Что такое защищенные действия в идентификаторе Microsoft Entra?
Защищенные действия в идентификаторе Microsoft Entra — это разрешения, назначенные политикам условного доступа. Когда пользователь пытается выполнить защищенное действие, он должен сначала удовлетворить политики условного доступа, назначенные необходимым разрешениям. Например, чтобы разрешить администраторам обновлять политики условного доступа, вы можете требовать, чтобы они сначала удовлетворили требованиям политики MFA, устойчивой к фишингу.
В этой статье содержатся общие сведения о защищенных действиях и о том, как приступить к работе с ними.
Зачем использовать защищенные действия?
Вы используете защищенные действия, когда хотите добавить дополнительный уровень защиты. Защищенные действия можно применять к разрешениям, требующим строгой защиты политики условного доступа, независимо от используемой роли или того, как пользователь получил разрешение. Так как применение политики происходит в то время, когда пользователь пытается выполнить защищенное действие, а не во время входа пользователя или активации правила, пользователи запрашиваются только при необходимости.
Какие правила обычно используются с защищёнными действиями?
Мы рекомендуем использовать многофакторную проверку подлинности для всех учетных записей, особенно учетных записей с привилегированными ролями. Защищенные действия можно использовать для обеспечения дополнительной безопасности. Ниже приведены некоторые распространенные более надежные политики условного доступа.
- Более сильные уровни проверки подлинности MFA, такие как без пароля MFA или с устойчивостью к фишингу MFA,
- Рабочие станции с привилегированным доступом, использующие политику условного доступа с фильтрацией устройств и.
- Более короткие времена ожидания сеанса с помощью управления сеансом входа, используя условный доступ.
Какие разрешения можно использовать с защищенными действиями?
Политики условного доступа можно применять к ограниченному набору разрешений. Защищенные действия можно использовать в следующих областях:
- Управление политиками условного доступа
- Управление параметрами доступа между клиентами
- Жесткое удаление некоторых объектов каталога
- Пользовательские правила, определяющие сетевые расположения
- Управление защищенными действиями
Ниже приведен исходный набор разрешений:
| Разрешение | Описание |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Обновление базовых свойств политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/create | Создание политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/delete | Удаление политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/basic/update | Обновление базовых свойств политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/create | Создание политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/delete | Удаление политик условного доступа |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Обновление допустимых облачных конечных точек политики доступа между арендаторами |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Обновление настроек интеграции Microsoft Entra B2B для политики доступа между клиентами по умолчанию. |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Обновление параметров прямого подключения Microsoft Entra B2B политики доступа между клиентами по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Обновите параметры межоблачных собраний Teams в межарендной политике доступа по умолчанию. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Обновите ограничения арендаторов в политике доступа между арендаторами по умолчанию. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Обновление параметров совместной работы Microsoft Entra B2B политики доступа между клиентами для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Обновите параметры прямого подключения Microsoft Entra B2B в настройках политики кросс-арендного доступа для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Создайте политику доступа между клиентами для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Обновите параметры собраний Teams между облаками в рамках политики межарендного доступа для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Удаление политики доступа между клиентами для партнеров. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Обновите ограничения на доступ между клиентами для партнеров. |
| microsoft.directory/deletedItems/delete | Окончательное удаление объектов, которые больше не могут быть восстановлены |
| microsoft.directory/namedLocations/basic/update | Обновление базовых свойств настраиваемых правил, определяющих сетевые расположения |
| microsoft.directory/namedLocations/create | Создание настраиваемых правил, определяющих сетевые расположения |
| microsoft.directory/namedLocations/delete | Удаление настраиваемых правил, определяющих сетевые расположения |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Обновление контекста аутентификации для условного доступа в действиях ресурсов управления доступом на основе ролей (RBAC) Microsoft 365. |
Удаление объектов каталога
Идентификатор Microsoft Entra поддерживает два типа удаления для большинства объектов каталога: обратимое удаление и жесткое удаление. При мягком удалении объекта каталога сам объект, его значения свойств и связи сохраняются в корзине в течение 30 дней. Временно удалённый объект можно восстановить с тем же идентификатором и всеми значениями свойств и связями. При безвозвратном удалении мягко удаленного объекта, он окончательно удаляется и его невозможно повторно создать с тем же ID объекта.
Чтобы помочь защититься от случайных или злонамеренных безвозвратных удалений объектов каталога, временно удаленных из корзины, и постоянной потери данных, вы можете добавить защищенное действие для следующего разрешения. Это удаление применяется к пользователям, группам Microsoft 365 и приложениям.
- microsoft.directory/deletedItems/delete
Как защищенные действия сравниваются с активацией роли управления привилегированными пользователями?
активациям роли в менеджменте привилегированных идентификаторов также могут быть назначены политики условного доступа. Эта возможность позволяет применять политики только в том случае, если пользователь активирует роль, обеспечивая наиболее полную защиту. Защищенные действия применяются только при выполнении пользователем действия, требующего разрешений с политикой условного доступа, назначенной ей. Защищенные действия позволяют защитить разрешения с высоким влиянием, независимо от роли пользователя. Активация привилегированных ролей управления удостоверениями и защищенные действия можно использовать вместе для более строгого покрытия.
Действия по использованию защищенных действий
Заметка
Эти действия необходимо выполнить в следующей последовательности, чтобы убедиться, что защищенные действия правильно настроены и применены. Если вы не соблюдаете этот порядок, может произойти непредвиденное поведение, например, будет получать повторные запросы на повторную аутентификацию.
Проверить разрешения
Убедитесь, что вы назначены на роли администратора условного доступа или администратора безопасности. Если нет, обратитесь к администратору, чтобы назначить соответствующую роль.
настройка политики условного доступа
Настройте контекст проверки подлинности условного доступа и связанную политику условного доступа. Защищенные действия используют контекст аутентификации, который позволяет применять политики к мелкозернистым ресурсам в службе, таким как разрешения Microsoft Entra. Хорошая политика для начала заключается в том, чтобы требовать многофакторной аутентификации без пароля и исключить аварийную учетную запись. Дополнительные сведения
Добавление защищенных действий
Добавьте защищенные действия, назначив значения контекста проверки подлинности условного доступа выбранным разрешениям. Дополнительные сведения
Тест защищенных действий
Войдите как пользователь и протестируйте взаимодействие с пользователем, выполнив защищенное действие. Вам будет предложено выполнить требования политики условного доступа. Например, если политика безопасности требует многофакторной проверки подлинности, вы должны быть перенаправлены на страницу входа и вам будет предложено пройти надежное подтверждение подлинности. Дополнительные сведения
Что происходит с защищенными действиями и приложениями?
Если приложение или служба пытается выполнить действие защиты, он должен иметь возможность обрабатывать требуемую политику условного доступа. В некоторых случаях пользователю может потребоваться вмешаться и удовлетворить политику. Например, для выполнения многофакторной проверки подлинности они могут потребоваться. Следующие приложения поддерживают поэтапное выполнение проверки подлинности для защищенных действий:
- Опыт администратора Microsoft Entra для задач в центре администрирования Microsoft Entra
- Microsoft Graph PowerShell
- Graph Explorer
Существуют некоторые известные и ожидаемые ограничения. Следующие приложения завершаются ошибкой, если они пытаются выполнить защищенное действие.
- Azure PowerShell
- Azure AD PowerShell
- Создание страницы или пользовательского элемента управления в Центре администрирования Microsoft Entra. Новые страницы с условиями использования или пользовательскими элементами управления зарегистрированы в системе Условного доступа, поэтому они подлежат созданию, обновлению и удалению в рамках защищенных действий Условного доступа. Временное удаление требования политики из действия создания, обновления и удаления условного доступа позволит создавать новые условия использования страницы или пользовательского элемента управления.
Если ваша организация разработала приложение, которое вызывает API Microsoft Graph для выполнения защищенного действия, ознакомьтесь с примером кода, чтобы справиться с вызовом утверждений с помощью поэтапной проверки подлинности. Дополнительные сведения см. в руководстве разработчика по контексту проверки подлинности условного доступа.
Лучшие практики
Ниже приведены некоторые рекомендации по использованию защищенных действий.
Иметь учетную запись для экстренного реагирования
При настройке политик условного доступа для защищенных действий обязательно имейте резервную учетную запись, исключенную из политики. Это обеспечивает устранение последствий случайной блокировки.
Перемещение политик риска пользователей и входа в Условный доступ
Разрешения условного доступа не используются при управлении политиками риска защиты идентификаторов Microsoft Entra. Мы рекомендуем перенести политики риска пользователя и входа в Условный доступ.
Использование именованных сетевых расположений
Разрешения именованных сетевых расположений не используются при управлении доверенными IP-адресами многофакторной аутентификации. Мы рекомендуем использовать именованные сетевые расположения .
Не используйте защищенные действия для блокировки доступа на основе удостоверений или членства в группах
Защищенные действия используются для применения требования к доступу для выполнения защищенного действия. Они не предназначены для блокировки использования разрешения только на основе удостоверения пользователя или членства в группах. Кто имеет доступ к определенным разрешениям, является решением авторизации и должен контролироваться назначением ролей.
Требования к лицензии
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти подходящую лицензию для ваших нужд, посмотрите сравнение общедоступных функций Microsoft Entra ID.
Дальнейшие действия
- добавление, тестирование или удаление защищенных действий в идентификаторе Microsoft Entra