Was sind geschützte Aktionen in Microsoft Entra ID?

Geschützte Aktionen in Microsoft Entra ID sind Berechtigungen mit zugewiesenen Richtlinien für bedingten Zugriff. Wenn ein Benutzer versucht, eine geschützte Aktion auszuführen, muss er zuerst die Richtlinien für bedingten Zugriff erfüllen, die den erforderlichen Berechtigungen zugewiesen sind. Damit Administratoren beispielsweise Richtlinien für bedingten Zugriff aktualisieren können, können Sie verlangen, dass sie zuerst die Richtlinie Phishingresistente MFA erfüllen.

Dieser Artikel bietet eine Übersicht über geschützte Aktionen und die ersten Schritte zu ihrer Verwendung.

Gründe für geschützte Aktionen

Geschützte Aktionen bieten sich an, wenn Sie eine zusätzliche Schutzebene hinzufügen möchten. Geschützte Aktionen können Berechtigungen zugewiesen werden, die einen hohen Schutz durch die Richtlinie für bedingten Zugriff unabhängig davon anfordern, welche Rolle verwendet wird oder wie der Benutzer die Berechtigung erhalten hat. Da die Erzwingung der Richtlinie zu dem Zeitpunkt erfolgt, zu dem der Benutzer versucht, die geschützte Aktion durchzuführen, und nicht während der Benutzeranmeldung oder der Regelaktivierung, werden Benutzer nur bei Bedarf zur Eingabe aufgefordert.

Welche Richtlinien werden üblicherweise mit geschützten Aktionen verwendet?

Es wird empfohlen, Multi-Faktor-Authentifizierung für alle Konten zu verwenden, insbesondere für Konten mit privilegierten Rollen. Geschützte Aktionen bieten sich auch an, um zusätzliche Sicherheitsvorkehrungen zu verlangen. Im Folgenden finden Sie einige gängige strengere Richtlinien für bedingten Zugriff.

Welche Berechtigungen können mit geschützten Aktionen verwendet werden?

Es können Richtlinien für bedingten Zugriff für einen eingeschränkten Berechtigungssatz gelten. Geschützte Aktionen sind in den folgenden Bereichen geeignet:

  • Verwaltung von Richtlinien für bedingten Zugriff
  • Mandantenübergreifende Verwaltung der Zugriffseinstellungen
  • Benutzerdefinierte Regel zum Bestimmen von Netzwerkadressen
  • Verwaltung geschützter Aktionen

Hier sehen Sie den anfänglichen Berechtigungssatz:

Berechtigung BESCHREIBUNG
microsoft.directory/conditionalAccessPolicies/basic/update Aktualisieren grundlegender Eigenschaften der Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/create Erstellen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/delete Löschen von Richtlinien für bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/basic/update Aktualisieren grundlegender Eigenschaften der Richtlinien für den bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/create Erstellen von Richtlinien für den bedingten Zugriff
microsoft.directory/conditionalAccessPolicies/delete Löschen von Richtlinien für den bedingten Zugriff
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualisieren Sie die cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualisieren Sie die Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie.
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualisieren Sie die Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aktualisieren Sie Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/create Erstellen Sie eine mandantenübergreifende Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualisieren Sie die cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/delete Löschen Sie eine mandantenübergreifende Zugriffsrichtlinie für Partner.
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualisieren Sie die Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner.
microsoft.directory/namedLocations/basic/update Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/create Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/namedLocations/delete Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren

Wie lassen sich geschützte Aktionen mit Aktivierung der Rolle „Privileged Identity Management“ vergleichen?

Die Aktivierung der Rolle „Privileged Identity Management“ kann auch Richtlinien für bedingten Zugriff zugewiesen werden. Dies ermöglicht die Erzwingung von Richtlinien nur dann, wenn ein Benutzer eine Rolle aktiviert, und bietet so den umfassendsten Schutz. Geschützte Aktionen werden nur dann erzwungen, wenn ein Benutzer eine Aktion durchführt, die Berechtigungen mit der ihm zugewiesenen Richtlinie für bedingten Zugriff erfordert. Geschützte Aktionen ermöglichen den Schutz von Berechtigungen mit großer Auswirkung unabhängig von der Benutzer*innenrolle. Die Aktivierung der Rolle „Privileged Identity Management“ und geschützte Aktionen können zusammen verwendet werden, um eine sicherere Abdeckung zu erreichen.

Schritte zur Verwendung geschützter Aktionen

Hinweis

Führen Sie diese Schritte in der folgenden Sequenz aus, um sicherzustellen, dass geschützte Aktionen ordnungsgemäß konfiguriert und erzwungen werden. Wenn Sie diese Reihenfolge nicht einhalten, kann es zu unerwartetem Verhalten kommen, z. B. zu wiederholten Aufforderungen zur erneuten Authentifizierung.

  1. Überprüfen Sie die Berechtigungen.

    Überprüfen Sie, ob Ihnen die Rollen Administrator für bedingten Zugriff oder Sicherheitsadministrator zugewiesen sind. Falls nicht, bitten Sie Ihren Administrator, Ihnen die entsprechende Rolle zuzuweisen.

  2. Konfigurieren einer Richtlinie für bedingten Zugriff

    Konfigurieren Sie einen Authentifizierungskontext für bedingten Zugriff und eine zugeordnete Richtlinie für bedingten Zugriff. Geschützte Aktionen arbeiten mit einem Authentifizierungskontext, der die Erzwingung von Richtlinien für differenzierte Ressourcen in einem Dienst ermöglicht, wie z. B. Microsoft Entra-Berechtigungen. Eine gute Richtlinie für den Anfang ist es, kennwortlose MFA zu verlangen und ein Notfallkonto auszuschließen. Weitere Informationen

  3. Hinzufügen geschützter Aktionen

    Fügen Sie geschützte Aktionen hinzu, indem Sie ausgewählten Berechtigungen Werte für den Authentifizierungskontext des bedingten Zugriffs zuweisen. Weitere Informationen

  4. Testen geschützter Aktionen

    Melden Sie sich als Benutzer an, und testen Sie die Benutzerumgebung, indem Sie die geschützte Aktion ausführen. Sie sollten aufgefordert werden, die Anforderungen an die Richtlinie für bedingten Zugriff zu erfüllen. Wenn die Richtlinie beispielsweise Multi-Faktor-Authentifizierung anfordert, sollten Sie zur Anmeldeseite umgeleitet und zur sicheren Authentifizierung aufgefordert werden. Weitere Informationen

Was geschieht mit geschützten Aktionen und Anwendungen?

Wenn eine Anwendung oder ein Dienst versucht, eine geschützte Aktion auszuführen, muss sie in der Lage sein, die angeforderte Richtlinie für bedingten Zugriff zu handhaben. In einigen Fällen muss ein Benutzer möglicherweise eingreifen und die Richtlinie erfüllen. Es kann z. B. erforderlich sein, die Multi-Faktor-Authentifizierung zu absolvieren. Die folgenden Anwendungen unterstützen die abgestufte Authentifizierung für geschützte Aktionen:

Es gibt einige bekannte und erwartete Einschränkungen. Die folgenden Anwendungen schlagen fehl, wenn sie versuchen, eine geschützte Aktion auszuführen.

  • Azure PowerShell
  • Azure AD PowerShell
  • Erstellen einer neuen Seite mit Nutzungsbedingungen oder eines benutzerdefinierten Steuerelements im Microsoft Entra Admin Center. Neue Seiten mit Nutzungsbedingungen oder benutzerdefinierte Steuerelemente werden mit bedingtem Zugriff registriert und unterliegen daher beim Erstellen, Aktualisieren und Löschen geschützter Aktionen dem bedingten Zugriff. Wenn Sie die Richtlinienanforderung vorübergehend aus den dem bedingten Zugriff unterliegenden Erstellungs-, Aktualisierungs- und Löschaktionen entfernen, können Sie eine neue Seite mit Nutzungsbedingungen oder eine benutzerdefinierte Steuerung erstellen.

Wenn Ihre Organisation eine Anwendung entwickelt hat, die die Microsoft Graph-API aufruft, um eine geschützte Aktion auszuführen, sollten Sie den Codebeispielen entnehmen, wie Sie eine Anspruchsabfrage mithilfe der abgestuften Authentifizierung handhaben. Weitere Informationen finden Sie unter Anleitung für Entwickler zum Authentifizierungskontext für bedingten Zugriff.

Bewährte Methoden

Im Folgenden finden Sie einige bewährte Methoden für die Verwendung geschützter Aktionen.

  • Bereithalten eines Notfallkontos

    Wenn Sie Richtlinien für bedingten Zugriff für geschützte Aktionen konfigurieren, sollten Sie unbedingt ein Notfallkonto von der Richtlinie ausschließen. Dies bietet eine Absicherung gegen versehentliches Aussperren.

  • Verschieben von Richtlinien für Benutzer- und Anmelderisiken in bedingten Zugriff

    Berechtigungen für bedingten Zugriff kommen beim Verwalten von Microsoft Entra ID Protection-Risikorichtlinien nicht zum Einsatz. Wir empfehlen das Verschieben von Richtlinien für Benutzer- und Anmelderisiken in bedingten Zugriff.

  • Verwenden benannter Netzwerkadressen

    Berechtigungen für benannte Netzwerkadressen werden bei der Verwaltung vertrauenswürdiger IP-Adressen für die Multi-Faktor-Authentifizierung nicht verwendet. Es wird empfohlen, benannte Netzwerkadressen zu verwenden.

  • Keine geschützten Aktionen verwenden, um den Zugriff auf Grundlage von Identität oder Gruppenmitgliedschaft zu blockieren

    Geschützte Aktionen dienen der Erfüllung einer Zugriffsanforderung zur Durchführung einer geschützten Aktion. Sie sind nicht dazu gedacht, die Nutzung einer Berechtigung nur aufgrund von Benutzeridentität oder Gruppenmitgliedschaft zu blockieren. Wer Zugriff auf bestimmte Berechtigungen hat, ist eine Berechtigungsentscheidung, die per Rollenzuweisung gesteuert werden sollte.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Nächste Schritte