Microsoft Entra ID 中的受保护操作是什么?
Microsoft Entra ID 中的受保护操作是已通过 条件访问策略分配的权限。 当用户尝试执行受保护的操作时,他们必须首先满足分配给所需权限的条件访问策略。 例如,若要允许管理员更新条件访问策略,可以要求管理员首先满足 防钓鱼 MFA 策略。
本文概述了受保护的操作以及如何开始使用它们。
为何使用受保护的操作?
如果要添加额外的保护层,请使用受保护操作。 受保护的操作可以应用于需要强条件访问策略保护的权限,而不受正在使用的角色或用户如何授予权限。 由于策略强制实施发生在用户尝试执行受保护操作时,而不是在用户登录或规则激活期间执行,因此仅在需要时才会提示用户。
哪些策略通常用于受保护的操作?
建议在所有帐户上使用多重身份验证,尤其是具有特权角色的帐户。 受保护的操作可用于要求额外的安全性。 下面是一些常见的更强条件访问策略。
哪些权限可用于受保护的操作?
条件访问策略可以应用于有限的权限集。 可以在以下方面使用受保护的操作:
- 条件访问策略管理
- 跨租户访问设置管理
- 硬删除某些目录对象
- 定义网络位置的自定义规则
- 受保护操作管理
下面是初始权限集:
| 许可 | 描述 |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新条件访问策略的基本属性 |
| microsoft.directory/conditionalAccessPolicies/create | 创建条件访问策略 |
| microsoft.directory/conditionalAccessPolicies/delete | 删除条件访问策略 |
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新条件访问策略的基本属性 |
| microsoft.directory/conditionalAccessPolicies/create | 创建条件访问策略 |
| microsoft.directory/conditionalAccessPolicies/delete | 删除条件访问策略 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新跨租户访问策略的允许的云终结点 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 更新默认跨租户访问策略中的 Microsoft Entra B2B 协作设置 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 更新默认跨租户访问策略中的 Microsoft Entra B2B 直接连接设置 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新默认跨租户访问策略的跨云 Teams 会议。 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 更新默认跨租户访问策略的租户限制。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 协作设置。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 直连设置。 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 为合作伙伴创建跨租户访问策略。 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作伙伴的跨租户访问策略的跨云 Teams 会议。 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 删除合作伙伴的跨租户访问策略。 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 更新合作伙伴的跨租户访问策略的租户限制。 |
| microsoft.directory/deletedItems/delete | 永久删除无法再还原的对象 |
| microsoft.directory/namedLocations/basic/update | 更新定义网络位置的自定义规则的基本属性 |
| microsoft.directory/namedLocations/create | 创建自定义规则来定义网络位置 |
| microsoft.directory/namedLocations/delete | 删除定义网络位置的自定义规则 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新Microsoft 365 基于角色的访问控制(RBAC)资源操作的条件访问身份验证上下文 |
删除目录对象
Microsoft Entra ID 支持大多数目录对象的两种类型的删除:软删除和硬删除。 软删除目录对象时,该对象及其属性值和关系会在回收站中保留 30 天。 软删除的对象可以使用相同的 ID 还原,并且所有属性值和关系保持不变。 硬删除软删除对象时,将永久删除该对象,并且不能使用相同的对象 ID 重新创建该对象。
为了帮助防止从回收站意外或恶意删除某些软删除的目录对象和永久数据丢失,可以为以下权限添加受保护的操作。 此删除适用于用户、Microsoft 365 组和应用程序。
- microsoft.directory/deletedItems/delete
受保护的操作与 Privileged Identity Management 角色激活有何比较?
还可以为 Privileged Identity Management 角色激活分配条件访问策略。 仅当用户激活角色时,此功能才允许策略强制实施,从而提供最全面的保护。 仅当用户执行需要向其分配有条件访问策略的权限的操作时,才会强制实施受保护的操作。 受保护的操作允许对高影响的权限进行保护,而不受用户角色的影响。 特权身份管理角色激活和受保护的操作可以结合使用,以实现更强的覆盖。
使用受保护操作的步骤
注意
应按以下顺序执行这些步骤,以确保正确配置并强制实施受保护的操作。 如果不遵循此顺序,可能会发生意外行为,例如收到重新进行身份验证的重复请求。
检查权限
配置条件访问策略
配置条件访问身份验证上下文和关联的条件访问策略。 受保护的操作使用身份验证上下文,该上下文允许对服务中的细化资源(如 Microsoft Entra 权限)实施策略。 一个良好的策略,首先需要无密码 MFA,并排除紧急帐户。 详细了解
添加受保护的操作
通过将条件访问身份验证上下文值分配给所选权限来添加受保护的操作。 详细了解
测试受保护的操作
以用户身份登录,并通过执行受保护的操作来测试用户体验。 应提示你满足条件访问策略要求。 例如,如果策略需要多重身份验证,则应重定向到登录页并提示进行强身份验证。 详细了解
受保护操作和应用程序会发生什么情况?
如果应用程序或服务尝试执行保护操作,则必须能够处理所需的条件访问策略。 在某些情况下,用户可能需要进行干预并满足策略。 例如,可能需要它们来完成多重身份验证。 以下应用程序支持对受保护操作的逐步身份验证:
- Microsoft Entra 管理中心中的操作的 Microsoft Entra 管理员体验
- Microsoft Graph PowerShell
- 图形浏览器
存在一些已知和预期的限制。 如果以下应用程序尝试执行受保护的操作,则这些应用程序将失败。
- Azure PowerShell
- Azure AD PowerShell
- 在 Microsoft Entra 管理中心创建新的 使用条款 页面或 自定义控件。 新的使用条款页面或自定义控件注册到条件访问,因此受条件访问创建、更新和删除受保护操作的约束。 暂时从条件访问创建、更新和删除操作中删除策略要求将允许创建新的使用条款页或自定义控件。
如果组织开发了调用 Microsoft 图形 API 以执行受保护操作的应用程序,则应查看代码示例,了解如何使用逐步身份验证处理声明质询。 有关详细信息,请参阅 条件访问身份验证上下文开发人员指南。
最佳做法
下面是使用受保护操作的一些最佳做法。
有紧急帐户
为受保护的操作配置条件访问策略时,请确保有一个从策略中排除的紧急帐户。 这提供了针对意外锁定的缓解措施。
将用户和登录风险策略移动到条件访问
管理 Microsoft Entra ID 保护风险策略时,不使用条件访问权限。 建议将用户和登录风险策略移动到条件访问。
使用命名网络位置
管理多重身份验证受信任的 IP 时,不使用命名网络位置权限。 我们建议使用 来命名网络位置。
不要使用受保护操作来阻止基于标识或组成员身份的访问
受保护的操作用于应用访问要求来执行受保护的操作。 它们不打算仅基于用户标识或组成员身份阻止使用权限。 谁有权访问特定权限是授权决策,应由角色分配控制。
许可证要求
使用此功能需要Microsoft Entra ID P1 许可证。 若要找到符合你需求的许可证,请参阅 比较 Microsoft Entra ID的通用功能。