Adicionar, testar ou remover ações protegidas no Microsoft Entra ID

Ações protegidas no Microsoft Entra ID são permissões que receberam políticas de Acesso Condicional que são impostas quando um usuário tenta executar uma ação. Este artigo descreve como adicionar, testar ou remover ações protegidas.

Observação

Você deve executar estas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e impostas corretamente. Se você não seguir essa ordem, poderá ter um comportamento inesperado, como receber solicitações repetidas para autenticar novamente.

Pré-requisitos

Para adicionar ou remover ações protegidas, você deve ter:

Etapa 1: configurar a política de acesso condicional

As ações protegidas usam um contexto de autenticação de Acesso Condicional, portanto, você deve configurar um contexto de autenticação e adicioná-lo a uma política de Acesso Condicional. Se você já tiver uma política com um contexto de autenticação, poderá pular para a próxima seção.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Selecione Proteção>Acesso Condicional>Contexto de autenticação>Contexto de autenticação.

  3. Selecione Novo contexto de autenticação para abrir o painel Adicionar contexto de autenticação.

  4. Insira um nome e uma descrição e selecione Salvar.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Selecione Políticas>Nova política para criar uma nova política.

  6. Crie uma nova política e selecione seu contexto de autenticação.

    Para mais informações, consulte Acesso condicional: aplicativos de nuvem, ações e contexto de autenticação.

    Screenshot of New policy page to create a new policy with an authentication context.

Etapa 2: adicionar ações protegidas

Para adicionar ações de proteção, atribua uma política de Acesso Condicional a uma ou mais permissões usando um contexto de autenticação de Acesso Condicional.

  1. Selecione Proteção>Acesso Condicional>Políticas.

  2. Verifique se o estado da política de Acesso Condicional que você planeja usar com sua ação protegida está definido como Ativado e não como Desativado ou Somente Relatório.

  3. Selecione Identidade>Funções e administradores>Ações protegidas.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Selecione Adicionar ações protegidas para adicionar uma nova ação protegida.

    Se Adicionar ações protegidas estiver desabilitada, verifique se você recebeu a função Administrador de Acesso Condicional ou Administrador de Segurança. Para obter mais informações, veja Solucionar problemas de ações protegidas.

  5. Selecione um contexto de autenticação de Acesso Condicional configurado.

  6. Selecione Selecionar permissões e selecione as permissões para proteger com Acesso Condicional.

    Screenshot of Add protected actions page with permissions selected.

  7. Selecione Adicionar.

  8. Quando terminar, selecione Avançar.

    As novas ações protegidas aparecem na lista de ações protegidas

Etapa 3: testar ações protegidas

Quando um usuário executa uma ação protegida, ele precisa atender aos requisitos da política de Acesso Condicional. Esta seção mostra a experiência de um usuário que está sendo solicitado a atender a uma política. Neste exemplo, é necessário que o usuário se autentique com uma chave de segurança FIDO antes de atualizar as políticas de Acesso Condicional.

  1. Entre no centro de administração do Microsoft Entra como um usuário que deve atender à política.

  2. Selecione Proteção>aAesso Condicional.

  3. Selecione uma política de Acesso Condicional para exibi-la.

    A edição de política está desabilitada porque os requisitos de autenticação não foram atendidos. Na parte inferior da página está a seguinte observação:

    A edição é protegida por um requisito de acesso adicional. Clique aqui para autenticar novamente.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Selecione Clique aqui para autenticar novamente.

  5. Preencha os requisitos de autenticação quando o navegador for redirecionado para o Microsoft Entra página de entrada.

    Screenshot of a sign-in page to reauthenticate.

    Depois de concluir os requisitos de autenticação, a política pode ser editada.

  6. Edite a política e salve as alterações.

    Screenshot of an enabled Conditional Access policy that can be edited.

Remover ações protegidas

Para remover ações de proteção, cancele a atribuição de requisitos de política de Acesso Condicional de uma permissão.

  1. Selecione Identidade>Funções e administradores>Ações protegidas.

  2. Localize e selecione a política de acesso condicional de permissão para cancelar a atribuição.

    Screenshot of Protected actions page with permission selected to remove.

  3. Na barra de ferramentas, selecione Remover.

    Depois de remover a ação protegida, a permissão não terá um requisito de Acesso Condicional. Uma nova política de Acesso Condicional pode ser atribuída à permissão.

Microsoft Graph

Adicionar ações protegidas

Ações protegidas são adicionadas atribuindo um valor de contexto de autenticação a uma permissão. Os valores de contexto de autenticação que estão disponíveis no locatário podem ser descobertos chamando a API authenticationContextClassReference.

O contexto de autenticação pode ser atribuído a uma permissão usando o ponto de extremidade beta da API unifiedRbacResourceAction:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

O exemplo a seguir mostra como obter a ID de contexto de autenticação que foi definida na permissão microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Ações de recurso com a propriedade isAuthenticationContextSettable definida como verdadeiro dão suporte a contexto de autenticação. Ações de recurso com o valor da propriedade authenticationContextId é a ID de contexto de autenticação que foi atribuída à ação.

Para exibir as propriedades isAuthenticationContextSettable e authenticationContextId, elas devem ser incluídas na instrução select ao fazer a solicitação para a API de ação do recurso.

Solucionar problemas de ações protegidas

Sintoma – Nenhum valor de contexto de autenticação pode ser selecionado

Ao tentar selecionar um contexto de autenticação de Acesso Condicional, não há valores disponíveis para seleção.

Screenshot of Add protected actions page with no authentication context to select.

Causa

Nenhum valor de contexto de autenticação de acesso condicional foi habilitado no locatário.

Solução

Habilite o contexto de autenticação para o locatário adicionando um novo contexto de autenticação. Verifique se a opção Publicar em aplicativos está marcada para que o valor esteja disponível para ser selecionado. Para mais informações, consulte Contexto de autenticação.

Sintoma – A política não está sendo disparada

Em alguns casos, após a adição de uma ação protegida, os usuários podem não ser solicitados conforme o esperado. Por exemplo, se a política exigir autenticação multifator, um usuário poderá não ver um prompt de entrada.

Causa 1

O usuário não foi atribuído às políticas de Acesso Condicional usadas para ação protegida.

Solução 1

Use a ferramenta What If do Acesso Condicional para marcar se o usuário tiver sido atribuído à política. Ao usar a ferramenta, selecione o usuário e o contexto de autenticação que foi usado com a ação protegida. Selecione What If e verifique se a política esperada está listada na tabela Políticas que serão aplicadas. Se a política não se aplicar, marcar a condição de atribuição de usuário da política e adicione o usuário.

Causa 2

O usuário já atendeu à política. Por exemplo, a autenticação multifator concluída anteriormente na mesma sessão.

Solução 2

Verifique os eventos de entrada do Microsoft Entra para solucionar problemas. Os eventos de entrada incluiem detalhes sobre a sessão, inclusive se o usuário já concluiu a autenticação multifator. Ao solucionar problemas com os logs de entrada, também é útil marcar página de detalhes da política para confirmar se um contexto de autenticação foi solicitado.

Sintoma – a política nunca é satisfeita

Quando você tenta executar os requisitos para a política de Acesso Condicional, a política nunca é atendida e você continua sendo solicitado a autenticar novamente.

Causa

A política de Acesso Condicional não foi criada ou o estado da política é Desativado ou Somente relatório.

Solução

Crie a política de Acesso Condicional se ela não existir ou e defina o estado como Ativado.

Se você não conseguir acessar a página de Acesso Condicional devido à ação protegida e solicitações repetidas para autenticar novamente, use o link a seguir para abrir a página de Acesso Condicional.

Sintoma – Sem acesso para adicionar ações protegidas

Quando conectado, você não tem permissões para adicionar ou remover ações protegidas.

Causa

Você não tem permissão para gerenciar ações protegidas.

Solução

Verifique se você recebeu a função Administrador de Acesso Condicional ou Administrador de Segurança.

Sintoma – Erro retornado usando o PowerShell para executar uma ação protegida

Ao usar o PowerShell para executar uma ação protegida, um erro é retornado e não há nenhum prompt para atender à política de Acesso Condicional.

Causa

O Microsoft Graph PowerShell dá suporte à autenticação passo a passo, que é necessária para permitir prompts de política. Não há suporte para o Azure e Azure AD Graph PowerShell para autenticação passo a passo.

Solução

Verifique se você está usando o Microsoft Graph PowerShell.

Próximas etapas