Aggiungere, testare o rimuovere azioni protette in Microsoft Entra ID

  • Articolo

Le azioni protette in Microsoft Entra ID sono autorizzazioni assegnate ai criteri di accesso condizionale applicati quando un utente tenta di eseguire un'azione. Questo articolo descrive come aggiungere, testare o rimuovere azioni protette.

Nota

È necessario eseguire questi passaggi nella sequenza seguente per assicurarsi che le azioni protette siano configurate e applicate correttamente. Se non si segue questo ordine, è possibile che si verifichi un comportamento imprevisto, ad esempio ricevere richieste ripetute per riautenticare.

Prerequisiti

Per aggiungere o rimuovere azioni protette, è necessario disporre di:

Passaggio 1: Configurare i criteri di accesso condizionale

Le azioni protette usano un contesto di autenticazione dell'accesso condizionale, quindi è necessario configurare un contesto di autenticazione e aggiungerlo a un criterio di accesso condizionale. Se si dispone già di un criterio con un contesto di autenticazione, è possibile passare alla sezione successiva.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Selezionare Protezione>contesto> di autenticazione dell'accesso>condizionale Contesto di autenticazione.

  3. Selezionare Nuovo contesto di autenticazione per aprire il riquadro Aggiungi contesto di autenticazione.

  4. Immettere un nome e una descrizione e quindi selezionare Salva.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Selezionare Criteri>Nuovo criterio per creare un nuovo criterio.

  6. Creare un nuovo criterio e selezionare il contesto di autenticazione.

    Per altre informazioni, vedere Accesso condizionale: app cloud, azioni e contesto di autenticazione.

    Screenshot of New policy page to create a new policy with an authentication context.

Passaggio 2: Aggiungere azioni protette

Per aggiungere azioni di protezione, assegnare un criterio di accesso condizionale a una o più autorizzazioni usando un contesto di autenticazione dell'accesso condizionale.

  1. Selezionare Protezione>criteri di accesso>condizionale.

  2. Assicurarsi che lo stato dei criteri di accesso condizionale che si prevede di usare con l'azione protetta sia impostato su Sì e non su Disattivato o Solo report.

  3. Selezionare Ruoli identità>e amministratori Azioni protette.>

    Screenshot of Add protected actions page in Roles and administrators.

  4. Selezionare Aggiungi azioni protette per aggiungere una nuova azione protetta.

    Se l'opzione Aggiungi azioni protette è disabilitata, assicurarsi di avere assegnato il ruolo Amministrazione istrator di accesso condizionale o security Amministrazione istrator. Per altre informazioni, vedere Risolvere i problemi relativi alle azioni protette.

  5. Selezionare un contesto di autenticazione dell'accesso condizionale configurato.

  6. Selezionare Seleziona autorizzazioni e selezionare le autorizzazioni da proteggere con l'accesso condizionale.

    Screenshot of Add protected actions page with permissions selected.

  7. Selezionare Aggiungi.

  8. Al termine, seleziona Salva.

    Le nuove azioni protette vengono visualizzate nell'elenco delle azioni protette

Passaggio 3: Testare le azioni protette

Quando un utente esegue un'azione protetta, dovrà soddisfare i requisiti dei criteri di accesso condizionale. Questa sezione illustra l'esperienza per un utente che viene richiesto di soddisfare un criterio. In questo esempio, l'utente deve eseguire l'autenticazione con una chiave di sicurezza FIDO prima di poter aggiornare i criteri di accesso condizionale.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come utente che deve soddisfare i criteri.

  2. Selezionare Protezione>accesso condizionale.

  3. Selezionare un criterio di accesso condizionale per visualizzarlo.

    La modifica dei criteri è disabilitata perché i requisiti di autenticazione non sono stati soddisfatti. Nella parte inferiore della pagina è riportata la nota seguente:

    La modifica è protetta da un requisito di accesso aggiuntivo. Fare clic qui per riautenticare.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Selezionare Fare clic qui per riautenticare.

  5. Completare i requisiti di autenticazione quando il browser viene reindirizzato alla pagina di accesso di Microsoft Entra.

    Screenshot of a sign-in page to reauthenticate.

    Dopo aver completato i requisiti di autenticazione, è possibile modificare i criteri.

  6. Modificare il criterio e salvare le modifiche.

    Screenshot of an enabled Conditional Access policy that can be edited.

Rimuovere azioni protette

Per rimuovere le azioni di protezione, annullare l'assegnazione dei requisiti dei criteri di accesso condizionale da un'autorizzazione.

  1. Selezionare Ruoli identità>e amministratori Azioni protette.>

  2. Trovare e selezionare i criteri di accesso condizionale per annullare l'assegnazione.

    Screenshot of Protected actions page with permission selected to remove.

  3. Nella barra degli strumenti selezionare Rimuovi.

    Dopo aver rimosso l'azione protetta, l'autorizzazione non avrà un requisito di accesso condizionale. È possibile assegnare nuovi criteri di accesso condizionale all'autorizzazione.

Microsoft Graph

Aggiungere azioni protette

Le azioni protette vengono aggiunte assegnando un valore di contesto di autenticazione a un'autorizzazione. I valori del contesto di autenticazione disponibili nel tenant possono essere individuati chiamando l'API authenticationContextClassReference .

Il contesto di autenticazione può essere assegnato a un'autorizzazione usando l'endpoint beta dell'API unifiedRbacResourceAction :

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Nell'esempio seguente viene illustrato come ottenere l'ID del contesto di autenticazione impostato per l'autorizzazione microsoft.directory/conditionalAccessPolicies/delete .

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Azioni delle risorse con la proprietà isAuthenticationContextSettable impostata su true supportano il contesto di autenticazione. Le azioni delle risorse con il valore della proprietà authenticationContextId sono l'ID del contesto di autenticazione assegnato all'azione.

Per visualizzare le isAuthenticationContextSettable proprietà e authenticationContextId , devono essere incluse nell'istruzione select quando si effettua la richiesta all'API dell'azione della risorsa.

Risolvere i problemi relativi alle azioni protette

Sintomo: non è possibile selezionare alcun valore di contesto di autenticazione

Quando si tenta di selezionare un contesto di autenticazione dell'accesso condizionale, non sono disponibili valori da selezionare.

Screenshot of Add protected actions page with no authentication context to select.

Causa

Nel tenant non sono stati abilitati valori di contesto di autenticazione dell'accesso condizionale.

Soluzione

Abilitare il contesto di autenticazione per il tenant aggiungendo un nuovo contesto di autenticazione. Assicurarsi che l'opzione Pubblica nelle app sia selezionata, in modo che il valore sia disponibile per essere selezionato. Per altre informazioni, vedere Contesto di autenticazione.

Sintomo: i criteri non vengono attivati

In alcuni casi, dopo l'aggiunta di un'azione protetta, gli utenti potrebbero non essere richiesti come previsto. Ad esempio, se i criteri richiedono l'autenticazione a più fattori, un utente potrebbe non visualizzare una richiesta di accesso.

Causa 1

L'utente non è stato assegnato ai criteri di accesso condizionale usati per l'azione protetta.

Soluzione 1

Usare lo strumento What If per l'accesso condizionale per verificare se all'utente sono stati assegnati criteri. Quando si usa lo strumento, selezionare l'utente e il contesto di autenticazione usato con l'azione protetta. Selezionare What If (Cosa succede) e verificare che i criteri previsti siano elencati nella tabella Criteri che verranno applicati . Se il criterio non si applica, controllare la condizione di assegnazione utente dei criteri e aggiungere l'utente.

Causa 2

L'utente ha precedentemente soddisfatto i criteri. Ad esempio, l'autenticazione a più fattori completata in precedenza nella stessa sessione.

Soluzione 2

Controllare gli eventi di accesso di Microsoft Entra per risolvere i problemi. Gli eventi di accesso includono informazioni dettagliate sulla sessione, ad esempio se l'utente ha già completato l'autenticazione a più fattori. Quando si esegue la risoluzione dei problemi con i log di accesso, è anche utile controllare la pagina dei dettagli dei criteri per verificare che sia stato richiesto un contesto di autenticazione.

Sintomo - I criteri non sono mai soddisfatti

Quando si tenta di eseguire i requisiti per i criteri di accesso condizionale, il criterio non viene mai soddisfatto e si continua a richiedere di ripetere l'autenticazione.

Causa

I criteri di accesso condizionale non sono stati creati o lo stato dei criteri è Disattivato o Solo report.

Soluzione

Creare i criteri di accesso condizionale se non esiste o impostare lo stato su .

Se non è possibile accedere alla pagina Accesso condizionale a causa dell'azione protetta e delle richieste ripetute di riautenticazione, usare il collegamento seguente per aprire la pagina Accesso condizionale.

Sintomo - Nessun accesso per aggiungere azioni protette

Quando si accede non si dispone delle autorizzazioni per aggiungere o rimuovere azioni protette.

Causa

Non si dispone dell'autorizzazione per gestire le azioni protette.

Soluzione

Assicurarsi di avere assegnato il ruolo accesso condizionale Amministrazione istrator o Security Amministrazione istrator.

Sintomo - Errore restituito tramite PowerShell per eseguire un'azione protetta

Quando si usa PowerShell per eseguire un'azione protetta, viene restituito un errore e non viene richiesto di soddisfare i criteri di accesso condizionale.

Causa

Microsoft Graph PowerShell supporta l'autenticazione dettagliata, necessaria per consentire le richieste dei criteri. Azure e Azure AD Graph PowerShell non sono supportati per l'autenticazione dettagliata.

Soluzione

Assicurarsi di usare Microsoft Graph PowerShell.

Passaggi successivi