Dela via

Lägga till, testa eller ta bort skyddade åtgärder i Microsoft Entra-ID

Skyddade åtgärder i Microsoft Entra-ID är behörigheter som har tilldelats principer för villkorlig åtkomst som tillämpas när en användare försöker utföra en åtgärd. I den här artikeln beskrivs hur du lägger till, testar eller tar bort skyddade åtgärder.

Anmärkning

Du bör utföra de här stegen i följande sekvens för att säkerställa att skyddade åtgärder är korrekt konfigurerade och framtvingade. Om du inte följer den här ordningen kan du få ett oväntat beteende, som att får upprepade begäranden om att återautentisera.

Förutsättningar

Om du vill lägga till eller ta bort skyddade åtgärder måste du ha:

Steg 1: Konfigurera princip för villkorlig åtkomst

Skyddade åtgärder använder en kontext för autentisering med villkorsstyrd åtkomst, så du måste konfigurera en autentiseringskontext och lägga till den i en princip för villkorsstyrd åtkomst. Om du redan har en princip med en autentiseringskontext kan du gå vidare till nästa avsnitt.

  1. Logga in på Microsoft Entra Admincenter som minst en Villkorsstyrd åtkomst-administratör.

  2. Välj Entra ID>Villkorsstyrd Åtkomst>Autentiseringskontext>Autentiseringskontext.

  3. Välj Ny autentiseringskontext för att öppna fönstret Lägg till autentiseringskontext .

  4. Ange ett namn och en beskrivning och välj sedan Spara.

    Skärmbild av fönstret Lägg till autentiseringskontext för att lägga till en ny autentiseringskontext.

  5. Välj Principer>Ny princip för att skapa en ny princip.

  6. Skapa en ny princip och välj din autentiseringskontext.

    Mer information finns i Villkorlig åtkomst: molnappar, åtgärder och autentiseringskontext.

    Skärmbild av sidan Ny princip för att skapa en ny princip med en autentiseringskontext.

Steg 2: Lägg till skyddade åtgärder

Om du vill lägga till skyddsåtgärder tilldelar du en princip för villkorlig åtkomst till en eller flera behörigheter med hjälp av en kontext för autentisering med villkorsstyrd åtkomst.

  1. Välj Entra ID>villkorlig åtkomst>principer.

  2. Kontrollera att tillståndet för principen för villkorsstyrd åtkomst som du planerar att använda med din skyddade åtgärd är inställt på På och inte Av eller Endast rapport.

  3. Välj Entra ID>Roller & administratörer>Skyddade åtgärder.

    Skärmbild av sidan Lägg till skyddade åtgärder i Roller och administratörer.

  4. Välj Lägg till skyddade åtgärder för att lägga till en ny skyddad åtgärd.

    Om Lägg till skyddade åtgärder är inaktiverat kontrollerar du att du har tilldelats rollen Administratör för villkorsstyrd åtkomst eller säkerhetsadministratör. Mer information finns i Felsöka skyddade åtgärder.

  5. Välj en konfigurerad kontext för autentisering med villkorsstyrd åtkomst.

  6. Välj Välj behörigheter och välj de behörigheter som ska skyddas med villkorsstyrd åtkomst.

    Skärmbild av sidan Lägg till skyddade åtgärder med valda behörigheter.

  7. Välj Lägg till.

  8. När du är klar väljer du Spara.

    De nya skyddade åtgärderna visas i listan över skyddade åtgärder

Steg 3: Testa skyddade åtgärder

När en användare utför en skyddad åtgärd måste de uppfylla principkraven för villkorsstyrd åtkomst. Det här avsnittet visar upplevelsen för en användare som uppmanas att uppfylla en princip. I det här exemplet måste användaren autentisera med en FIDO-säkerhetsnyckel innan de kan uppdatera principer för villkorsstyrd åtkomst.

  1. Logga in på administrationscentret för Microsoft Entra som en användare som måste uppfylla principen.

  2. Välj Entra ID>Villkorlig åtkomst.

  3. Välj en princip för villkorsstyrd åtkomst för att visa den.

    Principredigering är inaktiverat eftersom autentiseringskraven inte har uppfyllts. Längst ned på sidan finns följande anmärkning:

    Redigering skyddas av ytterligare ett åtkomstkrav. Klicka här om du vill autentisera igen.

    Skärmbild av en inaktiverad princip för villkorlig åtkomst med en anteckning som anger att den ska autentiseras igen.

  4. Välj Klicka här om du vill autentisera igen.

  5. Slutför autentiseringskraven när webbläsaren omdirigeras till inloggningssidan för Microsoft Entra.

    Skärmbild av en inloggningssida som ska autentiseras igen.

    När du har slutfört autentiseringskraven kan principen redigeras.

  6. Redigera principen och spara ändringarna.

    Skärmbild av en aktiverad princip för villkorlig åtkomst som kan redigeras.

Ta bort skyddade åtgärder

Om du vill ta bort skyddsåtgärder avtilldelar du principkrav för villkorsstyrd åtkomst från en behörighet.

  1. Välj Entra ID>Roller & administratörer>Skyddade åtgärder.

  2. Hitta och välj principen för villkorad åtkomst för att återkalla tilldelningen.

    Skärmbild av sidan Skyddade åtgärder med behörighet vald att ta bort.

  3. Välj Ta bort i verktygsfältet.

    När du har tagit bort den skyddade åtgärden har behörigheten inget krav på villkorsstyrd åtkomst. En ny policy för villkorsstyrd åtkomst kan tilldelas behörigheten.

Microsoft Graph

Lägga till skyddade åtgärder

Skyddade åtgärder läggs till genom att tilldela ett autentiseringskontextvärde till en behörighet. Autentiseringskontextvärden som är tillgängliga i klientorganisationen kan identifieras genom att anropa API:et authenticationContextClassReference .

Autentiseringskontext kan tilldelas en behörighet via betaslutpunkten för unifiedRbacResourceAction API.

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

I följande exempel visas hur du hämtar det autentiseringskontext-ID som har angetts för behörigheten microsoft.directory/conditionalAccessPolicies/delete .

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Resursåtgärder med egenskapen isAuthenticationContextSettable inställd på sant stödjer autentiseringskontext. Resursåtgärder med värdet för egenskapen authenticationContextId är det autentiseringskontext-ID som har tilldelats till åtgärden.

Om du vill visa isAuthenticationContextSettable egenskaperna och authenticationContextId måste de inkluderas i select-instruktionen när du skickar begäran till resursåtgärds-API:et.

Felsöka skyddade åtgärder

Symptom – Inga autentiseringskontextvärden kan väljas

När du försöker välja en autentiseringskontext för villkorsstyrd åtkomst finns det inga tillgängliga värden att välja.

Skärmbild av sidan Lägg till skyddade åtgärder utan autentiseringskontext att välja.

Orsak

Inga kontextvärden för autentisering med villkorsstyrd åtkomst har aktiverats i klientorganisationen.

Lösning

Aktivera autentiseringskontext för klientorganisationen genom att lägga till en ny sådan. Se till att Publicera till appar är ikryssat, så att värdet blir tillgängligt för val. Mer information finns i Autentiseringskontext.

Symptom – Policyn aktiveras inte

I vissa fall, när en skyddad åtgärd har lagts till, kanske användarna inte uppmanas som förväntat. Om principen till exempel kräver multifaktorautentisering kanske en användare inte ser någon inloggningsprompt.

Orsak 1

Användaren har inte tilldelats de principer för villkorsstyrd åtkomst som används för skyddad åtgärd.

Lösning 1

Använd verktyget För villkorsstyrd åtkomst Vad händer om för att kontrollera om användaren har tilldelats en princip. När du använder verktyget väljer du användaren och den autentiseringskontext som användes med den skyddade åtgärden. Välj Vad om och kontrollera att den förväntade principen visas i tabellen Principer som ska tillämpas . Om principen inte tillämpas kontrollerar du villkoret för tilldelning av principanvändare och lägger till användaren.

Orsak 2

Användaren har tidigare uppfyllt principen. Till exempel den slutförda multifaktorautentiseringen tidigare i samma session.

Lösning 2

Kontrollera inloggningshändelserna för Microsoft Entra för att felsöka. Inloggningshändelserna innehåller information om sessionen, inklusive om användaren redan har slutfört multifaktorautentisering. När du felsöker med inloggningsloggarna är det också bra att kontrollera sidan med principdetaljer för att bekräfta att en autentiseringskontext har begärts.

Symptom – Policyn tillfredsställs aldrig

När du försöker utföra kraven för principen för villkorsstyrd åtkomst uppfylls aldrig principen och du uppmanas att autentisera igen.

Orsak

Principen för villkorsstyrd åtkomst har inte skapats eller så är principtillståndet Inaktiverat eller Endast rapport.

Lösning

Skapa principen för villkorsstyrd åtkomst om den inte finns eller ange tillståndet till .

Om du inte kan komma åt sidan Villkorsstyrd åtkomst på grund av den skyddade åtgärden och upprepade begäranden om att autentisera igen använder du följande länk för att öppna sidan Villkorsstyrd åtkomst.

Symptom – Ingen åtkomst till att lägga till skyddade åtgärder

När du är inloggad har du inte behörighet att lägga till eller ta bort skyddade åtgärder.

Orsak

Du har inte behörighet att hantera skyddade åtgärder.

Lösning

Kontrollera att du har tilldelats rollen Administratör för villkorsstyrd åtkomst eller säkerhetsadministratör .

Symptom – Fel som uppstod när man använde PowerShell för att utföra en skyddad operation

När du använder PowerShell för att utföra en skyddad åtgärd returneras ett fel och det finns ingen uppmaning om att uppfylla principen för villkorsstyrd åtkomst.

Orsak

Microsoft Graph PowerShell stöder stegaupp-autentisering, vilket krävs för att tillåta policyprompter. Azure PowerShell stöds inte för stegvis autentisering.

Lösning

Kontrollera att du använder Microsoft Graph PowerShell.

Nästa steg