Quali sono le azioni protette in Microsoft Entra ID?
Le azioni protette in Microsoft Entra ID sono autorizzazioni assegnate criteri di accesso condizionale. Quando un utente tenta di eseguire un'azione protetta, deve prima soddisfare i criteri di accesso condizionale assegnati alle autorizzazioni necessarie. Ad esempio, per consentire agli amministratori di aggiornare i criteri di accesso condizionale, è possibile richiedere che soddisfino prima i criteri di autenticazione a più fattori resistenti al phishing.
Questo articolo offre una panoramica dell'azione protetta e di come iniziare a usarle.
Perché usare azioni protette?
Le azioni protette vengono usate quando si vuole aggiungere un ulteriore livello di protezione. Le azioni protette possono essere applicate alle autorizzazioni che richiedono una protezione avanzata dei criteri di accesso condizionale, indipendentemente dal ruolo usato o dal modo in cui l'utente ha concesso l'autorizzazione. Poiché l'imposizione dei criteri viene eseguita al momento in cui l'utente tenta di eseguire l'azione protetta e non durante l'accesso dell'utente o l'attivazione di regole, gli utenti vengono richiesti solo quando necessario.
Quali criteri vengono in genere usati con azioni protette?
È consigliabile usare l'autenticazione a più fattori in tutti gli account, in particolare gli account con ruoli con privilegi. Le azioni protette possono essere usate per richiedere una maggiore sicurezza. Ecco alcuni criteri di accesso condizionale più comuni.
- Punti di forza di autenticazione MFA più efficaci, ad esempio MFA senza password o MFA resistente al phishing,
- Le workstation con accesso privilegiato, utilizzando la politica di Accesso Condizionale e i filtri dei dispositivi.
- Timeout delle sessioni più brevi, utilizzando i controlli di accesso condizionale per la frequenza di accesso .
Quali autorizzazioni possono essere usate con azioni protette?
I criteri di accesso condizionale possono essere applicati a un set limitato di autorizzazioni. È possibile usare le azioni protette nelle aree seguenti:
- Gestione dei criteri di accesso condizionale
- Gestione delle impostazioni di accesso tra tenant
- Eliminazione rigida di alcuni oggetti directory
- Regole personalizzate che definiscono i percorsi di rete
- Gestione delle azioni protette
Ecco il set iniziale di autorizzazioni:
| Permesso | Descrizione |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminare i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/elimina | Eliminare i criteri di accesso condizionale |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare i criteri di accesso tra tenant agli endpoint cloud consentiti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aggiornare le impostazioni di connessione diretta dei criteri di accesso predefiniti tra tenant di Microsoft Entra B2B |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di riunione di Teams cross-cloud del criterio di accesso cross-tenant predefinito. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiorna le restrizioni del tenant della politica predefinita di accesso tra tenant. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra relative ai criteri di accesso cross-tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B nella politica di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni delle riunioni di Teams su piattaforme cloud diverse nei criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni per tenant della politica di accesso tra tenant per i partner. |
| microsoft.directory/deletedItems/delete | Eliminare definitivamente gli oggetti che non possono più essere ripristinati |
| microsoft.directory/namedLocations/basic/update | Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/create | Creare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/delete | Eliminare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aggiornare il contesto di autenticazione dell'accesso condizionale per le azioni delle risorse nel controllo degli accessi basato sui ruoli di Microsoft 365 |
Eliminazione di oggetti directory
Microsoft Entra ID supporta due tipi di eliminazione per la maggior parte degli oggetti directory: eliminazione temporanea ed eliminazione permanente. Quando un oggetto della directory viene eliminato temporaneamente, l'oggetto, i valori delle sue proprietà e relazioni vengono mantenuti nel Cestino per 30 giorni. È possibile ripristinare un oggetto eliminato temporaneamente con lo stesso ID e tutti i valori e le relazioni delle proprietà intatti. Quando un oggetto eliminato temporaneamente viene eliminato definitivamente, l'oggetto viene eliminato definitivamente e non può essere ricreato con lo stesso ID oggetto.
Per proteggersi da eliminazioni accidentali o dannose di alcuni oggetti di directory eliminati temporaneamente dal Cestino e dalla perdita permanente di dati, aggiungere un'azione protetta per la seguente autorizzazione. Questa eliminazione si applica agli utenti, ai gruppi di Microsoft 365 e alle applicazioni.
- microsoft.directory/deletedItems/delete
In che modo le azioni protette vengono confrontate con l'attivazione del ruolo Privileged Identity Management?
L'attivazione del ruolo Privileged Identity Management può anche essere assegnata a criteri di Accesso Condizionale. Questa funzionalità consente l'imposizione dei criteri solo quando un utente attiva un ruolo, fornendo la protezione più completa. Le azioni protette vengono applicate solo quando un utente esegue un'azione che richiede autorizzazioni con i criteri di accesso condizionale assegnati. Le azioni protette consentono di proteggere le autorizzazioni ad alto impatto, indipendentemente da un ruolo utente. L'attivazione del ruolo Privileged Identity Management e le azioni protette possono essere usate insieme per una maggiore copertura.
Passaggi per l'uso di azioni protette
Nota
È necessario eseguire questi passaggi nella sequenza seguente per assicurarsi che le azioni protette siano configurate e applicate correttamente. Se non si segue questo ordine, è possibile che si verifichi un comportamento imprevisto, ad esempio ricevere richieste ripetute per autenticare nuovamente.
Controllare le autorizzazioni
Verifica che tu sia assegnato ai ruoli di amministratore dell'accesso condizionale o di amministratore della sicurezza. In caso contrario, rivolgersi all'amministratore per assegnare il ruolo appropriato.
Configurare i criteri di accesso condizionale
Configurare un contesto di autenticazione dell'accesso condizionale e un criterio di accesso condizionale associato. Le azioni protette usano un contesto di autenticazione, che consente l'applicazione dei criteri per le risorse con granularità fine in un servizio, ad esempio le autorizzazioni di Microsoft Entra. Un buon criterio da usare consiste nel richiedere l'autenticazione a più fattori senza password ed escludere un account di emergenza. Altre informazioni
Aggiungere azioni protette
Aggiungere azioni protette assegnando i valori del contesto di autenticazione dell'accesso condizionale alle autorizzazioni selezionate. Altre informazioni
Testare le azioni protette
Accedere come utente e testare l'esperienza utente eseguendo l'azione protetta. Verrà richiesto di soddisfare i requisiti dei criteri di accesso condizionale. Ad esempio, se il criterio richiede l'autenticazione a più fattori, si dovrebbe essere reindirizzati alla pagina di accesso e viene richiesta l'autenticazione avanzata. Altre informazioni
Cosa accade con le azioni e le applicazioni protette?
Se un'applicazione o un servizio tenta di eseguire un'azione di protezione, deve essere in grado di gestire i criteri di accesso condizionale necessari. In alcuni casi, un utente potrebbe dover intervenire e soddisfare i criteri. Ad esempio, potrebbero essere necessari per completare l'autenticazione a più fattori. Le applicazioni seguenti supportano l'autenticazione dettagliata per le azioni protette:
- Esperienze di amministratore di Microsoft Entra per le azioni nell'interfaccia di amministrazione di Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Esistono alcune limitazioni note e previste. Le applicazioni seguenti avranno esito negativo se tentano di eseguire un'azione protetta.
- Azure PowerShell
- Azure AD PowerShell
- Creazione di una nuova pagina condizioni per l' utilizzo o controllo personalizzato nell'interfaccia di amministrazione di Microsoft Entra. Le nuove pagine per l'utilizzo o i controlli personalizzati vengono registrati con l'accesso condizionale, pertanto sono soggette a azioni protette di creazione, aggiornamento ed eliminazione dell'accesso condizionale. Rimuovendo temporaneamente il requisito dei criteri dalle azioni di creazione, aggiornamento ed eliminazione dell'accesso condizionale consentirà la creazione di una nuova pagina per l'utilizzo o di un controllo personalizzato.
Se l'organizzazione ha sviluppato un'applicazione che chiama l'API Microsoft Graph per eseguire un'azione protetta, è necessario esaminare l'esempio di codice per gestire una richiesta di attestazioni usando l'autenticazione dettagliata. Per ulteriori informazioni, consultare la guida per gli sviluppatori sul contesto di autenticazione dell'accesso condizionale .
Procedure consigliate
Ecco alcune procedure consigliate per l'uso di azioni protette.
Avere un account di emergenza
Quando si configurano i criteri di accesso condizionale per le azioni protette, assicurarsi di avere un account di emergenza escluso dai criteri. In questo modo viene fornita una mitigazione contro il blocco accidentale.
Spostare i criteri di rischio dell'accesso utente a Accesso Condizionale
Le autorizzazioni di accesso condizionale non vengono usate per la gestione dei criteri di rischio di Microsoft Entra ID Protection. È consigliabile spostare i criteri di rischio di accesso e utente all'accesso condizionale.
Usare posizioni di rete denominate
Le autorizzazioni delle posizioni di rete denominate non vengono utilizzate nella gestione degli indirizzi IP attendibili per l'autenticazione a più fattori. Si consiglia di utilizzare i percorsi di rete denominati .
Non usare azioni protette per bloccare l'accesso in base all'identità o all'appartenenza a gruppi
Le azioni protette vengono usate per applicare un requisito di accesso per eseguire un'azione protetta. Non sono destinati a bloccare l'uso di un'autorizzazione solo in base all'identità utente o all'appartenenza a gruppi. Chi ha accesso a autorizzazioni specifiche è una decisione di autorizzazione e deve essere controllato dall'assegnazione di ruolo.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza appropriata per i requisiti, vedere Confrontare le funzionalità disponibili a livello generale di Microsoft Entra ID.