Microsoft Entra ID 中的受保護動作是什麼?
Microsoft Entra 識別碼中的受保護動作是已 條件式存取原則指派的許可權。 當使用者嘗試執行受保護的動作時,他們必須先滿足指派給必要許可權的條件式存取原則。 例如,若要允許系統管理員更新條件式存取原則,您可以要求他們先滿足 網路釣魚防護 MFA 原則。
本文提供受保護動作的概觀,以及如何開始使用它們。
為什麼要使用受保護的動作?
當您想要新增額外的保護層時,請使用保護措施。 受保護的動作可以套用至需要強式條件式存取原則保護的許可權,與所使用的角色無關,或使用者如何獲得許可權。 因為原則強制執行會在使用者嘗試執行受保護的動作時發生,而不是在使用者登入或規則啟用期間執行,因此只有在需要時才會提示使用者。
哪些原則通常與受保護的動作搭配使用?
我們建議在所有帳戶上使用多重要素驗證,特別是具有特殊許可權角色的帳戶。 受保護的動作可以用來要求額外的安全性。 以下是一些常見的更強條件式存取原則。
- 更強大的 MFA 驗證強度,例如無密碼 MFA 或 網路釣魚防護 MFA、
- 具特殊權限的存取工作站,透過條件式存取原則 裝置篩選。
- 透過使用條件式存取 登入頻率會話控件,達到較短的會話逾時。
哪些許可權可以搭配受保護的動作使用?
條件式存取原則可以套用至一組有限的許可權。 您可以在下列區域中使用受保護的動作:
- 條件式存取原則管理
- 跨租戶存取設置管理
- 硬式刪除某些目錄物件
- 定義網路位置的自定義規則
- 受保護的動作管理
以下是一組初始權限:
| 許可 | 描述 |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新條件式存取原則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/create | 建立條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/delete | 刪除條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新條件式存取原則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/create (目錄路徑) | 建立條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/delete | 刪除條件式存取原則 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新跨租戶存取原則中允許的雲端端點 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 更新預設跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 更新預設跨租戶存取原則的 Microsoft Entra B2B 直接連線設定 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新預設跨租戶存取原則中的跨雲端 Teams 會議設定。 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 更新預設跨租戶存取政策的租戶限制。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 更新 Microsoft Entra B2B 共同作業設定的跨租用戶存取原則,適用於合作夥伴。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | 更新 Microsoft Entra B2B 之合作夥伴跨租戶存取政策的直接連線設定。 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 為合作夥伴建立跨租戶存取政策。 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作夥伴的跨租用戶存取政策中的跨雲端 Teams 會議設定。 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 刪除合作夥伴的跨租戶存取原則。 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 更新合作夥伴跨租戶存取政策的租戶限制。 |
| microsoft.directory/deletedItems/delete | 永久刪除無法再還原的物件 |
| microsoft.directory/namedLocations/basic/update | 更新定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/namedLocations/create | 建立定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/delete | 刪除定義網路位置的自定義規則 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容 |
刪除目錄物件
Microsoft Entra ID 支援大多數目錄物件的兩種刪除類型:虛刪除和硬式刪除。 當目錄物件被軟刪除時,該物件、其屬性值和關聯性會在回收站中保留 30 天。 已軟刪除的物件可以使用相同的ID還原,而且所有屬性值和關聯性都保持不變。 當遭軟刪除的物件被永久刪除時,該物件將被永久刪除,且無法使用相同的物件 ID 重新建立。
為了協助防止從回收站中意外或惡意刪除某些已虛刪的目錄物件,以及永久資料遺失,您可以添加以下權限的保護措施。 此刪除適用於使用者、Microsoft 365 個群組和應用程式。
- microsoft.directory/deletedItems/delete
受保護的動作與 Privileged Identity Management 角色啟用的比較如何?
Privileged Identity Management 角色啟用 也可以指派條件式存取原則。 這項功能只有在用戶啟用角色時,才允許強制執行原則,以提供最全面的保護。 只有當使用者採取需要具備條件式存取原則許可權的動作時,才會強制執行受保護的動作。 受保護的動作可讓高影響許可權受到保護,不受使用者角色影響。 特權身分管理角色啟用和保護的動作可以綜合運用,以取得更強大的涵蓋範圍。
使用受保護動作的步驟
注意
您應該依照下列順序執行這些步驟,以確保受保護的動作已正確設定並強制執行。 如果您未依照此順序執行,可能會發生非預期的行為,例如 取得重複要求以重新驗證。
檢查許可權
確認您已獲指派 條件式存取系統管理員 或 安全性系統管理員 角色。 如果沒有,請洽詢您的系統管理員以指派適當的角色。
設定條件式存取原則
設定條件式存取驗證內容和相關聯的條件式存取原則。 受保護的操作會使用驗證內容,允許在服務中對細粒度資源進行原則強制執行,例如 Microsoft Entra 的許可權。 首先,良好的原則是要求無密碼 MFA 並排除緊急帳戶。 瞭解更多
新增受保護的動作
將條件式存取驗證內容值指派給選取的許可權,以新增受保護的動作。 深入瞭解
測試受保護的動作
以使用者身分登入,並執行受保護的動作來測試用戶體驗。 系統應該會提示您滿足條件式存取原則需求。 例如,如果政策需要多重驗證,您應該被重新導向至登入頁面,並提示進行強驗證。 深入瞭解
受保護動作和應用程式會發生什麼事?
如果應用程式或服務嘗試執行保護動作,它必須能夠處理必要的條件式存取原則。 在某些情況下,使用者可能需要介入並滿足原則。 例如,他們可能需要完成多重身份驗證。 下列應用程式支援受保護動作的逐步驗證:
- Microsoft Entra 系統管理員體驗 Microsoft Entra 系統管理中心中的動作
- Microsoft Graph PowerShell
- Graph 瀏覽器
有一些已知且預期的限制。 如果下列應用程式嘗試執行受保護的動作,將會失敗。
- Azure PowerShell
- Azure AD PowerShell
- 在 Microsoft Entra 系統管理中心建立新的 使用規定頁面或 自訂控件。 新的使用規定頁面或自定義控件會向條件式存取註冊,因此受限於條件式存取建立、更新和刪除受保護的動作。 暫時從條件式存取建立、更新和刪除動作中移除原則需求,將允許建立新的使用規定頁面或自定義控件。
如果您的組織已開發應用程式來呼叫 Microsoft Graph API 來執行受保護的動作,您應該檢閱程式碼範例,瞭解如何使用逐步驗證來處理宣告挑戰。 如需詳細資訊,請參閱 條件式存取驗證內容開發人員指南。
最佳做法
以下是使用受保護動作的一些最佳做法。
有緊急帳戶
設定受保護動作的條件式存取原則時,請務必具有從原則中排除的緊急帳戶。 這可降低意外鎖定的風險。
將使用者和登入風險原則移至條件式存取
管理Microsoft Entra ID Protection 風險原則時,不會使用條件式存取許可權。 建議將使用者和登入風險原則移至條件式存取。
使用具名網路位置
請勿使用受保護的措施來封鎖基於身分識別或群組成員資格的存取
受保護的動作可用來套用存取需求來執行受保護的動作。 它們不打算根據使用者身分識別或群組成員資格來封鎖許可權的使用。 誰具有特定許可權的存取權是授權決策,應該由角色指派控制。
授權需求
使用此功能需要Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱 比較 Microsoft Entra ID的一般可用功能。