Wat zijn beveiligde acties in Microsoft Entra ID?
Beveiligde acties in Microsoft Entra-id zijn machtigingen waaraan beleid voor voorwaardelijke toegang is toegewezen. Wanneer een gebruiker een beveiligde actie probeert uit te voeren, moet deze eerst voldoen aan het beleid voor voorwaardelijke toegang dat is toegewezen aan de vereiste machtigingen. Als u bijvoorbeeld wilt dat beheerders beleid voor voorwaardelijke toegang kunnen bijwerken, kunt u vereisen dat ze eerst voldoen aan het MFA-beleid dat bestand is tegen phishing.
Dit artikel bevat een overzicht van beveiligde acties en hoe u aan de slag kunt gaan met deze acties.
Waarom beveiligde acties gebruiken?
U gebruikt beveiligde acties wanneer u een extra beveiligingslaag wilt toevoegen. Beveiligde acties kunnen worden toegepast op machtigingen waarvoor een sterke beveiliging van het beleid voor voorwaardelijke toegang is vereist, onafhankelijk van de rol die wordt gebruikt of hoe de gebruiker de machtiging heeft gekregen. Omdat het afdwingen van beleid plaatsvindt op het moment dat de gebruiker probeert de beveiligde actie uit te voeren en niet tijdens het activeren van gebruikersaanmelding of regel, worden gebruikers alleen gevraagd wanneer dat nodig is.
Welke beleidsregels worden doorgaans gebruikt met beveiligde acties?
We raden u aan meervoudige verificatie te gebruiken voor alle accounts, met name accounts met bevoorrechte rollen. Beveiligde acties kunnen worden gebruikt om extra beveiliging te vereisen. Hier volgen enkele algemene sterkere beleidsregels voor voorwaardelijke toegang.
- Sterkere MFA-verificatiesterkten, zoals wachtwoordloze MFA of phishingbestendige MFA,
- Bevoegde toegangswerkstations met behulp van apparaatfilters voor beleid voor voorwaardelijke toegang.
- Kortere sessietime-outs, met behulp van besturingselementen voor de aanmeldingsfrequentie voor voorwaardelijke toegang.
Welke machtigingen kunnen worden gebruikt met beveiligde acties?
Beleidsregels voor voorwaardelijke toegang kunnen worden toegepast op een beperkte set machtigingen. U kunt beveiligde acties in de volgende gebieden gebruiken:
- Beleid voor voorwaardelijke toegang beheren
- Beheer van toegangsinstellingen voor meerdere tenants
- Aangepaste regels voor het definiëren van netwerklocaties
- Beveiligd actiebeheer
Dit is de eerste set machtigingen:
| Machtiging | Beschrijving |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Toegestane cloudeindpunten van het toegangsbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor meerdere tenants bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Instellingen voor directe verbinding met Microsoft Entra B2B bijwerken van het standaardtoegangsbeleid voor meerdere tenants |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Werk de instellingen voor teams-vergaderingen in meerdere clouds bij van het standaardbeleid voor toegang voor meerdere tenants. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Werk tenantbeperkingen van het standaardbeleid voor meerdere tenants bij. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Werk microsoft Entra B2B-samenwerkingsinstellingen voor toegangsbeleid voor meerdere tenants bij voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Werk Microsoft Entra B2B direct connect-instellingen voor toegangsbeleid voor meerdere tenants bij voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Maak toegangsbeleid voor meerdere tenants voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Werk de instellingen voor teams-vergaderingen in meerdere clouds bij van beleid voor toegang tussen tenants voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Verwijder toegangsbeleid voor meerdere tenants voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Werk tenantbeperkingen van toegangsbeleid voor meerdere tenants bij voor partners. |
| microsoft.directory/namedLocations/basic/update | Basiseigenschappen bijwerken van aangepaste regels waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/create | Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/delete | Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Verificatiecontext voor voorwaardelijke toegang bijwerken van resourceacties op basis van rollen (RBAC) van Microsoft 365 |
Hoe worden beveiligde acties vergeleken met de activering van de rol Privileged Identity Management?
Aan privileged Identity Management-rolactivering kunnen ook beleidsregels voor voorwaardelijke toegang worden toegewezen. Met deze mogelijkheid kan beleid alleen worden afgedwongen wanneer een gebruiker een rol activeert, waardoor de meest uitgebreide beveiliging wordt geboden. Beveiligde acties worden alleen afgedwongen wanneer een gebruiker een actie onderneemt waarvoor machtigingen zijn vereist waarvoor beleid voor voorwaardelijke toegang is toegewezen. Met beveiligde acties kunnen machtigingen met een hoge impact worden beveiligd, onafhankelijk van een gebruikersrol. Privileged Identity Management-rolactivering en beveiligde acties kunnen samen worden gebruikt voor een sterkere dekking.
Stappen voor het gebruik van beveiligde acties
Notitie
Voer deze stappen uit in de volgende volgorde om ervoor te zorgen dat beveiligde acties correct zijn geconfigureerd en afgedwongen. Als u deze volgorde niet volgt, krijgt u mogelijk onverwacht gedrag, zoals het ophalen van herhaalde aanvragen om opnieuw te verifiëren.
Machtigingen controleren
Controleer of u de rollen Voorwaardelijke toegang Beheer istrator of Beveiliging Beheer istrator hebt toegewezen. Als dat niet het geval is, neem dan contact op met de beheerder om de juiste rol toe te wijzen.
Beleid voor voorwaardelijke toegang configureren
Configureer een context voor voorwaardelijke toegangsverificatie en een gekoppeld beleid voor voorwaardelijke toegang. Beveiligde acties maken gebruik van een verificatiecontext, waardoor het afdwingen van beleid voor gedetailleerde resources in een service, zoals Microsoft Entra-machtigingen, mogelijk maakt. Een goed beleid om mee te beginnen is het vereisen van wachtwoordloze MFA en het uitsluiten van een account voor noodgevallen. Meer informatie
Beveiligde acties toevoegen
Voeg beveiligde acties toe door contextwaarden voor verificatie voor voorwaardelijke toegang toe te wijzen aan geselecteerde machtigingen. Meer informatie
Beveiligde acties testen
Meld u aan als gebruiker en test de gebruikerservaring door de beveiligde actie uit te voeren. U wordt gevraagd om te voldoen aan de beleidsvereisten voor voorwaardelijke toegang. Als voor het beleid bijvoorbeeld meervoudige verificatie is vereist, moet u worden omgeleid naar de aanmeldingspagina en wordt u gevraagd om sterke verificatie. Meer informatie
Wat gebeurt er met beveiligde acties en toepassingen?
Als een toepassing of service probeert een beveiligingsactie uit te voeren, moet deze het vereiste beleid voor voorwaardelijke toegang kunnen afhandelen. In sommige gevallen moet een gebruiker mogelijk ingrijpen en voldoen aan het beleid. Ze kunnen bijvoorbeeld vereist zijn om meervoudige verificatie te voltooien. De volgende toepassingen ondersteunen stapsgewijze verificatie voor beveiligde acties:
- Microsoft Entra-beheerderservaringen voor de acties in het Microsoft Entra-beheercentrum
- Microsoft Graph PowerShell
- Graph Explorer
Er zijn enkele bekende en verwachte beperkingen. De volgende toepassingen mislukken als ze proberen een beveiligde actie uit te voeren.
- Azure PowerShell
- PowerShell voor Azure AD
- Een nieuwe gebruiksvoorwaardenpagina of aangepast besturingselement maken in het Microsoft Entra-beheercentrum. Nieuwe gebruiksvoorwaarden of aangepaste besturingselementen worden geregistreerd bij voorwaardelijke toegang, dus zijn onderhevig aan beveiligde acties voor het maken, bijwerken en verwijderen van voorwaardelijke toegang. Als u de beleidsvereiste tijdelijk verwijdert uit de acties voor het maken, bijwerken en verwijderen van voorwaardelijke toegang, kan een nieuwe gebruiksvoorwaardenpagina of aangepast besturingselement worden gemaakt.
Als uw organisatie een toepassing heeft ontwikkeld die de Microsoft Graph API aanroept om een beveiligde actie uit te voeren, moet u het codevoorbeeld bekijken voor het afhandelen van een claimvraag met behulp van stapsgewijze verificatie. Zie de ontwikkelaarshandleiding voor verificatiecontext voor voorwaardelijke toegang voor meer informatie.
Aanbevolen procedures
Hier volgen enkele aanbevolen procedures voor het gebruik van beveiligde acties.
Een account voor noodgevallen hebben
Wanneer u beleid voor voorwaardelijke toegang configureert voor beveiligde acties, moet u een account voor noodgevallen hebben dat is uitgesloten van het beleid. Dit biedt een beperking tegen onbedoelde vergrendeling.
Beleid voor gebruikers- en aanmeldingsrisico's verplaatsen naar voorwaardelijke toegang
Voorwaardelijke toegangsmachtigingen worden niet gebruikt bij het beheren van het beveiligingsrisicobeleid voor Microsoft Entra ID Protection. U wordt aangeraden beleid voor gebruikers- en aanmeldingsrisico's te verplaatsen naar voorwaardelijke toegang.
Benoemde netwerklocaties gebruiken
Benoemde netwerklocatiemachtigingen worden niet gebruikt bij het beheren van vertrouwde IP-adressen met meervoudige verificatie. U wordt aangeraden benoemde netwerklocaties te gebruiken.
Geen beveiligde acties gebruiken om toegang te blokkeren op basis van identiteit of groepslidmaatschap
Beveiligde acties worden gebruikt om een toegangsvereiste toe te passen om een beveiligde actie uit te voeren. Ze zijn niet bedoeld om het gebruik van een machtiging alleen te blokkeren op basis van gebruikersidentiteit of groepslidmaatschap. Wie toegang heeft tot specifieke machtigingen is een autorisatiebeslissing en moet worden beheerd door roltoewijzing.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.