Vad är skyddade åtgärder i Microsoft Entra-ID?
Skyddade åtgärder i Microsoft Entra-ID är behörigheter som har tilldelats principer för villkorlig åtkomst. När en användare försöker utföra en skyddad åtgärd måste de först uppfylla de principer för villkorsstyrd åtkomst som tilldelats de behörigheter som krävs. Om du till exempel vill tillåta administratörer att uppdatera principer för villkorsstyrd åtkomst kan du kräva att de först uppfyller nätfiskeresistenta MFA- princip.
Den här artikeln innehåller en översikt över skyddade åtgärder och hur du kommer igång med dem.
Varför ska du använda skyddade åtgärder?
Du använder skyddade åtgärder när du vill lägga till ytterligare ett skyddslager. Skyddade åtgärder kan tillämpas på behörigheter som kräver starkt principskydd för villkorsstyrd åtkomst, oberoende av vilken roll som används eller hur användaren fick behörigheten. Eftersom principtillämpningen inträffar vid den tidpunkt då användaren försöker utföra den skyddade åtgärden och inte vid aktivering av användarinloggning eller regel, uppmanas användarna endast när det behövs.
Vilka principer används vanligtvis med skyddade åtgärder?
Vi rekommenderar att du använder multifaktorautentisering på alla konton, särskilt konton med privilegierade roller. Skyddade åtgärder kan användas för att kräva ytterligare säkerhet. Här följer några vanliga starkare principer för villkorlig åtkomst.
- Starkare MFA-autentiseringsstyrkor, till exempel lösenordsfri MFA- eller nätfiskeresistentA MFA-,
- Arbetsstationer med privilegierad åtkomst, genom att använda villkorsstyrd åtkomstpolicy och enhetsfilter.
- Kortare tidsgränser för sessioner med hjälp av villkorsstyrd åtkomst kontroller för inloggningsfrekvenssessioner.
Vilka behörigheter kan användas med skyddade åtgärder?
Principer för villkorsstyrd åtkomst kan tillämpas på begränsad uppsättning behörigheter. Du kan använda skyddade åtgärder inom följande områden:
- Principhantering för villkorsstyrd åtkomst
- Hantering av inställningar för åtkomst mellan klienter
- Hård borttagning av vissa katalogobjekt
- Anpassade regler som definierar nätverksplatser
- Hantering av skyddad åtgärd
Här är den första uppsättningen behörigheter:
| Tillåtelse | Beskrivning |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorsstyrd åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/basic/update | Uppdatera grundläggande egenskaper för principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/create | Skapa principer för villkorlig åtkomst |
| microsoft.directory/conditionalAccessPolicies/delete | Ta bort principer för villkorlig åtkomst |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Uppdatera tillåtna molnslutpunkter för åtkomstprincipen mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för standardprincipen för åtkomst mellan olika klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Uppdatera inställningarna för direktanslutning av Microsoft Entra B2B för standardpolicyn för åtkomst mellan klientorganisationer |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Uppdatera Teams-mötesinställningar för standardprincipen för tvärmoln-åtkomst mellan klientorganisationer. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Uppdatera begränsningarna för klienter i standardprincipen för åtkomst mellan hyresgäster. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Uppdatera Microsoft Entra B2B-samarbetsinställningar för åtkomstprinciper mellan klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Uppdatera Microsoft Entra B2B-direktanslutningsinställningar för principen för åtkomst mellan klienter för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Skapa åtkomstprincip för flera klientorganisationer för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Uppdatera molnöverskridande Teams-mötesinställningar för partnernas åtkomstpolicy mellan klientorganisationer. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Ta bort den princip för klientöverskridande åtkomst för partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Uppdatera klientbegränsningar för åtkomstprinciper mellan klientorganisationer för partner. |
| microsoft.directory/deletedItems/delete | Ta bort objekt permanent, som inte längre kan återställas |
| microsoft.directory/namedLocations/basic/update | Uppdatera grundläggande egenskaper för anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/create | Skapa anpassade regler som definierar nätverksplatser |
| microsoft.directory/namedLocations/delete | Ta bort anpassade regler som definierar nätverksplatser |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Uppdatera autentiseringskontexten för villkorsstyrd åtkomst för resursåtgärder för Rollbaserad åtkomstkontroll i Microsoft 365 (RBAC) |
Borttagning av katalogobjekt
Microsoft Entra-ID stöder två typer av borttagning för de flesta katalogobjekt: mjuk borttagning och hård borttagning. När ett katalogobjekt tas bort mjukt bevaras objektet, dess egenskapsvärden och relationer i papperskorgen i 30 dagar. Ett mjukt borttaget objekt kan återställas med samma ID och alla egenskapsvärden och relationer intakta. När ett mjukt borttaget objekt tas bort tas objektet bort permanent och det kan inte återskapas med samma objekt-ID.
För att skydda mot oavsiktliga eller skadliga hårda borttagningar av vissa mjukt borttagna katalogobjekt från papperskorgen och permanent dataförlust kan du lägga till en skyddad åtgärd för följande behörighet. Den här borttagningen gäller för användare, Microsoft 365-grupper och program.
- microsoft.directory/deletedItems/delete
Hur jämförs skyddade åtgärder med rollaktivering av privilegierad identitetshantering?
Rollaktivering av privilegierad identitetshantering kan också tilldelas principer för villkorsstyrd åtkomst. Den här funktionen möjliggör endast principframtvingande när en användare aktiverar en roll, vilket ger det mest omfattande skyddet. Skyddade åtgärder framtvingas endast när en användare vidtar en åtgärd som kräver behörigheter med en tilldelad princip för villkorsstyrd åtkomst. Skyddade åtgärder gör att behörigheter med hög påverkan kan skyddas, oberoende av en användarroll. Rollaktivering och skyddade åtgärder för privilegierad identitetshantering kan användas tillsammans för en starkare täckning.
Steg för att använda skyddade åtgärder
Not
Du bör utföra de här stegen i följande sekvens för att säkerställa att skyddade åtgärder är korrekt konfigurerade och framtvingade. Om du inte följer den här ordningen kan du få ett oväntat beteende, som att får upprepade begäranden om att återautentisera.
Kontrollera behörigheter
Kontrollera att du har tilldelats administratör för villkorlig åtkomst eller säkerhetsadministratör roller. Om inte kan du kontakta administratören för att tilldela lämplig roll.
Konfigurera princip för villkorlig åtkomst
Konfigurera en kontext för autentisering med villkorsstyrd åtkomst och en associerad princip för villkorsstyrd åtkomst. Skyddade åtgärder använder en autentiseringskontext som tillåter principframtvingande för detaljerade resurser i en tjänst, till exempel Microsoft Entra-behörigheter. En bra princip att börja med är att kräva lösenordslös MFA och exkludera ett nödkonto. Läs mer
Lägg till skyddade åtgärder
Lägg till skyddade åtgärder genom att tilldela kontextvärden för autentisering med villkorsstyrd åtkomst till valda behörigheter. Läs mer
Testa skyddade åtgärder
Logga in som användare och testa användarupplevelsen genom att utföra den skyddade åtgärden. Du bör uppmanas att uppfylla principkraven för villkorsstyrd åtkomst. Om principen till exempel kräver multifaktorautentisering bör du omdirigeras till inloggningssidan och uppmanas att ange stark autentisering. Läs mer
Vad händer med skyddade åtgärder och program?
Om ett program eller en tjänst försöker utföra en skyddsåtgärd måste det kunna hantera den nödvändiga principen för villkorsstyrd åtkomst. I vissa fall kan en användare behöva ingripa och uppfylla principen. De kan till exempel krävas för att slutföra multifaktorautentisering. Följande program stöder stegvis autentisering för skyddade åtgärder:
- Microsoft Entra-administratörsupplevelser för åtgärderna i Microsoft Entra administrationscenter
- Microsoft Graph PowerShell
- Graph Explorer
Det finns några kända och förväntade begränsningar. Följande program misslyckas om de försöker utföra en skyddad åtgärd.
- Azure PowerShell
- Azure AD PowerShell
- Skapa en ny användningsvillkorssida eller anpassad kontroll i Microsoft Entras administrationscenter. Nya sidor för användarvillkor eller anpassade kontroller registreras med Villkorsstyrd åtkomst och omfattas därför av säkerhetsåtgärder för att skapa, uppdatera och ta bort. Om du tillfälligt tar bort principkravet från åtgärderna för att skapa, uppdatera och ta bort villkorlig åtkomst kan du skapa en ny användningssida eller anpassad kontroll.
Om din organisation har utvecklat ett program som anropar Microsoft Graph API för att utföra en skyddad åtgärd bör du granska kodexemplet för hur du hanterar en anspråksutmaning med hjälp av stegvis autentisering. Mer information finns i utvecklarguide för autentiseringskontext för villkorlig åtkomst.
Metodtips
Här följer några metodtips för att använda skyddade åtgärder.
Ha ett konto för nödsituationer
När du konfigurerar principer för villkorsstyrd åtkomst för skyddade åtgärder måste du ha ett konto för nödsituationer som undantas från principen. Detta ger en åtgärd mot oavsiktlig utelåsning.
Flytta principer för användar- och inloggningsrisk till villkorlig åtkomst
Behörigheter för villkorsstyrd åtkomst används inte när du hanterar riskprinciper för Microsoft Entra ID Protection. Vi rekommenderar att du flyttar principer för användar- och inloggningsrisk till villkorsstyrd åtkomst.
Använd namngivna nätverksplatser
Namngivna nätverksplatsbehörigheter används inte vid hantering av betrodda IP-adresser för multifaktorautentisering. Vi rekommenderar att du använder namngivna nätverksplatser.
Använd inte skyddade åtgärder för att blockera åtkomst baserat på identitets- eller gruppmedlemskap
Skyddade åtgärder används för att tillämpa ett åtkomstkrav för att utföra en skyddad åtgärd. De är inte avsedda att blockera användning av en behörighet som bara baseras på användaridentitet eller gruppmedlemskap. Vem som har åtkomst till specifika behörigheter är ett auktoriseringsbeslut och bör styras av rolltilldelning.
Licenskrav
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.