Quais são as ações protegidas na ID do Microsoft Entra?
As ações protegidas no Microsoft Entra ID são permissões que foram atribuídas políticas de Acesso Condicional. Quando um usuário tenta executar uma ação protegida, ele deve primeiro atender às políticas de Acesso Condicional atribuídas às permissões necessárias. Por exemplo, para permitir que os administradores atualizem as políticas de Acesso Condicional, você pode exigir que elas satisfaçam primeiro a política de MFA resistente a phishing .
Este artigo fornece uma visão geral da ação protegida e como começar a usá-las.
Por que usar ações protegidas?
Você usa ações protegidas quando deseja adicionar uma camada adicional de proteção. Ações protegidas podem ser aplicadas a permissões que exigem forte proteção da política de Acesso Condicional, independentemente da função que está sendo usada ou de como o usuário recebeu a permissão. Como a imposição da política ocorre no momento em que o usuário tenta executar a ação protegida e não durante a entrada do usuário ou ativação da regra, os usuários são solicitados somente quando necessário.
Quais políticas normalmente são usadas com ações protegidas?
É recomendável usar a autenticação multifator em todas as contas, especialmente contas com funções privilegiadas. Ações protegidas podem ser usadas para exigir segurança adicional. Aqui estão algumas políticas de Acesso Condicional mais fortes comuns.
- Métodos de autenticação MFA mais fortes, como MFA sem senha ou MFA resistente a phishing,
- Estações de trabalho de acesso privilegiado, usando os filtros do dispositivo da política de Acesso Condicional.
- Tempos limite de sessão mais curtos, usando os controles da sessão de frequência de entrada do Acesso Condicional.
Quais permissões podem ser usadas com ações protegidas?
As políticas de Acesso Condicional podem ser aplicadas a um conjunto limitado de permissões. Você pode usar ações protegidas nas seguintes áreas:
- Gerenciamento de política de acesso condicional
- Gerenciamento de configurações de acesso entre locatários
- Exclusão rígida de alguns objetos de diretório
- Regras personalizadas que definem locais de rede
- Gerenciamento de ações protegidas
Este é o conjunto inicial de permissões:
| Permissão | Descrição |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Excluir políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Excluir políticas de acesso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade na nuvem permitidos da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política padrão de acesso entre locatários. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Atualizar as restrições de locatários da política padrão de acesso entre locatários. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Criar política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Excluir a política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de locatários da política de acesso entre locatários para parceiros. |
| microsoft.directory/deletedItems/delete | Excluir objetos permanentemente, que não podem mais ser restaurados |
| microsoft.directory/namedLocations/basic/update | Atualizar propriedades básicas de regras personalizadas que definem locais de rede |
| microsoft.directory/namedLocations/create | Criar regras personalizadas que definem locais de rede |
| microsoft.directory/namedLocations/delete | Excluir regras personalizadas que definem locais de rede |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de Acesso Condicional das ações de recursos de RBAC (controle de acesso baseado em função) do Microsoft 365 |
Exclusão de objetos de diretório
A ID do Microsoft Entra dá suporte a dois tipos de exclusão para a maioria dos objetos de diretório: exclusão temporária e exclusão rígida. Quando um objeto de diretório é excluído suavemente, o objeto, seus valores de propriedade e relações são preservados na lixeira por 30 dias. Um objeto suavemente excluído pode ser restaurado com o mesmo ID, mantendo todos os valores de propriedade e relações intactos. Quando um objeto excluído de forma temporária é excluído permanentemente, o objeto é removido definitivamente e não pode ser recriado com o mesmo identificador do objeto.
Para ajudar a proteger contra exclusões duras acidentais ou mal-intencionadas de alguns objetos de diretório excluídos temporariamente da lixeira e da perda permanente de dados, você pode adicionar uma ação protegida para a permissão a seguir. Essa exclusão se aplica a usuários, grupos do Microsoft 365 e aplicativos.
- microsoft.directory/deletedItems/delete
Como as ações protegidas se comparam com a ativação de função do Privileged Identity Management?
A ativação da função Azure AD Privileged Identity Management também pode ser atribuída às políticas de Acesso Condicional. Essa funcionalidade permite a imposição de política somente quando um usuário ativa uma função, fornecendo a proteção mais abrangente. As ações protegidas são impostas somente quando um usuário executa uma ação que requer permissões com a política de Acesso Condicional atribuída a ela. As ações protegidas permitem que permissões de alto impacto sejam protegidas, independentemente de uma função de usuário. A ativação da função de Privileged Identity Management e as ações protegidas podem ser usadas em conjunto para uma cobertura mais forte.
Etapas para usar ações protegidas
Nota
Você deve executar essas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e impostas corretamente. Se você não seguir essa ordem, poderá obter um comportamento inesperado, como receber solicitações repetidas para reautenticar.
Verificar permissões
Verifique se você recebeu as funções de administrador de acesso condicional ou administrador de segurança. Caso contrário, verifique com o administrador para atribuir a função apropriada.
Configurar a política de acesso condicional
Configure um contexto de autenticação de Acesso Condicional e uma política de Acesso Condicional associada. As ações protegidas usam um contexto de autenticação, que permite a imposição de políticas para recursos refinados em um serviço, como permissões do Microsoft Entra. Uma boa política para começar é exigir MFA sem senha e excluir uma conta de emergência. Saiba mais
Adicionar ações protegidas
Adicione ações protegidas atribuindo valores de contexto de autenticação de acesso condicional a permissões selecionadas. Saiba mais
Testar as ações protegidas
Entre como usuário e teste a experiência do usuário executando a ação protegida. Você deve ser solicitado a atender aos requisitos da política de Acesso Condicional. Por exemplo, se a política exigir autenticação multifator, você deverá ser redirecionado para a página de login e ser solicitado a fornecer uma autenticação forte. Saiba mais
O que acontece com ações e aplicativos protegidos?
Se um aplicativo ou serviço tentar executar uma ação de proteção, ele deverá ser capaz de lidar com a política de Acesso Condicional necessária. Em alguns casos, um usuário pode precisar intervir e satisfazer a política. Por exemplo, elas podem ser necessárias para concluir a autenticação multifator. Os aplicativos a seguir dão suporte à autenticação de etapas para ações protegidas:
- Experiências de administrador do Microsoft Entra para as ações no centro de administração do Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Há algumas limitações conhecidas e esperadas. Os aplicativos a seguir falharão se tentarem executar uma ação protegida.
- Azure PowerShell
- PowerShell do Azure AD
- Criando uma nova página de termos de uso ou controle personalizado no centro de administração do Microsoft Entra. Novos termos de uso de páginas ou controles personalizados são registrados com Acesso Condicional, portanto, estão sujeitos a ações protegidas de criação, atualização e exclusão de acesso condicional. Remover temporariamente o requisito de política das ações de criação, atualização e exclusão do Acesso Condicional permitirá a criação de uma nova página de termos de uso ou controle personalizado.
Se sua organização desenvolveu um aplicativo que chama a API do Microsoft Graph para executar uma ação protegida, você deverá examinar o exemplo de código para saber como lidar com um desafio de declarações usando a autenticação de etapas. Para obter mais informações, consulte Guia do desenvolvedor para o contexto de autenticação de acesso condicional.
Práticas recomendadas
Aqui estão algumas práticas recomendadas para usar ações protegidas.
Ter uma conta de emergência
Ao configurar políticas de Acesso Condicional para ações protegidas, certifique-se de ter uma conta de emergência excluída da política. Isso fornece uma mitigação contra o bloqueio acidental.
Mova as políticas de risco do usuário e de entrada para o Acesso Condicional
As permissões de Acesso Condicional não são usadas ao gerenciar políticas de risco da Proteção de ID do Microsoft Entra. Recomendamos mover políticas de risco de entrada e de usuário para Acesso Condicional.
Usar os locais de rede nomeados
As permissões de localização de rede nomeadas não são usadas ao gerenciar IPs confiáveis de autenticação multifator. Recomendamos usar locais de rede nomeados .
Não use ações protegidas para bloquear o acesso com base na associação de identidade ou grupo
As ações protegidas são usadas para aplicar um requisito de acesso para executar uma ação protegida. Eles não se destinam a bloquear o uso de uma permissão apenas com base na identidade do usuário ou na associação de grupo. Quem tem acesso a permissões específicas é uma decisão de autorização e deve ser controlado pela atribuição de função.
Requisitos de licença
Usar esse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID em disponibilidade geral.