Co to są akcje chronione w identyfikatorze Entra firmy Microsoft?
Chronione akcje w Microsoft Entra ID to uprawnienia przypisane politykom dostępu warunkowego . Gdy użytkownik próbuje wykonać akcję chronioną, musi najpierw spełnić zasady dostępu warunkowego przypisane do wymaganych uprawnień. Aby na przykład umożliwić administratorom aktualizowanie polityk dostępu warunkowego, można wymagać, aby najpierw spełnili zasady odpornego na phishing MFA.
Ten artykuł zawiera omówienie akcji chronionej i sposobu rozpoczynania korzystania z nich.
Dlaczego warto używać akcji chronionych?
Akcje chronione są używane, gdy chcesz dodać dodatkową warstwę ochrony. Akcje chronione można stosować do uprawnień wymagających silnej ochrony zasad dostępu warunkowego, niezależnie od używanej roli lub sposobu, w jaki użytkownik otrzymał uprawnienie. Ponieważ wymuszanie zasad występuje w momencie, gdy użytkownik próbuje wykonać chronioną akcję, a nie podczas aktywacji logowania użytkownika lub reguły, użytkownicy są monitowani tylko w razie potrzeby.
Jakie zasady są zwykle używane z akcjami chronionymi?
Zalecamy używanie uwierzytelniania wieloskładnikowego na wszystkich kontach, zwłaszcza kont z rolami uprzywilejowanymi. Akcje chronione mogą służyć do wymagania dodatkowych zabezpieczeń. Poniżej przedstawiono niektóre typowe silniejsze zasady dostępu warunkowego.
- Silniejsze metody uwierzytelniania wieloskładnikowego, takie jak uwierzytelnianie wieloskładnikowe bez hasła lub odporne na wyłudzenie informacji uwierzytelnianie MFA,
- Stacje robocze z dostępem uprzywilejowanym przy użyciu zasad dostępu warunkowego oraz filtrów urządzeń.
- Krótszy czas wygaśnięcia sesji dzięki używaniu dostępu warunkowego i kontrolek częstotliwości sesji logowania.
Jakich uprawnień można używać z akcjami chronionymi?
Zasady dostępu warunkowego można stosować do ograniczonego zestawu uprawnień. Akcje chronione można używać w następujących obszarach:
- Zarządzanie zasadami dostępu warunkowego
- Zarządzanie ustawieniami dostępu między dzierżawami
- Twarde usunięcie niektórych obiektów katalogu
- Reguły niestandardowe definiujące lokalizacje sieciowe
- Zarządzanie akcjami chronionymi
Oto początkowy zestaw uprawnień:
| Pozwolenie | Opis |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/create | Tworzenie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/delete | Usuwanie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualizowanie podstawowych właściwości zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/create | Tworzenie zasad dostępu warunkowego |
| microsoft.directory/conditionalAccessPolicies/delete | Usuwanie zasad dostępu warunkowego |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizowanie dozwolonych punktów końcowych chmury zasad dostępu między dzierżawami |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualizowanie ustawień domyślnej polityki dostępu między dzierżawami w Microsoft Entra B2B Collaboration |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualizuj ustawienia bezpośredniego połączenia Microsoft Entra B2B w domyślnych zasadach dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Zaktualizuj ustawienia spotkań w aplikacji Teams dotyczące współpracy między chmurami w ramach domyślnej polityki dostępu między dzierżawami. |
| microsoft.directory/crossTenantAccessPolicy/domyslne/ograniczeniaNajemców/aktualizacja | Zaktualizuj ograniczenia najemców w domyślnej polityce dostępu międzytenantowego. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Zaktualizuj ustawienia polityki współpracy Microsoft Entra B2B dla partnerów dotyczące dostępu między dzierżawcami. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Zaktualizuj ustawienia bezpośredniego połączenia Microsoft Entra B2B w ramach polityki dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Utwórz politykę dostępu między dzierżawcami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Zaktualizuj ustawienia międzychmurowych spotkań w aplikacji Teams dotyczące zasad dostępu między dzierżawcami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Usuń politykę dostępu między dzierżawami dla partnerów. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Zaktualizuj ograniczenia dla dzierżawców w polityce dostępu krzyżowego między dzierżawcami dla partnerów. |
| microsoft.directory/deletedItems/delete | Trwałe usuwanie obiektów, których nie można już przywrócić |
| microsoft.directory/namedLocations/basic/update | Aktualizowanie podstawowych właściwości reguł niestandardowych, które definiują lokalizacje sieciowe |
| microsoft.directory/namedLocations/create | Tworzenie niestandardowych reguł definiujących lokalizacje sieciowe |
| microsoft.directory/namedLocations/delete (usuń) | Usuwanie reguł niestandardowych definiujących lokalizacje sieciowe |
| microsoft.directory/zasobyPrzestrzenieNazw/akcjeZasobów/kontekstUwierzytelniania/aktualizuj | Aktualizacja kontekstu uwierzytelniania dostępu warunkowego dla akcji zasobów RBAC w Microsoft 365 |
Usuwanie obiektów katalogu
Identyfikator Entra firmy Microsoft obsługuje dwa typy usuwania dla większości obiektów katalogu: usuwanie nietrwałe i usuwanie twarde. Gdy obiekt katalogu jest miękko usuwany, obiekt, jego właściwości i relacje są zachowywane w koszu przez 30 dni. Obiekt usunięty miękko można przywrócić przy użyciu tego samego identyfikatora, przy zachowaniu wszystkich wartości właściwości i relacji. Gdy obiekt miękko usunięty jest trwale usuwany, jest trwale usuwany na stałe i nie można go ponownie utworzyć przy użyciu tego samego identyfikatora obiektu.
Aby ułatwić ochronę przed złośliwym lub przypadkowym trwałym usunięciem niektórych miękko usuniętych obiektów katalogu z kosza i trwałą utratą danych, możesz dodać akcję ochronną dla następującego uprawnienia. To usunięcie dotyczy użytkowników, grup platformy Microsoft 365 i aplikacji.
- microsoft.directory/deletedItems/usunąć
Jak akcje chronione są porównywane z aktywacją roli usługi Privileged Identity Management?
Aktywacja roli w usłudze Privileged Identity Management może mieć także przypisane zasady dostępu warunkowego. Ta funkcja umożliwia wymuszanie zasad tylko wtedy, gdy użytkownik aktywuje rolę, zapewniając najbardziej kompleksową ochronę. Akcje chronione są wymuszane tylko wtedy, gdy użytkownik podejmuje akcję, która wymaga uprawnień z przypisanymi zasadami dostępu warunkowego. Akcje chronione umożliwiają ochronę uprawnień o dużym wpływie niezależnie od roli użytkownika. Aktywacja ról w usłudze Privileged Identity Management i akcje chronione mogą być używane razem, aby zapewnić silniejszą ochronę.
Kroki używania akcji chronionych
Notatka
Te kroki należy wykonać w poniższej sekwencji, aby upewnić się, że akcje chronione są prawidłowo skonfigurowane i wymuszane. Jeśli nie wykonasz tej kolejności, może dojść do nieoczekiwanego zachowania, na przykład wielokrotnych próśb o ponowne uwierzytelnienie.
Sprawdzanie uprawnień
Sprawdź, czy przypisano Ci role: administratora dostępu warunkowego lub administratora zabezpieczeń. Jeśli tak nie jest, zajrzyj do administratora, aby przypisać odpowiednią rolę.
Konfigurowanie zasad dostępu warunkowego
Skonfiguruj kontekst uwierzytelniania dostępu warunkowego i skojarzone zasady dostępu warunkowego. Akcje chronione używają kontekstu uwierzytelnienia, który umożliwia egzekwowanie zasad dla zasobów szczegółowych w usłudze, takich jak uprawnienia Microsoft Entra. Dobrymi zasadami, od których należy zacząć, jest wymaganie bez hasła uwierzytelniania wieloskładnikowego i wykluczenie konta awaryjnego. Dowiedz się więcej
Dodawanie akcji chronionych
Dodaj chronione akcje, przypisując wartości kontekstu uwierzytelniania dostępu warunkowego do wybranych uprawnień. Dowiedz się więcej
Testowanie akcji chronionych
Zaloguj się jako użytkownik i przetestuj środowisko użytkownika, wykonując chronioną akcję. Powinien zostać wyświetlony monit o spełnienie wymagań zasad dostępu warunkowego. Jeśli na przykład zasady wymagają uwierzytelniania wieloskładnikowego, powinno nastąpić przekierowanie do strony logowania i wyświetlenie monitu o silne uwierzytelnianie. Dowiedz się więcej
Co się dzieje z chronionymi akcjami i aplikacjami?
Jeśli aplikacja lub usługa próbuje wykonać akcję ochrony, musi być w stanie obsłużyć wymagane zasady dostępu warunkowego. W niektórych przypadkach użytkownik może musieć interweniować i spełnić wymagania polityki. Na przykład mogą być wymagane do ukończenia uwierzytelniania wieloskładnikowego. Następujące aplikacje obsługują uwierzytelnianie krokowe dla akcji chronionych:
- Doświadczenia administratora Microsoft Entra dla działań w centrum administracyjnym Microsoft Entra
- Microsoft Graph PowerShell
- Eksplorator Grafów
Istnieją pewne znane i oczekiwane ograniczenia. Następujące aplikacje zawiodą, jeśli spróbują wykonać chronioną operację.
- Azure PowerShell
- Azure AD PowerShell
- Tworzenie nowej strony z warunkami użytkowania lub niestandardowej kontrolki w centrum administracyjnym Microsoft Entra. Nowe strony warunków użytkowania lub kontrolki niestandardowe są rejestrowane za pomocą dostępu warunkowego, więc podlegają tworzeniu, aktualizowaniu i usuwaniu akcji chronionych przez dostęp warunkowy. Tymczasowe usunięcie wymagania dotyczącego zasad z akcji tworzenia, aktualizowania i usuwania dostępu warunkowego umożliwi utworzenie nowej strony użytkowania lub kontrolki niestandardowej.
Jeśli Twoja organizacja opracowała aplikację, która wywołuje interfejs API programu Microsoft Graph w celu wykonania chronionej akcji, zapoznaj się z przykładem kodu, aby dowiedzieć się, jak obsłużyć wyzwanie dotyczące oświadczeń przy użyciu uwierzytelniania krokowego. Aby uzyskać więcej informacji, zobacz Przewodnik dla deweloperów dotyczący kontekstu uwierzytelniania dostępu warunkowego.
Najlepsze rozwiązania
Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących używania akcji chronionych.
Miej konto awaryjne
Podczas konfigurowania zasad dostępu warunkowego dla akcji chronionych upewnij się, że konto awaryjne zostało wykluczone z zasad. Zapewnia to ograniczenie ryzyka związanego z przypadkową blokadą.
Przenieś zasady ryzyka użytkownika i logowania do dostępu warunkowego
Uprawnienia Conditional Access nie są używane podczas zarządzania zasadami ryzyka Microsoft Entra ID Protection. Zalecamy przeniesienie zasad ryzyka związanego z użytkownikiem i logowaniem do dostępu warunkowego.
Użyj nazwanych lokalizacji sieciowych
Uprawnienia dla nazwanej lokalizacji sieciowej nie są stosowane podczas zarządzania zaufanymi adresami IP w przypadku uwierzytelniania wieloskładnikowego. Zalecamy używanie nazwanych lokalizacji sieciowych.
Nie używaj akcji chronionych do blokowania dostępu na podstawie tożsamości lub członkostwa w grupie
Akcje chronione są używane do stosowania wymagania dostępu w celu wykonania chronionej akcji. Nie są one przeznaczone do blokowania używania uprawnień tylko na podstawie tożsamości użytkownika lub członkostwa w grupie. Kto ma dostęp do określonych uprawnień, to decyzja o autoryzacji i powinna być kontrolowana przez przypisanie roli.
Wymagania licencyjne
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji Microsoft Entra ID.