Quais são as ações protegidas no Microsoft Entra ID?
As ações protegidas no Microsoft Entra ID são permissões às quais foram atribuídas Políticas de Acesso Condicional. Quando um usuário tenta executar uma ação protegida, ele deve primeiro satisfazer as políticas de Acesso Condicional atribuídas às permissões necessárias. Por exemplo, para permitir que os administradores atualizem as políticas de Acesso Condicional, você pode exigir que elas satisfaçam primeiro a política de MFA resistente a phishing .
Este artigo fornece uma visão geral da ação protegida e como começar a usá-la.
Por que usar ações protegidas?
Você usa ações protegidas quando deseja adicionar uma camada adicional de proteção. As ações protegidas podem ser aplicadas a permissões que exigem uma forte proteção da política de Acesso Condicional, independentemente da função que está sendo utilizada ou de como o usuário recebeu a permissão. Como a imposição da política ocorre no momento em que o usuário tenta executar a ação protegida e não durante a entrada do usuário ou a ativação da regra, os usuários são solicitados somente quando necessário.
Quais políticas são normalmente utilizadas com ações protegidas?
Recomendamos usar a autenticação multifator em todas as contas, especialmente em contas com funções privilegiadas. Ações protegidas podem ser usadas para exigir segurança adicional. Aqui estão algumas políticas comuns de Acesso Condicional mais fortes.
- Pontos fortes de autenticação MFA, como MFA Sem Senha ou MFA Resistente a Phishing,
- Estações de trabalho de acesso privilegiado, usando os filtros do dispositivo da política de Acesso Condicional.
- Tempos limite de sessão mais curtos, usando os controles da sessão de frequência de entrada do Acesso Condicional.
Quais permissões podem ser usadas com as ações protegidas?
As políticas de Acesso Condicional podem ser aplicadas a um conjunto limitado de permissões. Você pode usar as ações protegidas nas seguintes áreas:
- Gerenciamento das Políticas de Acesso Condicional
- Configurações de acesso entre locatários
- Regras personalizadas que definem os locais de rede
- Gerenciamento de ações protegidas
Aqui está o conjunto inicial de permissões:
| Permissão | Descrição |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar as propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de Acesso Condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Excluir as políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/basic/update | Atualizar as propriedades básicas para políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Criar políticas de acesso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Excluir as políticas de acesso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Atualizar pontos de extremidade na nuvem permitidos da política de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política padrão de acesso entre locatários. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Atualizar as restrições de locatários da política padrão de acesso entre locatários |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Atualizar as configurações de colaboração B2B do Microsoft Entra da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Atualizar as configurações de conexão direta de B2B do Microsoft Entra da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Criar política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Atualizar as configurações de reunião do Teams entre nuvens da política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Excluir a política de acesso entre locatários para parceiros. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Atualizar as restrições de locatários da política de acesso entre locatários para parceiros. |
| microsoft.directory/namedLocations/basic/update | Atualizar as propriedades básicas das regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/create | Criar regras personalizadas que definem os locais de rede |
| microsoft.directory/namedLocations/delete | Excluir regras personalizadas que definem os locais de rede |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Atualizar o contexto de autenticação de Acesso Condicional das ações de recursos de RBAC (controle de acesso baseado em função) do Microsoft 365 |
Como as ações protegidas se comparam à ativação da função do Azure AD Privileged Identity Management?
A ativação da função Azure AD Privileged Identity Management também pode ser atribuída às políticas de Acesso Condicional. Essa capacidade permite a imposição de políticas somente quando um usuário ativa uma função, fornecendo a proteção mais abrangente. As ações protegidas são impostas somente quando um usuário executa uma ação que exige permissões com a política de Acesso Condicional atribuída a ele. As ações protegidas permitem que permissões de alto impacto sejam protegidas, independentemente da função do usuário. A ativação da função do Azure AD Privileged Identity Management e as ações protegidas podem ser usadas juntas, para obter uma cobertura mais forte.
Etapas para usar as ações protegidas
Observação
Você deve executar estas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e impostas corretamente. Se você não seguir essa ordem, poderá ter um comportamento inesperado, como receber solicitações repetidas para autenticar novamente.
Verificar permissões
Verifique se você recebeu as funções Administrador de Acesso Condicional ou Administrador de Segurança. Caso contrário, consulte seu administrador para atribuir a função apropriada.
Configurar a política de acesso condicional
Configure um contexto de autenticação de Acesso Condicional e uma política de Acesso Condicional associada. As ações protegidas utilizam um contexto de autenticação, que permite a imposição de políticas para recursos refinados em um serviço, como as permissões do Microsoft Entra. Uma boa política para começar é exigir a MFA sem senha e excluir uma conta de emergência. Saiba mais
Adicionar ações protegidas
Adicione ações protegidas atribuindo valores de contexto de autenticação de Acesso Condicional a permissões selecionadas. Saiba mais
Testar as ações protegidas
Entre como um usuário e teste a experiência dele executando a ação protegida. Você deve ser solicitado a satisfazer os requisitos da política de Acesso Condicional. Por exemplo, se a política exigir a autenticação multifator, você deverá ser redirecionado para a página de entrada e solicitado para uma forte autenticação. Saiba mais
O que acontece com as ações e os aplicativos protegidos?
Se um aplicativo ou serviço tentar executar uma ação de proteção, ele deverá ser capaz de lidar com a política de acesso condicional necessária. Em alguns casos, um usuário pode precisar intervir e satisfazer a política. Por exemplo, eles podem ser necessários para concluir a autenticação multifator. Os aplicativos a seguir dão suporte à autenticação step-up para ações protegidas:
- Experiências de administrador do Microsoft Entra para as ações no centro de administração do Microsoft Entra
- PowerShell do Microsoft Graph
- Explorador do Graph
Existem algumas limitações conhecidas e esperadas. Os aplicativos a seguir falharão se tentarem executar uma ação protegida.
- PowerShell do Azure
- Azure AD PowerShell
- Criando uma nova página de termos de uso ou controle personalizado no centro de administração do Microsoft Entra. As novas páginas de termos de uso ou controles personalizados são registradas com o Acesso Condicional, portanto, estão sujeitos às ações protegidas de criação, atualização e exclusão do Acesso Condicional. A remoção temporária do requisito de política das ações de criação, atualização e exclusão do Acesso Condicional permitirá a criação de uma nova página de termos de uso ou controle personalizado.
Se sua organização desenvolveu um aplicativo que chama a API do Microsoft Graph para executar uma ação protegida, analise o código de exemplo para saber como lidar com um desafio de declarações usando a autenticação step-up. Para obter mais informações, confira Guia do desenvolvedor para o contexto de autenticação do Acesso Condicional.
Práticas recomendadas
Aqui estão algumas práticas recomendadas para usar ações protegidas.
Ter uma conta de emergência
Ao configurar políticas de Acesso Condicional para ações protegidas, certifique-se de ter uma conta de emergência excluída da política. Isso fornece uma mitigação contra o bloqueio acidental.
Mova as políticas de risco do usuário e de entrada para o Acesso Condicional
As permissões de Acesso Condicional não são utilizadas ao gerenciar as políticas de risco do Microsoft Entra ID Protection. Recomendamos mover aas políticas de risco do usuário e de entrada para o Acesso Condicional.
Usar os locais de rede nomeados
As permissões de localização de rede nomeadas não são usadas ao gerenciar IPs confiáveis de autenticação multifator. Recomendamos usar os locais de rede nomeados.
Não use ações protegidas para bloquear o acesso com base na identidade ou na associação ao grupo
As ações protegidas são usadas para aplicar um requisito de acesso para realizar uma ação protegida. Eles não se destinam a bloquear o uso de uma permissão apenas com base na identidade do usuário ou na associação ao grupo. Quem tem acesso a permissões específicas é uma decisão de autorização e deve ser controlada pela atribuição de funções.
Requisitos de licença
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.