Was sind geschützte Aktionen in der Microsoft Entra-ID?
Geschützte Aktionen in Microsoft Entra ID sind Berechtigungen mit zugewiesenen Richtlinien für bedingten Zugriff. Wenn ein Benutzer versucht, eine geschützte Aktion auszuführen, muss er zuerst die Richtlinien für den bedingten Zugriff erfüllen, die den erforderlichen Berechtigungen zugewiesen sind. Um Administratoren beispielsweise das Aktualisieren von Richtlinien für den bedingten Zugriff zu ermöglichen, können Sie vorschreiben, dass sie zuerst die Phishing-beständige MFA--Richtlinie erfüllen.
Dieser Artikel bietet einen Überblick über geschützte Aktionen und erklärt, wie man mit ihrer Nutzung beginnt.
Warum geschützte Aktionen verwenden?
Sie verwenden geschützte Aktionen, wenn Sie eine zusätzliche Schutzebene hinzufügen möchten. Geschützte Aktionen können auf Berechtigungen angewendet werden, die einen starken Richtlinienschutz für bedingten Zugriff erfordern, unabhängig von der verwendeten Rolle oder der Berechtigung des Benutzers. Da die Richtlinienerzwingung zum Zeitpunkt auftritt, zu dem der Benutzer versucht, die geschützte Aktion auszuführen und nicht während der Benutzeranmeldung oder Regelaktivierung, werden Benutzer nur bei Bedarf aufgefordert.
Welche Richtlinien werden in der Regel bei geschützten Aktionen angewendet?
Wir empfehlen die Verwendung der mehrstufigen Authentifizierung für alle Konten, insbesondere Konten mit privilegierten Rollen. Geschützte Aktionen können verwendet werden, um zusätzliche Sicherheit zu erfordern. Nachfolgend finden Sie einige gängigere Richtlinien für den bedingten Zugriff.
- Stärkere MFA-Authentifizierungsmethoden, z. B.: Passwortlose MFA- oder phishingresistente MFA-,
- Arbeitsstationen mit privilegiertem Zugriff unter Verwendung von Gerätefiltern in Richtlinien für bedingten Zugriff
- Kürzere Sitzungstimeouts mithilfe von Sitzungssteuerelementen für die Anmeldehäufigkeit in Richtlinien für bedingten Zugriff
Welche Berechtigungen können mit geschützten Aktionen verwendet werden?
Richtlinien für bedingten Zugriff können auf eingeschränkte Berechtigungen angewendet werden. Sie können geschützte Aktionen in den folgenden Bereichen verwenden:
- Verwaltung von Richtlinien für bedingten Zugriff
- Mandantenübergreifende Zugriffseinstellungenverwaltung
- Festes Löschen einiger Verzeichnisobjekte
- Benutzerdefinierte Regel zum Bestimmen von Netzwerkadressen
- Verwaltung geschützter Aktionen
Dies ist der erste Satz von Berechtigungen:
| Erlaubnis | Beschreibung |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften für Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften für Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualisieren der Einstellungen für die Microsoft Entra B2B Collaboration der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualisieren Sie Mandanteneinschränkungen der standardmäßigen mandantenübergreifenden Zugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualisieren Sie die Einstellungen für die Microsoft Entra B2B Collaboration der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualisieren Sie Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren von cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Löschen einer mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualisieren der Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner |
| microsoft.directory/deletedItems/delete | Dauerhaftes Löschen von Objekten, die nicht mehr wiederhergestellt werden können |
| microsoft.directory/namedLocations/basic/update | Aktualisieren grundlegender Eigenschaften von benutzerdefinierten Regeln, die Netzwerkstandorte definieren |
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aktualisieren des Authentifizierungskontexts für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) |
Löschen von Verzeichnisobjekten
Die Microsoft Entra-ID unterstützt zwei Arten von Löschvorgängen für die meisten Verzeichnisobjekte: vorläufiges Löschen und endgültiges Löschen. Wenn ein Verzeichnisobjekt vorläufig gelöscht wird, werden das Objekt, die Eigenschaftswerte und Beziehungen für 30 Tage im Papierkorb beibehalten. Ein vorläufig gelöschtes Objekt kann mit derselben ID wiederhergestellt werden, und alle Eigenschaftswerte und Beziehungen bleiben erhalten. Wenn ein vorläufig gelöschtes Objekt endgültig gelöscht wird, wird das Objekt endgültig gelöscht und kann nicht mit derselben Objekt-ID neu erstellt werden.
Um versehentliche oder böswillige endgültige Löschungen einiger vorläufig gelöschten Verzeichnisobjekte aus dem Papierkorb und den damit verbundenen dauerhaften Datenverlust zu verhindern, können Sie eine geschützte Aktion für die folgende Berechtigung hinzufügen. Dieser Löschvorgang gilt für Benutzer, Microsoft 365-Gruppen und Anwendungen.
- microsoft.directory/deletedItems/delete
Wie lassen sich geschützte Aktionen mit der Aktivierung von Rollen in der Privileged Identity Management vergleichen?
Die Rollenaktivierung von „Privileged Identity Management“ kann auch Richtlinien für bedingten Zugriff zugewiesen werden. Diese Funktion ermöglicht die Richtlinienerzwingung nur, wenn ein Benutzer eine Rolle aktiviert und den umfassendsten Schutz bietet. Geschützte Aktionen werden nur dann erzwungen, wenn ein Benutzer eine Aktion durchführt, die Berechtigungen mit der ihm zugewiesenen Richtlinie für bedingten Zugriff erfordert. Geschützte Aktionen ermöglichen das Schützen von Berechtigungen mit hoher Auswirkung, unabhängig von einer Benutzerrolle. Die Privileged Identity Management-Rollenaktivierung und geschützte Aktionen können zusammen verwendet werden, um eine stärkere Abdeckung zu gewährleisten.
Schritte zur Verwendung geschützter Aktionen
Anmerkung
Sie sollten diese Schritte in der folgenden Sequenz ausführen, um sicherzustellen, dass geschützte Aktionen ordnungsgemäß konfiguriert und erzwungen werden. Wenn Sie dieser Reihenfolge nicht folgen, kann es zu unerwartetem Verhalten kommen, zum Beispiel, dass wiederholt aufgefordert wird, sich beierneut zu authentifizieren.
Berechtigungen überprüfen
Überprüfen Sie, ob Ihnen die rollen Administrator für bedingten Zugriff oder Sicherheitsadministrator zugewiesen sind. Falls nicht, wenden Sie sich an Ihren Administrator, um die entsprechende Rolle zuzuweisen.
Konfigurieren der „Conditional Access”-Richtlinie
Konfigurieren Sie einen Authentifizierungskontext für bedingten Zugriff und eine zugeordnete Richtlinie für bedingten Zugriff. Geschützte Aktionen verwenden einen Authentifizierungskontext, der die Richtlinienerzwingung für feinkörnige Ressourcen in einem Dienst ermöglicht, z. B. Microsoft Entra-Berechtigungen. Eine gute Richtlinie, mit der sie beginnen kann, besteht darin, kennwortlose MFA zu erfordern und ein Notfallkonto auszuschließen. Weitere Informationen
Hinzufügen von geschützten Aktionen
Fügen Sie geschützte Aktionen hinzu, indem Sie den ausgewählten Berechtigungen Kontextwerte für die Authentifizierung für bedingten Zugriff zuweisen. Mehr erfahren
Testen geschützter Aktionen
Melden Sie sich als Benutzer an, und testen Sie die Benutzeroberfläche, indem Sie die geschützte Aktion ausführen. Sie sollten aufgefordert werden, die Richtlinienanforderungen für den bedingten Zugriff zu erfüllen. Wenn die Richtlinie z. B. eine mehrstufige Authentifizierung erfordert, sollten Sie zur Anmeldeseite umgeleitet und zur sicheren Authentifizierung aufgefordert werden. Mehr erfahren
Was geschieht mit geschützten Aktionen und Anwendungen?
Wenn eine Anwendung oder ein Dienst versucht, eine Schutzaktion auszuführen, muss sie in der Lage sein, die erforderliche Richtlinie für bedingten Zugriff zu verarbeiten. In einigen Fällen muss ein Benutzer möglicherweise eingreifen und die Richtlinie erfüllen. Sie können beispielsweise erforderlich sein, um die mehrstufige Authentifizierung abzuschließen. Die folgenden Anwendungen unterstützen die schrittweise Authentifizierung für geschützte Aktionen:
- Microsoft Entra-Administratorfunktionen für die Aktionen im Microsoft Entra Admin Center
- Microsoft Graph PowerShell
- Graph-Tester
Es gibt einige bekannte und erwartete Einschränkungen. Die folgenden Anwendungen schlagen fehl, wenn sie versuchen, eine geschützte Aktion auszuführen.
- Azure PowerShell
- Azure AD PowerShell
- Erstellen einer neuen Seite mit Nutzungsbedingungen oder eines benutzerdefinierten Steuerelements im Microsoft Entra Admin Center Neue Nutzungsbedingungsseiten oder benutzerdefinierte Steuerelemente werden bei Bedingtem Zugriff registriert und unterliegen daher geschützten Aktionen für Erstellen, Aktualisieren und Löschen. Durch das vorübergehende Entfernen der Richtlinienanforderung aus der Erstellungs-, Aktualisierungs- und Löschaktion für bedingten Zugriff wird die Erstellung einer neuen Nutzungsbedingungenseite oder eines benutzerdefinierten Steuerelements ermöglicht.
Wenn Ihre Organisation eine Anwendung entwickelt hat, die die Microsoft Graph-API aufruft, um eine geschützte Aktion auszuführen, sollten Sie das Codebeispiel für die Behandlung einer Forderungsaufforderung mithilfe der schrittweisen Authentifizierung überprüfen. Weitere Informationen finden Sie in Entwicklerhandbuch für den Authentifizierungskontext für bedingten Zugriff.
Bewährte Methoden
Hier sind einige bewährte Methoden für die Verwendung geschützter Aktionen.
Ein Notfallkonto
Achten Sie beim Konfigurieren von Richtlinien für bedingten Zugriff auf geschützte Aktionen darauf, dass Sie über ein Notfallkonto verfügen, das von der Richtlinie ausgeschlossen ist. Dadurch wird eine Gegenmaßnahme gegen versehentliche Sperrungen bereitgestellt.
Verschieben von Benutzer- und Anmelderisikorichtlinien zu Bedingter Zugriff
Berechtigungen für bedingten Zugriff werden beim Verwalten von Microsoft Entra ID Protection-Risikorichtlinien nicht verwendet. Es wird empfohlen, Benutzer- und Anmelderisikorichtlinien in den Bedingten Zugriff zu verschieben.
Benannte Netzwerkspeicherorte verwenden
Berechtigungen für benannte Netzwerkadressen werden bei der Verwaltung vertrauenswürdiger IP-Adressen für die Multi-Faktor-Authentifizierung nicht verwendet. Es wird empfohlen, benannte Netzwerkadressen zu verwenden.
Verwenden Sie keine geschützten Aktionen, um den Zugriff basierend auf Identitäts- oder Gruppenmitgliedschaft zu blockieren
Geschützte Aktionen werden verwendet, um eine Zugriffsanforderung zum Ausführen einer geschützten Aktion anzuwenden. Sie sind nicht dazu gedacht, die Verwendung einer Berechtigung nur basierend auf der Benutzeridentität oder Gruppenmitgliedschaft zu blockieren. Wer Zugriff auf bestimmte Berechtigungen hat, ist eine Autorisierungsentscheidung und sollte von der Rollenzuweisung gesteuert werden.
Lizenzanforderungen
Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.