O que são ações protegidas no Microsoft Entra ID?
As ações protegidas no Microsoft Entra ID são permissões que foram atribuídas políticas de Acesso Condicional. Quando um usuário tenta executar uma ação protegida, ele deve primeiro satisfazer as políticas de Acesso Condicional atribuídas às permissões necessárias. Por exemplo, para permitir que os administradores atualizem as políticas de Acesso Condicional, você pode exigir que eles primeiro satisfaçam a política de MFA resistente a Phishing.
Este artigo fornece uma visão geral das ações protegidas e como começar a usá-las.
Porquê utilizar ações protegidas?
Você usa ações protegidas quando deseja adicionar uma camada adicional de proteção. As ações protegidas podem ser aplicadas a permissões que exigem uma forte proteção da política de Acesso Condicional, independentemente da função que está sendo usada ou de como o usuário recebeu a permissão. Como a imposição da política ocorre no momento em que o usuário tenta executar a ação protegida e não durante a entrada do usuário ou a ativação da regra, os usuários são solicitados somente quando necessário.
Quais políticas são normalmente usadas com ações protegidas?
Recomendamos o uso da autenticação multifator em todas as contas, especialmente em contas com funções privilegiadas. As ações protegidas podem ser usadas para exigir segurança adicional. Aqui estão algumas políticas comuns de Acesso Condicional mais fortes.
- Autenticações MFA mais fortes, como MFA sem palavra-passe ou MFA resistente a phishing,
- Estações de trabalho de acesso privilegiado, através da política de Acesso Condicional e de filtros de dispositivo.
- Tempos limite de sessão mais curtos, utilizando controlos de sessão com frequência de início de sessão do Acesso Condicional .
Que permissões podem ser usadas com ações protegidas?
As políticas de Acesso Condicional podem ser aplicadas a um conjunto limitado de permissões. Você pode usar ações protegidas nas seguintes áreas:
- Gestão da política de Acesso Condicional
- Gerenciamento de configurações de acesso entre locatários
- Exclusão rígida de alguns objetos de diretório
- Regras personalizadas que definem locais de rede
- Gestão de ações protegidas
Aqui está o conjunto inicial de permissões:
| Permissão | Descrição |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/excluir | Excluir políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/excluir | Excluir políticas de acesso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar os endereços de nuvem permitidos da política de acesso inter-locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/atualizar | Atualizar as definições de colaboração B2B do Microsoft Entra na política de acesso cruzado padrão entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários padrão |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualize as configurações de reunião do Teams entre nuvens da política de acesso entre locatários padrão. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Atualize as restrições de locatário da política de acesso entre locatários padrão. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualize as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualize as configurações de conexão direta do Microsoft Entra B2B da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crie uma política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualize as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Exclua a política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualize as restrições de inquilino na política de acesso entre inquilinos para parceiros. |
| microsoft.directory/itensEliminados/eliminar | Excluir permanentemente objetos, que não podem mais ser restaurados |
| microsoft.directory/namedLocations/basic/update | Atualizar propriedades básicas de regras personalizadas que definem locais de rede |
| microsoft.directory/namedLocations/criar | Criar regras personalizadas que definem locais de rede |
| microsoft.directory/namedLocations/excluir | Excluir regras personalizadas que definem locais de rede |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de Acesso Condicional de ações de recursos de controle de acesso baseado em função (RBAC) do Microsoft 365 |
Exclusão de objetos de diretório
O Microsoft Entra ID suporta dois tipos de exclusão para a maioria dos objetos de diretório: exclusão suave e exclusão rígida. Quando um objeto de diretório é excluído suavemente, o objeto, seus valores de propriedade e relacionamentos são preservados na lixeira por 30 dias. Um objeto excluído suavemente pode ser restaurado com a mesma ID e todos os valores de propriedade e relações intactos. Quando um objeto soft-deletado é hard-deletado, o objeto é excluído permanentemente e não pode ser recriado com o mesmo ID de objeto.
Para ajudar a proteger contra exclusões acidentais ou maliciosas de alguns objetos de diretório excluídos por software da lixeira e perda permanente de dados, você pode adicionar uma ação protegida para a seguinte permissão. Essa exclusão se aplica a usuários, grupos do Microsoft 365 e aplicativos.
- microsoft.directory/deletedItems/delete
Como as ações protegidas se comparam com a ativação da função Privileged Identity Management?
A ativação de funções do Gerenciamento de Identidades Privilegiadas também pode ter políticas de Acesso Condicional atribuídas. Esse recurso permite a aplicação de políticas somente quando um usuário ativa uma função, fornecendo a proteção mais abrangente. As ações protegidas são impostas somente quando um usuário executa uma ação que requer permissões com a política de Acesso Condicional atribuída a ele. As ações protegidas permitem que as permissões de alto impacto sejam protegidas, independentemente de uma função de usuário. A ativação da função Privileged Identity Management e as ações protegidas podem ser usadas juntas para uma cobertura mais forte.
Etapas para usar ações protegidas
Observação
Você deve executar essas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e aplicadas corretamente. Se você não seguir essa ordem, poderá ter um comportamento inesperado, como receber solicitações repetidas para reautenticar.
Verificar permissões
Verifique se lhe foram atribuídas as funções Administrador de Acesso Condicional ou de Administrador de Segurança. Caso contrário, consulte o administrador para atribuir a função apropriada.
Configurar a política de Acesso Condicional
Configure um contexto de autenticação de Acesso Condicional e uma política de Acesso Condicional associada. As ações protegidas usam um contexto de autenticação, que permite a imposição de políticas para recursos refinados em um serviço, como as permissões do Microsoft Entra. Uma boa política para começar é exigir MFA sem senha e excluir uma conta de emergência. Saiba mais
Adicionar ações protegidas
Adicione ações protegidas atribuindo valores de contexto de autenticação de Acesso Condicional às permissões selecionadas. Saiba mais
Testar ações protegidas
Entre como usuário e teste a experiência do usuário executando a ação protegida. Você deve ser solicitado a satisfazer os requisitos da política de Acesso Condicional. Por exemplo, se a política exigir autenticação multifator, você deverá ser redirecionado para a página de entrada e solicitada a autenticação forte. Saiba mais
O que acontece com ações e aplicativos protegidos?
Se um aplicativo ou serviço tentar executar uma ação de proteção, ele deverá ser capaz de manipular a política de Acesso Condicional necessária. Em alguns casos, um usuário pode precisar intervir e satisfazer a política. Por exemplo, eles podem ser obrigados a concluir a autenticação multifatorial. Os seguintes aplicações oferecem suporte à autenticação de nível superior para ações protegidas:
- Experiências de administrador do Microsoft Entra relacionadas às ações no centro administrativo do Microsoft Entra
- do Microsoft Graph PowerShell
- Explorador de Gráficos
Existem algumas limitações conhecidas e esperadas. Os aplicativos a seguir falharão se tentarem executar uma ação protegida.
- Azure PowerShell
- Azure AD PowerShell
- Criar uma nova página de termos de uso ou controlo personalizado no centro de administração Microsoft Entra. Novas páginas de termos de uso ou controles personalizados são registrados com Acesso Condicional, portanto, estão sujeitos a ações protegidas de criação, atualização e exclusão de Acesso Condicional. A remoção temporária do requisito de política das ações de criação, atualização e exclusão do Acesso Condicional permitirá a criação de uma nova página de termos de uso ou controle personalizado.
Se a sua organização desenvolveu uma aplicação que chama a API do Microsoft Graph para realizar uma ação protegida, deverá rever o exemplo de código para entender como lidar com um desafio de declarações usando a autenticação reforçada. Para obter mais informações, consulte Guia do desenvolvedor para contexto de autenticação de acesso condicional.
Melhores práticas
Aqui estão algumas práticas recomendadas para usar ações protegidas.
Ter uma conta de emergência
Ao configurar políticas de Acesso Condicional para ações protegidas, certifique-se de ter uma conta de emergência excluída da política. Isso fornece uma mitigação contra o bloqueio acidental.
Mover políticas de risco de usuário e entrada para o de Acesso Condicional
As permissões de Acesso Condicional não são usadas ao gerenciar políticas de risco da Proteção de ID do Microsoft Entra. Recomendamos mover as políticas de risco de usuário e entrada para Acesso Condicional.
Usar locais de rede nomeados
As permissões para locais de rede nomeados não são usadas quando se gerem IPs confiáveis de autenticação multifator. Recomendamos o uso de locais de rede nomeados .
Não use ações protegidas para bloquear o acesso com base na identidade ou na associação ao grupo
As ações protegidas são usadas para aplicar um requisito de acesso para executar uma ação protegida. Eles não se destinam a bloquear o uso de uma permissão apenas com base na identidade do usuário ou na associação ao grupo. Quem tem acesso a permissões específicas é uma decisão de autorização e deve ser controlado pela atribuição de função.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, consulte Comparação das funcionalidades geralmente disponíveis do Microsoft Entra ID.