Beveiligde acties toevoegen, testen of verwijderen in Microsoft Entra-id

Beveiligde acties in Microsoft Entra ID zijn machtigingen die zijn toegewezen aan beleid voor voorwaardelijke toegang dat wordt afgedwongen wanneer een gebruiker probeert een actie uit te voeren. In dit artikel wordt beschreven hoe u beveiligde acties toevoegt, test of verwijdert.

Notitie

Voer deze stappen uit in de volgende volgorde om ervoor te zorgen dat beveiligde acties correct zijn geconfigureerd en afgedwongen. Als u deze volgorde niet volgt, krijgt u mogelijk onverwacht gedrag, zoals herhaalde aanvragen ontvangt omopnieuw te verifiëren.

Voorwaarden

Als u beveiligde acties wilt toevoegen of verwijderen, moet u het volgende hebben:

• Licentie voor Microsoft Entra ID P1 of P2
• Beheerder voor voorwaardelijke toegang of beveiligingsbeheerder rol

Stap 1: Beleid voor voorwaardelijke toegang configureren

Beveiligde acties maken gebruik van een verificatiecontext voor voorwaardelijke toegang, dus u moet een verificatiecontext configureren en toevoegen aan een beleid voor voorwaardelijke toegang. Als u al een beleid met een verificatiecontext hebt, kunt u doorgaan naar de volgende sectie.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Selecteer Protection>voorwaardelijke toegang>verificatiecontext>verificatiecontext.

3. Selecteer Nieuwe verificatiecontext om het deelvenster Verificatiecontext toevoegen te openen.

4. Voer een naam en beschrijving in en selecteer Opslaan.

   

5. Selecteer Beleid>Nieuw beleid om een nieuw beleid te maken.

6. Maak een nieuw beleid en selecteer uw verificatiecontext.

   Zie voorwaardelijke toegang: cloud-apps, acties en verificatiecontextvoor meer informatie.

   

Stap 2: Beveiligde acties toevoegen

Als u beveiligingsacties wilt toevoegen, wijst u een beleid voor voorwaardelijke toegang toe aan een of meer machtigingen met behulp van een context voor voorwaardelijke toegangsverificatie.

1. Selecteer Protection>Conditional Access>Beleid(en).

2. Zorg ervoor dat de status van het voorwaardelijk toegangsbeleid dat je wilt gebruiken met je beveiligde actie is ingesteld op Aan en niet op Uit of Alleen rapporteren.

3. Selecteer Identity>Roles & admins>Protected actions.

   

4. Selecteer Beveiligde acties toevoegen om een nieuwe beveiligde actie toe te voegen.

   Als Beveiligde acties toevoegen is uitgeschakeld, controleert u of u de rol Beheerder voor voorwaardelijke toegang of Beveiligingsbeheerder hebt toegewezen. Zie Problemen met beveiligde acties oplossenvoor meer informatie.

5. Selecteer een geconfigureerde context voor voorwaardelijke toegangsverificatie.

6. Selecteer Selecteer machtigingen en kies de machtigingen die u met voorwaardelijke toegang wilt beveiligen.

   

7. Selecteer toevoegen.

8. Wanneer u klaar bent, selecteert u Opslaan.

   De nieuwe beveiligde acties worden weergegeven in de lijst met beveiligde acties

Stap 3: Beveiligde acties testen

Wanneer een gebruiker een beveiligde actie uitvoert, moet deze voldoen aan de beleidsvereisten voor voorwaardelijke toegang. In deze sectie ziet u de ervaring voor een gebruiker die wordt gevraagd om aan een beleid te voldoen. In dit voorbeeld moet de gebruiker worden geverifieerd met een FIDO-beveiligingssleutel voordat het beleid voor voorwaardelijke toegang kan worden bijgewerkt.

1. Meld u aan bij het Microsoft Entra-beheercentrum als gebruiker die aan het beleid moet voldoen.

2. Selecteer Protection>Voorwaardelijke Toegang.

3. Selecteer een beleid voor voorwaardelijke toegang om dit weer te geven.

   Het bewerken van beleid is uitgeschakeld omdat niet aan de verificatievereisten is voldaan. Onderaan de pagina ziet u de volgende opmerking:

   Bewerken wordt beveiligd door een extra toegangsvereiste. Klik hier om opnieuw te verifiëren.

   

4. Selecteer Klik hier omopnieuw te verifiëren.

5. Voltooi de verificatievereisten wanneer de browser wordt omgeleid naar de aanmeldingspagina van Microsoft Entra.

   

   Nadat de verificatievereisten zijn voltooid, kan het beleid worden bewerkt.

6. Bewerk het beleid en sla wijzigingen op.

   

Beveiligde acties verwijderen

Als u beveiligingsacties wilt verwijderen, verwijdert u de beleidsvereisten voor voorwaardelijke toegang van een machtiging.

1. Selecteer Identity>Roles & admins>Protected actions.

2. Zoek en selecteer het machtigingsbeleid voor voorwaardelijke toegang om de toewijzing ongedaan te maken.

   

3. Selecteer op de werkbalk verwijderen.

   Nadat u de beveiligde actie hebt verwijderd, heeft de machtiging geen vereiste voor voorwaardelijke toegang. Er kan een nieuw beleid voor voorwaardelijke toegang worden toegewezen aan de machtiging.

Microsoft Graph

Beveiligde acties toevoegen

Beveiligde acties worden toegevoegd door een verificatiecontextwaarde toe te wijzen aan een machtiging. Verificatiecontextwaarden die beschikbaar zijn in de tenant, kunnen worden gedetecteerd door de authenticationContextClassReference-API aan te roepen.

Verificatiecontext kan worden toegewezen aan een machtiging met behulp van het unifiedRbacResourceAction API beta-eindpunt:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

In het volgende voorbeeld ziet u hoe u de verificatiecontext-id kunt ophalen die is ingesteld voor de machtiging microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Resourceacties met de eigenschap isAuthenticationContextSettable ingesteld op true support authentication context. Resourceacties met de waarde van de eigenschap authenticationContextId zijn de authenticatiecontext-ID die aan de actie is toegewezen.

Als u de eigenschappen isAuthenticationContextSettable en authenticationContextId wilt bekijken, moeten ze worden opgenomen in de select-instructie bij de aanvraag bij de resource-actie-API.

Problemen met beveiligde acties oplossen

Symptoom: er kunnen geen verificatiecontextwaarden worden geselecteerd

Wanneer u een verificatiecontext voor voorwaardelijke toegang probeert te selecteren, zijn er geen waarden beschikbaar die u kunt selecteren.

Oorzaak

Er zijn geen contextwaarden voor voorwaardelijke toegang ingeschakeld in de tenant.

Solution

Schakel verificatiecontext voor de tenant in door een nieuwe verificatiecontext toe te voegen. Zorg ervoor dat Publiceren naar apps is ingeschakeld, zodat de waarde beschikbaar is om te worden geselecteerd. Zie verificatiecontextvoor meer informatie.

Symptoom - Beleid wordt niet geactiveerd

In sommige gevallen ontvangen gebruikers mogelijk niet de verwachte melding nadat een beveiligde actie is toegevoegd. Als beleid bijvoorbeeld meervoudige verificatie vereist, ziet een gebruiker mogelijk geen aanmeldingsprompt.

oorzaak 1

De gebruiker is niet toegewezen aan het beleid voor voorwaardelijke toegang dat wordt gebruikt voor beveiligde actie.

Oplossing 1

Gebruik het hulpprogramma Voorwaardelijke Toegang - What If What If om te controleren of aan de gebruiker beleid is toegewezen. Wanneer u het hulpprogramma gebruikt, selecteert u de gebruiker en de verificatiecontext die is gebruikt met de beveiligde actie. Selecteer What If en controleer of het verwachte beleid wordt vermeld in de Beleidsregels die van toepassing zijn tabel. Als het beleid niet van toepassing is, controleert u de voorwaarde voor gebruikerstoewijzing van het beleid en voegt u de gebruiker toe.

Oorzaak 2

De gebruiker heeft eerder voldaan aan de beleidsregels. Bijvoorbeeld de voltooide meervoudige verificatie eerder in dezelfde sessie.

Solution 2

Controleer de aanmeldingsgebeurtenissen van Microsoft Entra om problemen op te lossen. De aanmeldingsgebeurtenissen bevatten details over de sessie, waaronder als de gebruiker al meervoudige verificatie heeft voltooid. Bij het oplossen van problemen met de aanmeldingslogboeken is het ook handig om de pagina met beleidsdetails te controleren om te bevestigen dat er een verificatiecontext is aangevraagd.

Symptoom - Beleid is nooit tevreden

Wanneer u de vereisten voor het beleid voor voorwaardelijke toegang probeert uit te voeren, wordt nooit voldaan aan het beleid en wordt u steeds gevraagd om opnieuw te verifiëren.

Oorzaak

Het beleid voor voorwaardelijke toegang is niet gemaakt of de beleidsstatus is Uitgeschakeld of Alleen rapporteren.

Solution

Maak het beleid voor voorwaardelijke toegang als dit niet bestaat of stel de status in op Op.

Als u geen toegang hebt tot de pagina Voorwaardelijke toegang vanwege de beveiligde actie en herhaalde aanvragen om opnieuw te verifiëren, gebruikt u de volgende koppeling om de pagina Voorwaardelijke toegang te openen.

• https://aka.ms/MSALProtectedActions

Symptoom: geen toegang om beveiligde acties toe te voegen

Wanneer u bent aangemeld, bent u niet gemachtigd om beveiligde acties toe te voegen of te verwijderen.

Oorzaak

U bent niet gemachtigd om beveiligde acties te beheren.

Solution

Zorg ervoor dat u de rol van Conditional Access Administrator of de rol van Security Administrator hebt toegewezen.

Symptoom - fout geretourneerd bij het gebruik van PowerShell om een beveiligde actie uit te voeren

Wanneer u PowerShell gebruikt om een beveiligde actie uit te voeren, wordt er een fout geretourneerd en is er geen prompt om te voldoen aan het beleid voor voorwaardelijke toegang.

Oorzaak

Microsoft Graph PowerShell biedt ondersteuning voor stapsgewijze verificatie. Dit is vereist om beleidsprompts toe te staan. Azure en Azure AD Graph PowerShell worden niet ondersteund voor stapsgewijze verificatie.

Solution

Zorg ervoor dat u Microsoft Graph PowerShell gebruikt.

Volgende stappen

• Wat zijn beveiligde acties in Microsoft Entra ID?
• context voor verificatie van voorwaardelijke toegang