Co to są akcje chronione w identyfikatorze Entra firmy Microsoft?
Chronione akcje w Microsoft Entra ID to uprawnienia przypisane politykom dostępu warunkowego . Gdy użytkownik próbuje wykonać akcję chronioną, musi najpierw spełnić zasady dostępu warunkowego przypisane do wymaganych uprawnień. Aby na przykład umożliwić administratorom aktualizowanie polityk dostępu warunkowego, można wymagać, aby najpierw spełnili zasady odpornego na phishing MFA.
Ten artykuł zawiera omówienie akcji chronionej i sposobu rozpoczynania korzystania z nich.
Dlaczego warto używać akcji chronionych?
Akcje chronione są używane, gdy chcesz dodać dodatkową warstwę ochrony. Akcje chronione można stosować do uprawnień wymagających silnej ochrony zasad dostępu warunkowego, niezależnie od używanej roli lub sposobu, w jaki użytkownik otrzymał uprawnienie. Ponieważ wymuszanie zasad występuje w momencie, gdy użytkownik próbuje wykonać chronioną akcję, a nie podczas aktywacji logowania użytkownika lub reguły, użytkownicy są monitowani tylko w razie potrzeby.
Jakie zasady są zwykle używane z akcjami chronionymi?
Zalecamy używanie uwierzytelniania wieloskładnikowego na wszystkich kontach, zwłaszcza kont z rolami uprzywilejowanymi. Akcje chronione mogą służyć do wymagania dodatkowych zabezpieczeń. Poniżej przedstawiono niektóre typowe silniejsze zasady dostępu warunkowego.
- Silniejsze siły uwierzytelniania wieloskładnikowego, takie jak uwierzytelnianie wieloskładnikowe bez hasła lub odporne na wyłudzenie informacjiusługi MFA,
- Stacje robocze z dostępem uprzywilejowanym przy użyciu zasad dostępu warunkowego oraz filtrów urządzeń.
- Czas wygaśnięcia sesji jest krótszy poprzez dostęp warunkowy oraz kontrolki częstotliwości logowania .
Jakich uprawnień można używać z akcjami chronionymi?
Zasady dostępu warunkowego można stosować do ograniczonego zestawu uprawnień. Akcje chronione można używać w następujących obszarach:
- Zarządzanie zasadami dostępu warunkowego
- Zarządzanie ustawieniami dostępu między dzierżawami
- Twarde usunięcie niektórych obiektów katalogu
- Reguły niestandardowe definiujące lokalizacje sieciowe
- Zarządzanie akcjami chronionymi
Oto początkowy zestaw uprawnień:
| Pozwolenie | Opis |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/create | Tworzenie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/delete | Usuwanie zasad dostępu warunkowego |
| microsoft.directory/zasadyDostępuWarunkowego/podstawowe/aktualizacja | Aktualizowanie podstawowych właściwości zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/create | Tworzenie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/delete | Usuwanie zasad dostępu warunkowego |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualizowanie ustawień współpracy firmy Microsoft Entra B2B domyślnych zasad dostępu między dzierżawami |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualizuj ustawienia bezpośredniego połączenia Microsoft Entra B2B w domyślnych zasadach dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Zaktualizuj ustawienia spotkań w aplikacji Teams dotyczących współpracy między chmurami w domyślnych zasadach dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Zaktualizuj ograniczenia najemców w domyślnej polityce dostępu międzytenantowego. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Zaktualizuj ustawienia współpracy Microsoft Entra B2B dotyczące polityki dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Zaktualizuj ustawienia bezpośredniego połączenia Microsoft Entra B2B w ramach polityki dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Utwórz politykę dostępu między dzierżawcami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Zaktualizuj ustawienia międzychmurowych spotkań w aplikacji Teams dotyczące zasad dostępu między dzierżawcami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Usuń zasady dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Zaktualizuj ograniczenia dla dzierżawców w polityce dostępu krzyżowego między dzierżawcami dla partnerów. |
| microsoft.directory/deletedItems/delete | Trwałe usuwanie obiektów, których nie można już przywrócić |
| microsoft.directory/namedLocations/basic/update | Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe |
| microsoft.directory/namedLocations/create | Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe |
| microsoft.directory/namedLocations/delete (usuń) | Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe |
| microsoft.directory/namespaceZasobów/akcjeZasobów/kontekstUwierzytelniania/aktualizuj | Aktualizowanie kontekstu uwierzytelniania dostępu warunkowego akcji zasobów kontroli dostępu opartej na rolach (RBAC) platformy Microsoft 365 |
Usuwanie obiektów katalogu
Identyfikator Entra firmy Microsoft obsługuje dwa typy usuwania dla większości obiektów katalogu: usuwanie nietrwałe i usuwanie twarde. Gdy obiekt katalogu jest miękko usuwany, obiekt, jego właściwości i relacje są zachowywane w koszu przez 30 dni. Obiekt usunięty miękko można przywrócić przy użyciu tego samego identyfikatora, z wszystkimi wartościami właściwości i relacjami bez zmian. Gdy obiekt miękko usunięty jest trwale usuwany, jest trwale usuwany na stałe i nie można go ponownie utworzyć przy użyciu tego samego identyfikatora obiektu.
Aby ułatwić ochronę przed złośliwym lub przypadkowym trwałym usunięciem niektórych miękko usuniętych obiektów katalogu z kosza i trwałą utratą danych, możesz dodać akcję ochronną dla następującego uprawnienia. To usunięcie dotyczy użytkowników, grup platformy Microsoft 365 i aplikacji.
- microsoft.directory/deletedItems/delete
Jak akcje chronione są porównywane z aktywacją roli usługi Privileged Identity Management?
aktywacja roli usługi Privileged Identity Management można również przypisać zasady dostępu warunkowego. Ta funkcja umożliwia wymuszanie zasad tylko wtedy, gdy użytkownik aktywuje rolę, zapewniając najbardziej kompleksową ochronę. Akcje chronione są wymuszane tylko wtedy, gdy użytkownik podejmuje akcję, która wymaga uprawnień z przypisanymi zasadami dostępu warunkowego. Akcje chronione umożliwiają ochronę uprawnień o dużym wpływie niezależnie od roli użytkownika. Aktywacja ról w usłudze Privileged Identity Management i akcje chronione mogą być używane razem, aby zapewnić silniejszą ochronę.
Kroki używania akcji chronionych
Notatka
Te kroki należy wykonać w poniższej sekwencji, aby upewnić się, że akcje chronione są prawidłowo skonfigurowane i wymuszane. Jeśli nie wykonasz tej kolejności, może wystąpić nieoczekiwane zachowanie, takie jak wielokrotnie otrzymywać żądania ponownego uwierzytelnienia przez.
Sprawdzanie uprawnień
Sprawdź, czy przypisano Ci role: administratora dostępu warunkowego lub administratora zabezpieczeń. Jeśli tak nie jest, zajrzyj do administratora, aby przypisać odpowiednią rolę.
Konfigurowanie zasad dostępu warunkowego
Skonfiguruj kontekst uwierzytelniania dostępu warunkowego i skojarzone zasady dostępu warunkowego. Akcje chronione używają kontekstu uwierzytelnienia, który umożliwia egzekwowanie zasad dla zasobów szczegółowych w usłudze, takich jak uprawnienia Microsoft Entra. Dobrymi zasadami, od których należy zacząć, jest wymaganie bez hasła uwierzytelniania wieloskładnikowego i wykluczenie konta awaryjnego. Dowiedz się więcej
Dodawanie akcji chronionych
Dodaj chronione akcje, przypisując wartości kontekstu uwierzytelniania dostępu warunkowego do wybranych uprawnień. Dowiedz się więcej
Testowanie akcji chronionych
Zaloguj się jako użytkownik i przetestuj środowisko użytkownika, wykonując chronioną akcję. Powinien zostać wyświetlony monit o spełnienie wymagań zasad dostępu warunkowego. Jeśli na przykład zasady wymagają uwierzytelniania wieloskładnikowego, powinno nastąpić przekierowanie do strony logowania i wyświetlenie monitu o silne uwierzytelnianie. Dowiedz się więcej
Co się dzieje z chronionymi akcjami i aplikacjami?
Jeśli aplikacja lub usługa próbuje wykonać akcję ochrony, musi być w stanie obsłużyć wymagane zasady dostępu warunkowego. W niektórych przypadkach użytkownik może wymagać interwencji i spełnienia zasad. Na przykład mogą być wymagane do ukończenia uwierzytelniania wieloskładnikowego. Następujące aplikacje obsługują uwierzytelnianie krokowe dla akcji chronionych:
- Doświadczenia administratora Microsoft Entra dla działań w centrum administracyjnym Microsoft Entra
- Microsoft Graph PowerShell
- Eksplorator Grafów
Istnieją pewne znane i oczekiwane ograniczenia. Następujące aplikacje zawiodą, jeśli spróbują wykonać chronioną operację.
- Azure PowerShell
- Azure AD PowerShell
- Tworzenie nowej strony z warunkami użytkowania lub niestandardowego elementu sterującego w centrum administracyjnym Microsoft Entra. Nowe strony warunków użytkowania lub kontrolki niestandardowe są rejestrowane za pomocą dostępu warunkowego, więc podlegają tworzeniu, aktualizowaniu i usuwaniu akcji chronionych przez dostęp warunkowy. Tymczasowe usunięcie wymagania dotyczącego zasad z akcji tworzenia, aktualizowania i usuwania dostępu warunkowego umożliwi utworzenie nowej strony użytkowania lub kontrolki niestandardowej.
Jeśli Twoja organizacja opracowała aplikację, która wywołuje interfejs API programu Microsoft Graph w celu wykonania chronionej akcji, zapoznaj się z przykładem kodu, aby dowiedzieć się, jak obsłużyć wyzwanie dotyczące oświadczeń przy użyciu uwierzytelniania krokowego. Aby uzyskać więcej informacji, zobacz Przewodnik dla deweloperów dotyczący kontekstu uwierzytelniania dostępu warunkowego.
Najlepsze rozwiązania
Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących używania akcji chronionych.
Miej konto awaryjne
Podczas konfigurowania zasad dostępu warunkowego dla akcji chronionych upewnij się, że konto awaryjne zostało wykluczone z zasad. Zapewnia to ograniczenie ryzyka związanego z przypadkową blokadą.
Przenieś zasady ryzyka związanego z użytkownikiem i logowaniem do dostępu warunkowego
Uprawnienia Conditional Access nie są używane podczas zarządzania zasadami ryzyka Microsoft Entra ID Protection. Zalecamy przeniesienie zasad ryzyka związanego z użytkownikiem i logowaniem do dostępu warunkowego.
Użyj nazwanych lokalizacji sieciowych
Uprawnienia nazwanej lokalizacji sieciowej nie są używane podczas zarządzania zaufanymi adresami IP w uwierzytelnianiu wieloskładnikowym. Zalecamy używanie nazwanych lokalizacji sieciowych.
Nie używaj akcji chronionych do blokowania dostępu na podstawie tożsamości lub członkostwa w grupie
Akcje chronione są używane do stosowania wymagania dostępu w celu wykonania chronionej akcji. Nie są one przeznaczone do blokowania używania uprawnień tylko na podstawie tożsamości użytkownika lub członkostwa w grupie. Kto ma dostęp do określonych uprawnień, to decyzja o autoryzacji i powinna być kontrolowana przez przypisanie roli.
Wymagania licencyjne
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji Microsoft Entra ID.