Co jsou chráněné akce v Microsoft Entra ID?
Chráněné akce v MICROSOFT Entra ID jsou oprávnění, která mají přiřazené zásady podmíněného přístupu. Když se uživatel pokusí provést chráněnou akci, musí nejprve splňovat zásady podmíněného přístupu přiřazené požadovaným oprávněním. Pokud například chcete správcům povolit aktualizaci zásad podmíněného přístupu, můžete vyžadovat, aby nejprve splňovali zásady MFA odolné proti útokům phishing.
Tento článek obsahuje přehled chráněných akcí a jak je začít používat.
Proč používat chráněné akce?
Chráněné akce použijete, když chcete přidat další vrstvu ochrany. Chráněné akce se dají použít na oprávnění, která vyžadují silnou ochranu zásad podmíněného přístupu, nezávisle na použité roli nebo na tom, jak uživatel udělil oprávnění. Vzhledem k tomu, že k vynucení zásad dochází v době, kdy se uživatel pokusí provést chráněnou akci, a ne během aktivace přihlašování nebo pravidla uživatele, zobrazí se uživatelům výzva pouze v případě potřeby.
Jaké zásady se obvykle používají s chráněnými akcemi?
U všech účtů doporučujeme používat vícefaktorové ověřování, zejména účty s privilegovanými rolemi. Chráněné akce je možné použít k vyžadování dalšího zabezpečení. Tady jsou některé běžné silnější zásady podmíněného přístupu.
- Silnější silné stránky vícefaktorového ověřování vícefaktorového ověřování, jako je MFA bez hesla nebo vícefaktorové ověřování odolné proti útokům phishing,
- Pracovní stanice s privilegovaným přístupem pomocí filtrů zařízení zásad podmíněného přístupu
- Kratší časové limity relace pomocí ovládacích prvků relace přihlášení k podmíněnému přístupu.
Jaká oprávnění se dají použít s chráněnými akcemi?
Zásady podmíněného přístupu je možné použít pro omezenou sadu oprávnění. Chráněné akce můžete použít v následujících oblastech:
- Správa zásad podmíněného přístupu
- Správa nastavení přístupu mezi tenanty
- Vlastní pravidla definující síťová umístění
- Správa chráněných akcí
Tady je počáteční sada oprávnění:
| Oprávnění | Popis |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizace základních vlastností pro zásady podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/create | Vytváření zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/delete | Odstranění zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizace základních vlastností pro zásady podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/create | Vytvoření zásad podmíněného přístupu |
| microsoft.directory/conditionalAccessPolicies/delete | Odstranění zásad podmíněného přístupu |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizace povolených koncových bodů cloudu zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Připojení/update | Aktualizace nastavení přímého připojení Microsoft Entra B2B výchozích zásad přístupu mezi tenanty |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizujte nastavení schůzek teams napříč cloudy výchozích zásad přístupu mezi tenanty. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualizujte omezení tenanta výchozích zásad přístupu mezi tenanty. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualizujte nastavení spolupráce Microsoft Entra B2B zásad přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Připojení/update | Aktualizujte nastavení přímého připojení Microsoft Entra B2B zásad přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvořte zásady přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizujte nastavení schůzek teams napříč cloudy pro zásady přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Odstraňte zásady přístupu mezi tenanty pro partnery. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualizujte omezení tenanta zásad přístupu mezi tenanty pro partnery. |
| microsoft.directory/namedLocations/basic/update | Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění |
| microsoft.directory/namedLocations/create | Vytvoření vlastních pravidel definujících síťová umístění |
| microsoft.directory/namedLocations/delete | Odstranění vlastních pravidel definujících síťová umístění |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365 |
Jak se chráněné akce porovnávají s aktivací role Privileged Identity Management?
Aktivaci role Privileged Identity Management je také možné přiřadit zásady podmíněného přístupu. Tato funkce umožňuje vynucování zásad pouze v případě, že uživatel aktivuje roli a poskytuje nejkomplexnější ochranu. Chráněné akce se vynucují jenom v případech, kdy uživatel provede akci, která vyžaduje oprávnění s přiřazenými zásadami podmíněného přístupu. Chráněné akce umožňují chránit oprávnění s vysokým dopadem nezávisle na roli uživatele. Aktivace role Privileged Identity Management a chráněné akce je možné použít společně pro silnější pokrytí.
Postup použití chráněných akcí
Poznámka:
Tyto kroky byste měli provést v následujícím pořadí, abyste měli jistotu, že jsou chráněné akce správně nakonfigurované a vynucované. Pokud toto pořadí nedodržujete, může se zobrazit neočekávané chování, jako je například opakované žádosti o opětovné ověření.
Kontrola oprávnění
Zkontrolujte, že máte přiřazené role podmíněného přístupu Správa istratoru nebo role Správa istrator zabezpečení. Pokud ne, obraťte se na správce a přiřaďte odpovídající roli.
Konfigurace zásad podmíněného přístupu
Nakonfigurujte kontext ověřování podmíněného přístupu a přidružené zásady podmíněného přístupu. Chráněné akce používají kontext ověřování, který umožňuje vynucování zásad pro jemně odstupňované prostředky ve službě, jako jsou oprávnění Microsoft Entra. Dobrou zásadou pro začátek je vyžadovat vícefaktorové ověřování bez hesla a vyloučit účet tísňového volání. Další informace
Přidání chráněných akcí
Přidejte chráněné akce přiřazením hodnot kontextu ověřování podmíněného přístupu k vybraným oprávněním. Další informace
Testování chráněných akcí
Přihlaste se jako uživatel a otestujte uživatelské prostředí provedením chráněné akce. Měli byste být vyzváni, abyste splnili požadavky zásad podmíněného přístupu. Pokud například zásada vyžaduje vícefaktorové ověřování, měli byste být přesměrováni na přihlašovací stránku a zobrazit výzvu k silnému ověřování. Další informace
Co se stane s chráněnými akcemi a aplikacemi?
Pokud se aplikace nebo služba pokusí provést akci ochrany, musí být schopná zpracovat požadované zásady podmíněného přístupu. V některých případech může být nutné, aby uživatel zasahoval a splňoval zásady. Může se například vyžadovat k dokončení vícefaktorového ověřování. Následující aplikace podporují podrobné ověřování chráněných akcí:
- Prostředí pro správce Microsoft Entra pro akce v Centru pro správu Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Existují určitá známá a očekávaná omezení. Pokud se pokusí provést chráněnou akci, následující aplikace selžou.
- Azure PowerShell
- Azure AD PowerShell
- Vytvoření nové stránky použití nebo vlastního ovládacího prvku v Centru pro správu Microsoft Entra Nové podmínky použití stránek nebo vlastních ovládacích prvků jsou zaregistrované v podmíněném přístupu, takže se na ně vztahují podmíněné vytváření, aktualizace a odstraňování chráněných akcí. Dočasné odebrání požadavku na zásady z akcí vytvoření, aktualizace a odstranění podmíněného přístupu umožní vytvoření nové stránky použití nebo vlastního ovládacího prvku.
Pokud vaše organizace vyvinula aplikaci, která volá rozhraní Microsoft Graph API, aby prováděla chráněnou akci, měli byste si projít ukázku kódu a zjistit, jak zpracovat výzvu deklarací identity pomocí podrobného ověřování. Další informace najdete v příručce pro vývojáře k kontextu ověřování podmíněného přístupu.
Osvědčené postupy
Tady je několik osvědčených postupů pro používání chráněných akcí.
Mít účet tísňového volání
Při konfiguraci zásad podmíněného přístupu pro chráněné akce nezapomeňte mít účet tísňového volání, který je ze zásad vyloučený. To poskytuje zmírnění rizik proti náhodnému uzamčení.
Přesunutí zásad rizik uživatelů a přihlašování do podmíněného přístupu
Oprávnění podmíněného přístupu se nepoužívají při správě zásad rizik microsoft Entra ID Protection. Doporučujeme přesunout zásady rizik uživatelů a přihlašování do podmíněného přístupu.
Použití pojmenovaných síťových umístění
Pojmenovaná oprávnění síťového umístění se nepoužívají při správě důvěryhodných IP adres vícefaktorového ověřování. Doporučujeme používat pojmenovaná síťová umístění.
Nepoužívejte chráněné akce k blokování přístupu na základě členství v identitě nebo skupině.
Chráněné akce slouží k použití požadavku na přístup k provedení chráněné akce. Nejsou určeny k blokování použití oprávnění pouze na základě identity uživatele nebo členství ve skupině. Kdo má přístup ke konkrétním oprávněním, je rozhodnutí o autorizaci a mělo by být řízeno přiřazením role.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.