Wat zijn beveiligde acties in Microsoft Entra ID?
Beveiligde acties in Microsoft Entra-id zijn machtigingen die zijn toegewezen beleid voor voorwaardelijke toegang. Wanneer een gebruiker een beveiligde actie probeert uit te voeren, moet deze eerst voldoen aan het beleid voor voorwaardelijke toegang dat is toegewezen aan de vereiste machtigingen. Als u bijvoorbeeld wilt toestaan dat beheerders beleid voor voorwaardelijke toegang kunnen bijwerken, kunt u vereisen dat ze eerst voldoen aan het MFA--beleid dat bestand is tegen phishing.
Dit artikel bevat een overzicht van beveiligde acties en hoe u aan de slag kunt gaan met deze acties.
Waarom beveiligde acties gebruiken?
U gebruikt beveiligde acties wanneer u een extra beveiligingslaag wilt toevoegen. Beveiligde acties kunnen worden toegepast op machtigingen waarvoor een sterke beveiliging van het beleid voor voorwaardelijke toegang is vereist, onafhankelijk van de rol die wordt gebruikt of hoe de gebruiker de machtiging heeft gekregen. Omdat het afdwingen van beleid plaatsvindt op het moment dat de gebruiker probeert de beveiligde actie uit te voeren en niet tijdens het activeren van gebruikersaanmelding of regel, worden gebruikers alleen gevraagd wanneer dat nodig is.
Welke beleidsregels worden doorgaans gebruikt met beveiligde acties?
We raden u aan meervoudige verificatie te gebruiken voor alle accounts, met name accounts met bevoorrechte rollen. Beveiligde acties kunnen worden gebruikt om om extra beveiligingsmaatregelen te vragen. Hier volgen enkele algemene sterkere beleidsregels voor voorwaardelijke toegang.
- Sterkere MFA-authenticatiesterkte, zoals wachtwoordloze MFA of phishingbestendige MFA,
- Werkstations met verhoogde toegangsrechten door gebruik te maken van beleid voor voorwaardelijke toegang met apparaatfilters en.
- Kortere sessie-time-outs door het gebruik van voorwaardelijke toegangssessiebesturingselementen voor aanmeldingsfrequentie .
Welke machtigingen kunnen worden gebruikt met beveiligde acties?
Beleidsregels voor voorwaardelijke toegang kunnen worden toegepast op een beperkte set machtigingen. U kunt beveiligde acties in de volgende gebieden gebruiken:
- Beleid voor voorwaardelijke toegang beheren
- Beheer van toegangsinstellingen voor meerdere tenants
- Harde verwijdering van sommige mapobjecten
- Aangepaste regels voor het definiëren van netwerklocaties
- Beveiligd actiebeheer
Dit is de eerste set machtigingen:
| Toestemming | Beschrijving |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/conditionalAccessPolicies/basic/update | Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken |
| microsoft.directory/conditionalAccessPolicies/create | Beleid voor voorwaardelijke toegang maken |
| microsoft.directory/conditionalAccessPolicies/delete | Beleid voor voorwaardelijke toegang verwijderen |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Geautoriseerde cloudeindpunten van het cross-tenant toegangsbeleid bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor cross-tenant toegang bijwerken |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Instellingen voor directe verbindingen van Microsoft Entra B2B van het standaard tenantoverschrijdende toegangsbeleid bijwerken. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Werk de instellingen voor teams-vergaderingen in meerdere clouds bij van het standaardbeleid voor toegang voor meerdere tenants. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Werk de tenant beperkingen van het standaardbeleid voor cross-tenant toegang bij. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Werk de Microsoft Entra B2B-samenwerkingsinstellingen voor beleidsregels inzake toegang tussen tenants bij voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Werk de instellingen van Microsoft Entra B2B direct connect bij voor het cross-tenant toegangsbeleid voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Maak een cross-tenant toegangsbeleid voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Werk de instellingen voor teams-vergaderingen in meerdere clouds bij van beleid voor toegang tussen tenants voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Verwijder tenantoverschrijdend toegangsbeleid voor partners. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Werk tenantbeperkingen van toegangsbeleid voor meerdere tenants bij voor partners. |
| microsoft.directory/deletedItems/delete | Objecten permanent verwijderen, die niet meer kunnen worden hersteld |
| microsoft.directory/namedLocations/basic/update | Basiseigenschappen van aangepaste regels bijwerken waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/create | Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/namedLocations/delete | Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Werk de authenticatiecontext voor voorwaardelijke toegang van rolgebaseerde toegang (RBAC)-bronacties van Microsoft 365 bij. |
Verwijdering van mapobjecten
Microsoft Entra ID ondersteunt twee soorten verwijdering voor de meeste mapobjecten: voorlopig verwijderen en hard verwijderen. Wanneer een mapobject voorlopig wordt verwijderd, blijven de eigenschapswaarden en relaties ervan gedurende 30 dagen bewaard in de Prullenbak. Een zacht verwijderd object kan worden hersteld met dezelfde ID en alle eigenschapswaarden en relaties intact. Wanneer een voorlopig verwijderd object hard wordt verwijderd, wordt het object definitief verwijderd en kan het niet opnieuw worden gemaakt met dezelfde object-id.
Als u wilt beschermen tegen onbedoelde of schadelijke harde verwijderingen van bepaalde voorlopig verwijderde mapobjecten uit de Prullenbak en permanent gegevensverlies, kunt u een beveiligde actie toevoegen voor de volgende machtiging. Deze verwijdering is van toepassing op gebruikers, Microsoft 365-groepen en -toepassingen.
- microsoft.directory/deletedItems/delete
Hoe worden beveiligde acties vergeleken met de activering van de rol Privileged Identity Management?
Privileged Identity Management-rolactivering kan ook voorwaardelijke toegangsbeleid toegewezen krijgen. Met deze mogelijkheid kan beleid alleen worden afgedwongen wanneer een gebruiker een rol activeert, waardoor de meest uitgebreide beveiliging wordt geboden. Beveiligde acties worden alleen afgedwongen wanneer een gebruiker een actie onderneemt waarvoor machtigingen zijn vereist waarvoor beleid voor voorwaardelijke toegang is toegewezen. Met beveiligde acties kunnen machtigingen met een hoge impact worden beveiligd, onafhankelijk van een gebruikersrol. Privileged Identity Management-rolactivering en beveiligde acties kunnen samen worden gebruikt voor een sterkere dekking.
Stappen voor het gebruik van beveiligde acties
Notitie
Voer deze stappen uit in de volgende volgorde om ervoor te zorgen dat beveiligde acties correct zijn geconfigureerd en afgedwongen. Als u deze volgorde niet volgt, krijgt u mogelijk onverwacht gedrag, zoals herhaalde aanvragen ontvangt omopnieuw te verifiëren.
Machtigingen controleren
Controleer of u de beheerder voor voorwaardelijke toegang of beveiligingsbeheerder rollen hebt toegewezen. Als dat niet het geval is, neem dan contact op met de beheerder om de juiste rol toe te wijzen.
beleid voor voorwaardelijke toegang configureren
Configureer een context voor voorwaardelijke toegangsverificatie en een gekoppeld beleid voor voorwaardelijke toegang. Beveiligde acties maken gebruik van een verificatiecontext, waardoor het afdwingen van beleid voor gedetailleerde resources in een service, zoals Microsoft Entra-machtigingen, mogelijk maakt. Een goed beleid om mee te beginnen is het vereisen van wachtwoordloze MFA en het uitsluiten van een account voor noodgevallen. Meer informatie
Beveiligde acties toevoegen
Voeg beveiligde acties toe door contextwaarden voor verificatie voor voorwaardelijke toegang toe te wijzen aan geselecteerde machtigingen. Meer informatie
beveiligde acties testen
Meld u aan als gebruiker en test de gebruikerservaring door de beveiligde actie uit te voeren. U wordt gevraagd om te voldoen aan de beleidsvereisten voor voorwaardelijke toegang. Als voor het beleid bijvoorbeeld meervoudige verificatie is vereist, wordt u omgeleid naar de aanmeldingspagina en wordt u gevraagd om sterke verificatie. Meer informatie
Wat gebeurt er met beveiligde acties en toepassingen?
Als een toepassing of service probeert een beveiligingsactie uit te voeren, moet deze het vereiste beleid voor voorwaardelijke toegang kunnen afhandelen. In sommige gevallen moet een gebruiker mogelijk ingrijpen en voldoen aan het beleid. Ze kunnen bijvoorbeeld vereist zijn om meervoudige verificatie te voltooien. De volgende toepassingen ondersteunen stapsgewijze verificatie voor beveiligde acties:
- Microsoft Entra-beheerderservaringen voor de acties in het Microsoft Entra-beheercentrum
- Microsoft Graph PowerShell
- Graph Explorer
Er zijn enkele bekende en verwachte beperkingen. De volgende toepassingen mislukken als ze proberen een beveiligde actie uit te voeren.
- Azure PowerShell
- Azure AD PowerShell
- Een nieuwe gebruiksvoorwaardenpagina of aangepast besturingselement maken in het Microsoft Entra-beheercentrum. Nieuwe gebruikersvoorwaardenpagina's of aangepaste besturingselementen worden geregistreerd bij Voorwaardelijke Toegang en zijn daarom onderhevig aan beveiligde acties voor het maken, bijwerken en verwijderen binnen Voorwaardelijke Toegang. Tijdelijk verwijderen van de beleidsvereiste uit de acties voor maken, bijwerken en verwijderen van voorwaardelijke toegang, maakt het mogelijk om een nieuwe gebruiksvoorwaardenpagina of aangepast besturingselement te maken.
Als uw organisatie een toepassing heeft ontwikkeld die de Microsoft Graph API aanroept om een beveiligde actie uit te voeren, moet u het codevoorbeeld bekijken voor het afhandelen van een claimvraag met behulp van stapsgewijze verificatie. Zie Ontwikkelaarshandleiding voor de context van voorwaardelijke toegangsverificatievoor meer informatie.
Beste praktijken
Hier volgen enkele aanbevolen procedures voor het gebruik van beveiligde acties.
Een account voor noodgevallen hebben
Wanneer u beleid voor voorwaardelijke toegang configureert voor beveiligde acties, moet u een account voor noodgevallen hebben dat is uitgesloten van het beleid. Dit biedt een beperking tegen onbedoelde vergrendeling.
Beleid voor gebruikers- en aanmeldingsrisico's verplaatsen naar Voorwaardelijke Toegang
Voorwaardelijke toegangsmachtigingen worden niet gebruikt bij het beheren van het beveiligingsrisicobeleid voor Microsoft Entra ID Protection. U wordt aangeraden beleid voor gebruikers- en aanmeldingsrisico's te verplaatsen naar voorwaardelijke toegang.
Benoemde netwerklocaties gebruiken
Benoemde netwerklocatiemachtigingen worden niet gebruikt bij het beheren van vertrouwde IP-adressen met meervoudige verificatie. We raden u aan benoemde netwerklocatieste gebruiken.
Geen beveiligde acties gebruiken om de toegang te blokkeren op basis van identiteit of groepslidmaatschap
Beveiligde acties worden gebruikt om een toegangsvereiste toe te passen om een beveiligde actie uit te voeren. Ze zijn niet bedoeld om het gebruik van een machtiging alleen te blokkeren op basis van gebruikersidentiteit of groepslidmaatschap. Wie toegang heeft tot specifieke machtigingen is een autorisatiebeslissing en moet worden beheerd door roltoewijzing.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.