Delen via


Wat zijn beveiligde acties in Microsoft Entra ID?

Beveiligde acties in Microsoft Entra-id zijn machtigingen die zijn toegewezen beleid voor voorwaardelijke toegang. Wanneer een gebruiker een beveiligde actie probeert uit te voeren, moet deze eerst voldoen aan het beleid voor voorwaardelijke toegang dat is toegewezen aan de vereiste machtigingen. Als u bijvoorbeeld wilt toestaan dat beheerders beleid voor voorwaardelijke toegang kunnen bijwerken, kunt u vereisen dat ze eerst voldoen aan het MFA--beleid dat bestand is tegen phishing.

Dit artikel bevat een overzicht van beveiligde acties en hoe u aan de slag kunt gaan met deze acties.

Waarom beveiligde acties gebruiken?

U gebruikt beveiligde acties wanneer u een extra beveiligingslaag wilt toevoegen. Beveiligde acties kunnen worden toegepast op machtigingen waarvoor een sterke beveiliging van het beleid voor voorwaardelijke toegang is vereist, onafhankelijk van de rol die wordt gebruikt of hoe de gebruiker de machtiging heeft gekregen. Omdat het afdwingen van beleid plaatsvindt op het moment dat de gebruiker probeert de beveiligde actie uit te voeren en niet tijdens het activeren van gebruikersaanmelding of regel, worden gebruikers alleen gevraagd wanneer dat nodig is.

Welke beleidsregels worden doorgaans gebruikt met beveiligde acties?

We raden u aan meervoudige verificatie te gebruiken voor alle accounts, met name accounts met bevoorrechte rollen. Beveiligde acties kunnen worden gebruikt om om extra beveiligingsmaatregelen te vragen. Hier volgen enkele algemene sterkere beleidsregels voor voorwaardelijke toegang.

  • Sterkere MFA-authenticatiesterkte, zoals wachtwoordloze MFA of phishingbestendige MFA,
  • Werkstations met verhoogde toegangsrechten door gebruik te maken van beleid voor voorwaardelijke toegang met apparaatfilters en.
  • Kortere sessie-time-outs door het gebruik van voorwaardelijke toegangssessiebesturingselementen voor aanmeldingsfrequentie .

Welke machtigingen kunnen worden gebruikt met beveiligde acties?

Beleidsregels voor voorwaardelijke toegang kunnen worden toegepast op een beperkte set machtigingen. U kunt beveiligde acties in de volgende gebieden gebruiken:

  • Beleid voor voorwaardelijke toegang beheren
  • Beheer van toegangsinstellingen voor meerdere tenants
  • Harde verwijdering van sommige mapobjecten
  • Aangepaste regels voor het definiëren van netwerklocaties
  • Beveiligd actiebeheer

Dit is de eerste set machtigingen:

Toestemming Beschrijving
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/conditionalAccessPolicies/basic/update Basiseigenschappen voor beleid voor voorwaardelijke toegang bijwerken
microsoft.directory/conditionalAccessPolicies/create Beleid voor voorwaardelijke toegang maken
microsoft.directory/conditionalAccessPolicies/delete Beleid voor voorwaardelijke toegang verwijderen
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Geautoriseerde cloudeindpunten van het cross-tenant toegangsbeleid bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Microsoft Entra B2B-samenwerkingsinstellingen van het standaardbeleid voor cross-tenant toegang bijwerken
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Instellingen voor directe verbindingen van Microsoft Entra B2B van het standaard tenantoverschrijdende toegangsbeleid bijwerken.
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Werk de instellingen voor teams-vergaderingen in meerdere clouds bij van het standaardbeleid voor toegang voor meerdere tenants.
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Werk de tenant beperkingen van het standaardbeleid voor cross-tenant toegang bij.
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Werk de Microsoft Entra B2B-samenwerkingsinstellingen voor beleidsregels inzake toegang tussen tenants bij voor partners.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Werk de instellingen van Microsoft Entra B2B direct connect bij voor het cross-tenant toegangsbeleid voor partners.
microsoft.directory/crossTenantAccessPolicy/partners/create Maak een cross-tenant toegangsbeleid voor partners.
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Werk de instellingen voor teams-vergaderingen in meerdere clouds bij van beleid voor toegang tussen tenants voor partners.
microsoft.directory/crossTenantAccessPolicy/partners/delete Verwijder tenantoverschrijdend toegangsbeleid voor partners.
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Werk tenantbeperkingen van toegangsbeleid voor meerdere tenants bij voor partners.
microsoft.directory/deletedItems/delete Objecten permanent verwijderen, die niet meer kunnen worden hersteld
microsoft.directory/namedLocations/basic/update Basiseigenschappen van aangepaste regels bijwerken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/create Aangepaste regels maken waarmee netwerklocaties worden gedefinieerd
microsoft.directory/namedLocations/delete Aangepaste regels verwijderen waarmee netwerklocaties worden gedefinieerd
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Werk de authenticatiecontext voor voorwaardelijke toegang van rolgebaseerde toegang (RBAC)-bronacties van Microsoft 365 bij.

Verwijdering van mapobjecten

Microsoft Entra ID ondersteunt twee soorten verwijdering voor de meeste mapobjecten: voorlopig verwijderen en hard verwijderen. Wanneer een mapobject voorlopig wordt verwijderd, blijven de eigenschapswaarden en relaties ervan gedurende 30 dagen bewaard in de Prullenbak. Een zacht verwijderd object kan worden hersteld met dezelfde ID en alle eigenschapswaarden en relaties intact. Wanneer een voorlopig verwijderd object hard wordt verwijderd, wordt het object definitief verwijderd en kan het niet opnieuw worden gemaakt met dezelfde object-id.

Als u wilt beschermen tegen onbedoelde of schadelijke harde verwijderingen van bepaalde voorlopig verwijderde mapobjecten uit de Prullenbak en permanent gegevensverlies, kunt u een beveiligde actie toevoegen voor de volgende machtiging. Deze verwijdering is van toepassing op gebruikers, Microsoft 365-groepen en -toepassingen.

  • microsoft.directory/deletedItems/delete

Hoe worden beveiligde acties vergeleken met de activering van de rol Privileged Identity Management?

Privileged Identity Management-rolactivering kan ook voorwaardelijke toegangsbeleid toegewezen krijgen. Met deze mogelijkheid kan beleid alleen worden afgedwongen wanneer een gebruiker een rol activeert, waardoor de meest uitgebreide beveiliging wordt geboden. Beveiligde acties worden alleen afgedwongen wanneer een gebruiker een actie onderneemt waarvoor machtigingen zijn vereist waarvoor beleid voor voorwaardelijke toegang is toegewezen. Met beveiligde acties kunnen machtigingen met een hoge impact worden beveiligd, onafhankelijk van een gebruikersrol. Privileged Identity Management-rolactivering en beveiligde acties kunnen samen worden gebruikt voor een sterkere dekking.

Stappen voor het gebruik van beveiligde acties

Notitie

Voer deze stappen uit in de volgende volgorde om ervoor te zorgen dat beveiligde acties correct zijn geconfigureerd en afgedwongen. Als u deze volgorde niet volgt, krijgt u mogelijk onverwacht gedrag, zoals herhaalde aanvragen ontvangt omopnieuw te verifiëren.

  1. Machtigingen controleren

    Controleer of u de beheerder voor voorwaardelijke toegang of beveiligingsbeheerder rollen hebt toegewezen. Als dat niet het geval is, neem dan contact op met de beheerder om de juiste rol toe te wijzen.

  2. beleid voor voorwaardelijke toegang configureren

    Configureer een context voor voorwaardelijke toegangsverificatie en een gekoppeld beleid voor voorwaardelijke toegang. Beveiligde acties maken gebruik van een verificatiecontext, waardoor het afdwingen van beleid voor gedetailleerde resources in een service, zoals Microsoft Entra-machtigingen, mogelijk maakt. Een goed beleid om mee te beginnen is het vereisen van wachtwoordloze MFA en het uitsluiten van een account voor noodgevallen. Meer informatie

  3. Beveiligde acties toevoegen

    Voeg beveiligde acties toe door contextwaarden voor verificatie voor voorwaardelijke toegang toe te wijzen aan geselecteerde machtigingen. Meer informatie

  4. beveiligde acties testen

    Meld u aan als gebruiker en test de gebruikerservaring door de beveiligde actie uit te voeren. U wordt gevraagd om te voldoen aan de beleidsvereisten voor voorwaardelijke toegang. Als voor het beleid bijvoorbeeld meervoudige verificatie is vereist, wordt u omgeleid naar de aanmeldingspagina en wordt u gevraagd om sterke verificatie. Meer informatie

Wat gebeurt er met beveiligde acties en toepassingen?

Als een toepassing of service probeert een beveiligingsactie uit te voeren, moet deze het vereiste beleid voor voorwaardelijke toegang kunnen afhandelen. In sommige gevallen moet een gebruiker mogelijk ingrijpen en voldoen aan het beleid. Ze kunnen bijvoorbeeld vereist zijn om meervoudige verificatie te voltooien. De volgende toepassingen ondersteunen stapsgewijze verificatie voor beveiligde acties:

Er zijn enkele bekende en verwachte beperkingen. De volgende toepassingen mislukken als ze proberen een beveiligde actie uit te voeren.

  • Azure PowerShell
  • Azure AD PowerShell
  • Een nieuwe gebruiksvoorwaardenpagina of aangepast besturingselement maken in het Microsoft Entra-beheercentrum. Nieuwe gebruikersvoorwaardenpagina's of aangepaste besturingselementen worden geregistreerd bij Voorwaardelijke Toegang en zijn daarom onderhevig aan beveiligde acties voor het maken, bijwerken en verwijderen binnen Voorwaardelijke Toegang. Tijdelijk verwijderen van de beleidsvereiste uit de acties voor maken, bijwerken en verwijderen van voorwaardelijke toegang, maakt het mogelijk om een nieuwe gebruiksvoorwaardenpagina of aangepast besturingselement te maken.

Als uw organisatie een toepassing heeft ontwikkeld die de Microsoft Graph API aanroept om een beveiligde actie uit te voeren, moet u het codevoorbeeld bekijken voor het afhandelen van een claimvraag met behulp van stapsgewijze verificatie. Zie Ontwikkelaarshandleiding voor de context van voorwaardelijke toegangsverificatievoor meer informatie.

Beste praktijken

Hier volgen enkele aanbevolen procedures voor het gebruik van beveiligde acties.

  • Een account voor noodgevallen hebben

    Wanneer u beleid voor voorwaardelijke toegang configureert voor beveiligde acties, moet u een account voor noodgevallen hebben dat is uitgesloten van het beleid. Dit biedt een beperking tegen onbedoelde vergrendeling.

  • Beleid voor gebruikers- en aanmeldingsrisico's verplaatsen naar Voorwaardelijke Toegang

    Voorwaardelijke toegangsmachtigingen worden niet gebruikt bij het beheren van het beveiligingsrisicobeleid voor Microsoft Entra ID Protection. U wordt aangeraden beleid voor gebruikers- en aanmeldingsrisico's te verplaatsen naar voorwaardelijke toegang.

  • Benoemde netwerklocaties gebruiken

    Benoemde netwerklocatiemachtigingen worden niet gebruikt bij het beheren van vertrouwde IP-adressen met meervoudige verificatie. We raden u aan benoemde netwerklocatieste gebruiken.

  • Geen beveiligde acties gebruiken om de toegang te blokkeren op basis van identiteit of groepslidmaatschap

    Beveiligde acties worden gebruikt om een toegangsvereiste toe te passen om een beveiligde actie uit te voeren. Ze zijn niet bedoeld om het gebruik van een machtiging alleen te blokkeren op basis van gebruikersidentiteit of groepslidmaatschap. Wie toegang heeft tot specifieke machtigingen is een autorisatiebeslissing en moet worden beheerd door roltoewijzing.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.

Volgende stappen