Aggiungere, testare o rimuovere azioni protette in Microsoft Entra ID
Azioni protette in Microsoft Entra ID sono autorizzazioni a cui sono stati assegnati criteri di accesso condizionale, applicati quando un utente tenta di eseguire un'azione. Questo articolo descrive come aggiungere, testare o rimuovere azioni protette.
Nota
È necessario eseguire questi passaggi nella sequenza seguente per assicurarsi che le azioni protette siano configurate e applicate correttamente. Se non si segue questo ordine, è possibile che si verifichi un comportamento imprevisto, ad esempio ricevere richieste ripetute per autenticare nuovamente.
Prerequisiti
Per aggiungere o rimuovere azioni protette, è necessario disporre di:
- Licenza Microsoft Entra ID P1 o P2
- ruolo di amministratore dell'accesso condizionale o amministratore della sicurezza
Passaggio 1: Configurare i criteri di accesso condizionale
Le azioni protette usano un contesto di autenticazione dell'accesso condizionale, quindi è necessario configurare un contesto di autenticazione e aggiungerlo a un criterio di accesso condizionale. Se si dispone già di un criterio con un contesto di autenticazione, è possibile passare alla sezione successiva.
Accedi al centro di amministrazione di Microsoft Entra.
Selezionare Protezione >Accesso Condizionale>contesto di autenticazione>contesto di autenticazione.
Selezionare Nuovo contesto di autenticazione per aprire il riquadro Aggiungi contesto di autenticazione.
Immettere un nome e una descrizione e quindi selezionare Salva.
Selezionare Criteri>Nuovo criterio per creare un nuovo criterio.
Creare un nuovo criterio e selezionare il contesto di autenticazione.
Per altre informazioni, vedere accesso condizionale : app cloud, azioni e contesto di autenticazione.
Passaggio 2: Aggiungere azioni protette
Per aggiungere azioni di protezione, assegnare un criterio di accesso condizionale a una o più autorizzazioni usando un contesto di autenticazione dell'accesso condizionale.
Selezionare Protezione>Criteri di accesso condizionale>.
Assicurarsi che lo stato della politica di accesso condizionale che si intende usare con l'azione protetta sia impostata su On e non Off o Report-only.
Selezionare Identità>Ruoli & amministratori>Azioni protette.
Selezionare Aggiungi azioni protette per aggiungere una nuova azione protetta.
Se l'opzione Aggiungi azioni protette è disabilitata, assicurati di essere assegnato al ruolo di Amministratore per l'accesso condizionale o Amministratore della sicurezza. Per altre informazioni, vedere Risolvere i problemi relativi alle azioni protette.
Selezionare un contesto di autenticazione dell'accesso condizionale configurato.
Selezionare Selezionare le autorizzazioni e selezionare le autorizzazioni da proteggere con l'accesso condizionale.
Selezionare Aggiungi.
Al termine, selezionare Salva.
Le nuove azioni protette vengono visualizzate nell'elenco delle azioni protette
Passaggio 3: Testare le azioni protette
Quando un utente esegue un'azione protetta, dovrà soddisfare i requisiti dei criteri di accesso condizionale. Questa sezione illustra l'esperienza per un utente che viene richiesto di soddisfare un criterio. In questo esempio, l'utente deve eseguire l'autenticazione con una chiave di sicurezza FIDO prima di poter aggiornare i criteri di accesso condizionale.
Accedere all'interfaccia di amministrazione di Microsoft Entra come utente che deve soddisfare i criteri.
Selezionare Protezione>Accesso Condizionale.
Selezionare un criterio di accesso condizionale per visualizzarlo.
La modifica dei criteri è disabilitata perché i requisiti di autenticazione non sono stati soddisfatti. Nella parte inferiore della pagina è riportata la nota seguente:
La modifica è protetta da un requisito di accesso aggiuntivo. Fare clic qui per riautenticare.
Selezionare Fare clic qui per autenticare nuovamente.
Completare i requisiti di autenticazione quando il browser viene reindirizzato alla pagina di accesso di Microsoft Entra.
Dopo aver completato i requisiti di autenticazione, è possibile modificare i criteri.
Modificare il criterio e salvare le modifiche.
Rimuovere azioni protette
Per rimuovere le azioni di protezione, annullare l'assegnazione dei requisiti dei criteri di accesso condizionale da un'autorizzazione.
Selezionare Identità>Ruoli & amministratori>Azioni protette.
Trovare e selezionare la politica di accesso condizionale per annullare l'assegnazione.
Sulla barra degli strumenti selezionare Rimuovi.
Dopo aver rimosso l'azione protetta, l'autorizzazione non avrà un requisito di accesso condizionale. È possibile assegnare nuovi criteri di accesso condizionale all'autorizzazione.
Microsoft Graph
Aggiungere azioni protette
Le azioni protette vengono aggiunte assegnando un valore di contesto di autenticazione a un'autorizzazione. I valori del contesto di autenticazione disponibili nel tenant possono essere individuati chiamando l'API authenticationContextClassReference.
Il contesto di autenticazione può essere assegnato a un permesso usando l'endpoint beta dell'API unifiedRbacResourceAction:
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Nell'esempio seguente viene illustrato come ottenere l'ID del contesto di autenticazione impostato per l'autorizzazione microsoft.directory/conditionalAccessPolicies/delete.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
Le azioni delle risorse con la proprietà isAuthenticationContextSettable impostata su true supportano il contesto di autenticazione. Le azioni delle risorse con il valore della proprietà authenticationContextId sono l'ID del contesto di autenticazione assegnato all'azione.
Per visualizzare le proprietà isAuthenticationContextSettable e authenticationContextId, devono essere incluse nell'istruzione select quando si effettua la richiesta all'API dell'azione della risorsa.
Risolvere i problemi relativi alle azioni protette
Sintomo: non è possibile selezionare alcun valore di contesto di autenticazione
Quando si tenta di selezionare un contesto di autenticazione dell'accesso condizionale, non sono disponibili valori da selezionare.
causa
Nel tenant non sono stati abilitati valori di contesto di autenticazione dell'accesso condizionale.
soluzione
Abilitare il contesto di autenticazione per il tenant aggiungendo un nuovo contesto di autenticazione. Assicurarsi che l'opzione Pubblica nelle app sia selezionata, affinché il valore sia disponibile per la selezione. Per ulteriori informazioni, consultare il contesto di autenticazione .
Sintomo: la politica non viene attivata
In alcuni casi, dopo l'aggiunta di un'azione protetta, gli utenti potrebbero non essere richiesti come previsto. Ad esempio, se i criteri richiedono l'autenticazione a più fattori, un utente potrebbe non visualizzare una richiesta di accesso.
causa 1
L'utente non è stato assegnato ai criteri di accesso condizionale usati per l'azione protetta.
soluzione 1
Usa lo strumento di analisi 'What If' di Accesso Condizionale per verificare se è stata assegnata una politica all'utente. Quando si usa lo strumento, selezionare l'utente e il contesto di autenticazione usato con l'azione protetta. Selezionare What If (Cosa succede) e verificare che i criteri previsti siano elencati nella tabella Policies che verranno applicati. Se il criterio non si applica, controlla la condizione di assegnazione utente del criterio e aggiungi l'utente.
causa 2
L'utente ha precedentemente soddisfatto i criteri. Ad esempio, l'autenticazione a più fattori completata in precedenza nella stessa sessione.
soluzione 2
Controllare gli eventi di accesso Microsoft Entra per risolvere i problemi. Gli eventi di accesso includono informazioni dettagliate sulla sessione, ad esempio se l'utente ha già completato l'autenticazione a più fattori. Quando si esegue la risoluzione dei problemi con i log di accesso, è anche utile controllare la pagina dei dettagli dei criteri per verificare che sia stato richiesto un contesto di autenticazione.
Sintomo - La politica non viene mai soddisfatta
Quando si tenta di eseguire i requisiti per i criteri di accesso condizionale, il criterio non viene mai soddisfatto e si continua a richiedere di ripetere l'autenticazione.
causa
I criteri di accesso condizionale non sono stati creati o lo stato dei criteri è Disattivato o Solo report.
soluzione
Creare i criteri di accesso condizionale se non esiste o impostare lo stato su On.
Se non è possibile accedere alla pagina Accesso condizionale a causa dell'azione protetta e delle richieste ripetute di riautenticazione, usare il collegamento seguente per aprire la pagina Accesso condizionale.
Sintomo - Nessun accesso per aggiungere azioni protette
Quando si accede non si dispone delle autorizzazioni per aggiungere o rimuovere azioni protette.
causa
Non si dispone dell'autorizzazione per gestire le azioni protette.
soluzione
Assicurati che ti sia stato assegnato il ruolo di amministratore dell'accesso condizionale o di amministratore della sicurezza .
Sintomo - Errore restituito tramite PowerShell per eseguire un'azione protetta
Quando si usa PowerShell per eseguire un'azione protetta, viene restituito un errore e non viene richiesto di soddisfare i criteri di accesso condizionale.
causa
Microsoft Graph PowerShell supporta l'autenticazione avanzata, necessaria per consentire gli avvisi di policy. Azure e Azure AD Graph PowerShell non sono supportati per l'autenticazione dettagliata.
Soluzione
Assicurarsi di usare Microsoft Graph PowerShell.