Microsoft Entra ID 中有哪些受保护的操作?

Microsoft Entra ID 中受保护的操作是已分配有条件访问策略的权限。 当用户尝试执行受保护操作时,他们必须首先满足分配给所需权限的条件访问策略。 例如,若要允许管理员更新条件访问策略,可以要求管理员首先满足防钓鱼 MFA 策略。

本文概述了受保护操作以及如何开始使用这些操作。

为何使用受保护操作?

如果要添加额外的保护层,请使用受保护操作。 受保护操作可以应用于需要强条件访问策略保护的权限,与使用的角色或用户授予权限的方式无关。 由于实施策略发生在用户尝试执行受保护操作时,而不是在用户登录或规则激活期间执行,因此仅在需要时才会提示用户。

哪些策略通常与受保护操作一起使用?

建议对所有帐户(尤其是具有特权角色的帐户)使用多重身份验证。 受保护操作可用于需要额外安全性的场合。 下面是一些常见的更强大的条件访问策略。

哪些权限可用于受保护操作?

条件访问策略可应用于有限的权限集。 可以在以下区域使用受保护操作:

  • 条件访问策略管理
  • 跨租户访问设置管理
  • 定义网络位置的自定义规则
  • 受保护操作管理

下面是初始权限集:

权限 说明
microsoft.directory/conditionalAccessPolicies/basic/update 更新条件访问策略的基本属性
microsoft.directory/conditionalAccessPolicies/create 创建条件访问策略
microsoft.directory/conditionalAccessPolicies/delete 删除条件访问策略
microsoft.directory/conditionalAccessPolicies/basic/update 更新条件访问策略的基本属性
microsoft.directory/conditionalAccessPolicies/create 创建条件访问策略
microsoft.directory/conditionalAccessPolicies/delete 删除条件访问策略
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新默认跨租户访问策略的 Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 更新默认跨租户访问策略的 Microsoft Entra B2B 直连设置
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新默认跨租户访问策略的跨云 Teams 会议。
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新默认跨租户访问策略的租户限制。
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 协作设置。
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 直连设置。
microsoft.directory/crossTenantAccessPolicy/partners/create 为合作伙伴创建跨租户访问策略。
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作伙伴的跨租户访问策略的跨云 Teams 会议。
microsoft.directory/crossTenantAccessPolicy/partners/delete 删除合作伙伴的跨租户访问策略。
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作伙伴的跨租户访问策略的租户限制。
microsoft.directory/namedLocations/basic/update 更新定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/create 创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete 删除定义网络位置的自定义规则
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 基于角色的访问控制(RBAC)资源操作的条件访问身份验证上下文

受保护操作与“Privileged Identity Management”角色激活相比如何?

还可以为“Privileged Identity Management”角色激活分配条件访问策略。 此功能仅允许在用户激活角色时实施策略,从而提供最全面的保护。 仅当用户执行需要分配有条件访问策略权限的操作时,才会强制实施受保护操作。 受保护操作允许独立于用户角色保护高影响权限。 “Privileged Identity Management”角色激活和受保护操作可以一起使用,实现更强大的覆盖范围。

使用受保护操作的步骤

注意

应按以下顺序执行这些步骤,以确保正确配置并强制实施受保护操作。 如果不遵循此顺序,可能会发生意外行为,例如收到重新进行身份验证的重复请求

  1. 检查权限

    检查是否分配有条件访问管理员安全管理员角色。 如果未分配,请与管理员联系以分配适当的角色。

  2. 配置条件性访问策略

    配置条件访问身份验证上下文和关联的条件访问策略。 受保护的操作使用身份验证上下文,该上下文允许对服务中的细化资源(如 Microsoft Entra 权限)实施策略。 好的开始策略是要求无密码 MFA 并排除紧急帐户。 了解详细信息

  3. 添加受保护操作

    通过将条件访问身份验证上下文值分配给所选权限来添加受保护操作。 了解详细信息

  4. 测试受保护操作

    以用户身份登录,并通过执行受保护操作来测试用户体验。 系统应提示满足条件访问策略要求。 例如,如果策略要求多重身份验证,则应重定向到登录页,并提示进行强身份验证。 了解详细信息

受保护操作和应用程序会发生什么情况?

如果应用程序或服务尝试执行保护操作,它必须能够处理所需的条件访问策略。 在某些情况下,用户可能需要干预并满足策略。 例如,可能需要完成多重身份验证。 以下应用程序支持受保护操作的升级身份验证:

存在一些已知和预期的限制。 如果以下应用程序尝试执行受保护操作,则会失败。

  • Azure PowerShell
  • Azure AD PowerShell
  • 在 Microsoft Entra 管理中心内创建新的使用条款页或自定义控件。 新的使用条款页或自定义控件注册到条件访问,因此受条件访问创建、更新和删除受保护操作的约束。 暂时从条件访问创建、更新和删除操作中删除策略要求将允许创建新的使用条款页或自定义控件。

如果组织已开发调用 Microsoft 图形 API 以执行受保护操作的应用程序,则应查看代码示例,了解如何使用升级身份验证处理声明质询。 有关详细信息,请参阅条件访问身份验证上下文开发人员指南

最佳实践

下面是使用受保护操作的一些最佳做法。

  • 拥有紧急帐户

    为受保护操作配置条件访问策略时,请确保拥有=从策略中排除的紧急帐户。 这提供了针对意外锁定的缓解措施。

  • 将用户和登录风险策略移动到条件访问

    管理 Microsoft Entra ID 保护风险策略时,不会使用条件访问权限。 建议将用户和登录风险策略移动到条件访问。

  • 使用命名网络位置

    管理多重身份验证受信任的 IP 时,不使用命名网络位置权限。 建议使用命名网络位置

  • 不要使用受保护操作来阻止基于标识或组成员身份的访问

    受保护操作用于应用访问要求来执行受保护操作。 它们不会仅基于用户标识或组成员身份阻止使用权限。 谁有权访问特定权限是授权决策,应由角色分配控制。

许可要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

后续步骤