prvku.
Pokud vaše organizace vyvinula aplikaci, která volá Microsoft Graph API k provedení chráněné činnosti, měli byste si projít ukázku kódu a zjistit, jak zpracovat výzvu deklarací identity pomocí pokročilého ověřování. Další informace najdete v Příručka pro vývojáře k kontextu ověřování podmíněného přístupu.
Osvědčené postupy
Tady je několik osvědčených postupů pro používání chráněných akcí.
mít nouzový účet
Při konfiguraci zásad podmíněného přístupu pro chráněné akce nezapomeňte mít nouzový účet, který je ze zásad vyloučen. Toto poskytuje zmírnění proti náhodnému uzamčení.
Přesun zásad rizik uživatelů a přihlašování do podmíněného přístupu
Oprávnění podmíněného přístupu se nepoužívají při správě zásad rizikovosti Microsoft Entra ID Protection. Doporučujeme přesunout zásady rizik uživatelů a přihlašování do podmíněného přístupu.
Použít pojmenovaná síťová umístění
Pojmenovaná oprávnění síťového umístění se nepoužívají při správě důvěryhodných IP adres s vícefaktorovým ověřováním. Doporučujeme používat pojmenovaná síťová umístění .
Nepoužívejte chráněné akce k blokování přístupu na základě identity nebo členství ve skupině
Chráněné akce slouží k použití požadavku na přístup k provedení chráněné akce. Nejsou určeny k blokování použití oprávnění pouze na základě identity uživatele nebo členství ve skupině. Kdo má přístup ke konkrétním oprávněním, je rozhodnutí o autorizaci a mělo by být řízeno přiřazením role.
Licenční požadavky
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcíMicrosoft Entra ID .