Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Entra ID 中的受保护操作是分配给 Conditional Access(条件访问)策略的权限。 当用户尝试执行受保护操作时,他们必须首先满足分配给所需权限的条件访问策略。 例如,若要允许管理员更新条件访问策略,可以要求管理员首先满足 防钓鱼 MFA 策略。
本文概述了受保护操作以及如何开始使用这些操作。
为何使用受保护操作?
如果要添加额外的保护层,请使用受保护操作。 受保护操作可以应用于需要强条件访问策略保护的权限,与使用的角色或用户授予权限的方式无关。 由于实施策略发生在用户尝试执行受保护操作时,而不是在用户登录或规则激活期间执行,因此仅在需要时才会提示用户。
哪些策略通常与受保护操作一起使用?
建议在所有帐户上使用多重身份验证,尤其是具有特权角色的帐户。 受保护操作可用于需要额外安全性的场合。 下面是一些常见的更强大的条件访问策略。
哪些权限可用于受保护操作?
条件访问策略可应用于有限的权限集。 可以在以下区域使用受保护操作:
- 条件访问策略管理
- 跨租户访问设置管理
- 硬删除某些目录对象
- 定义网络位置的自定义规则
- 受保护操作管理
下面是初始权限集:
| 权限 | 说明 |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update (此路径涉及 Microsoft 目录服务和条件访问策略的更新) | 更新条件访问策略的基本属性 |
| microsoft.directory/conditionalAccessPolicies/create | 创建条件访问策略 |
| microsoft.directory/conditionalAccessPolicies/delete | 删除条件访问策略 |
| microsoft.directory/conditionalAccessPolicies/basic/update (此路径涉及 Microsoft 目录服务和条件访问策略的更新) | 更新条件访问策略的基本属性 |
| microsoft.directory/conditionalAccessPolicies/create | 创建条件访问策略 |
| microsoft.directory/conditionalAccessPolicies/delete | 删除条件访问策略 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新跨租户访问策略的允许的云端点 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 更新默认跨租户访问策略中的 Microsoft Entra B2B 协作设置 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 更新默认跨租户访问策略中的 Microsoft Entra B2B 直连设置 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新默认跨租户访问策略的跨云 Teams 会议设置。 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 更新默认跨租户访问策略的租户限制。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 更新 Microsoft Entra B2B 协作中针对合作伙伴的跨租户访问策略设置。 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | 更新合作伙伴的 Microsoft Entra B2B 跨租户访问策略的直接连接设置。 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 为合作伙伴创建跨租户访问策略。 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作伙伴的跨租户访问策略中的跨云 Teams 会议设置。 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 删除合作伙伴的跨租户访问策略。 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 更新合作伙伴跨租户访问策略中的租户限制。 |
| microsoft.directory/deletedItems/delete | 永久删除不再可以还原的对象 |
| microsoft.directory/namedLocations/basic/update | 更新定义网络位置的自定义规则的基本属性 |
| microsoft.directory/namedLocations/create | 创建定义网络位置的自定义规则 |
| microsoft.directory/命名位置/删除 | 删除定义网络位置的自定义规则 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新Microsoft 365基于角色的访问控制(RBAC)资源操作的条件访问身份验证上下文 |
删除目录对象
Microsoft Entra ID支持大多数目录对象的两种类型的删除:软删除和硬删除。 软删除目录对象时,该对象及其属性值和关系会在回收站中保留 30 天。 软删除的对象可以使用相同的 ID 还原,并且所有属性值和关系保持不变。 硬删除软删除对象时,将永久删除该对象,并且不能使用相同的对象 ID 重新创建该对象。
为了帮助防止某些软删除的目录对象从回收站中意外或恶意地被永久删除而导致数据丢失,可以为以下权限添加受保护的操作。 此删除适用于用户、Microsoft 365组、云安全组和应用程序。
- microsoft.directory/deletedItems/delete
受保护的操作与特权身份管理角色激活相比如何?
特权身份管理 角色激活也可以分配条件访问策略。 此功能仅允许在用户激活角色时实施策略,从而提供最全面的保护。 仅当用户执行需要分配有条件访问策略权限的操作时,才会强制实施受保护操作。 受保护操作允许保护具有高影响力的权限,而不受用户角色的约束。 特权身份管理角色激活和受保护的操作可以一起使用,以提升覆盖率。
使用受保护操作的步骤
注意事项
应按以下顺序执行这些步骤,以确保正确配置并强制实施受保护操作。 如果不遵循此顺序,可能会收到意外行为,例如 获取重复请求以重新进行身份验证。
检查权限
配置条件访问策略
配置条件访问身份验证上下文和关联的条件访问策略。 受保护的操作使用身份验证上下文,该上下文允许在服务中对精细粒度的资源实施策略强制,例如Microsoft Entra权限。 好的开始策略是要求无密码 MFA 并排除紧急帐户。 了解详细信息
添加受保护的操作
通过将条件访问身份验证上下文值分配给所选权限来添加受保护操作。 了解详细信息
测试受保护的操作
以用户身份登录,并通过执行受保护操作来测试用户体验。 您应该收到提示,以满足条件访问策略的要求。 例如,如果策略需要多重身份验证,则应重定向到登录页并提示进行强身份验证。 了解详细信息
受保护操作和应用程序会发生什么情况?
如果应用程序或服务尝试执行保护操作,它必须能够处理所需的条件访问策略。 在某些情况下,用户可能需要干预并满足策略。 例如,可能需要它们来完成多重身份验证。 以下应用程序支持受保护操作的升级身份验证:
- Microsoft Entra管理员在Microsoft Entra管理中心中的操作体验
- Microsoft Graph PowerShell
存在一些已知和预期的限制。 如果以下应用程序尝试执行受保护操作,则会失败。
- Azure PowerShell
- 在 Microsoft Entra 管理中心创建新的<使用条款>页面或<自定义控件>。 新的使用条款页或自定义控件注册到条件访问,因此受条件访问创建、更新和删除受保护操作的约束。 暂时从条件访问创建、更新和删除操作中删除策略要求将允许创建新的使用条款页或自定义控件。
如果你的组织开发了调用Microsoft Graph API来执行受保护作的应用程序,则应查看代码示例,了解如何使用逐步身份验证处理声明质询。 有关详细信息,请参阅 条件访问身份验证上下文开发人员指南。
最佳实践
下面是使用受保护操作的一些最佳做法。
有紧急帐户
在为受保护的操作配置条件访问策略时,请确保拥有一个被策略排除的紧急账户。 这提供了防止意外锁定的措施。
使用命名网络位置
管理多重身份验证受信任的 IP 时,不使用命名网络位置权限。 我们建议使用 来命名网络位置。
不要使用受保护操作来阻止基于标识或组成员身份的访问
受保护操作用于应用访问要求来执行受保护操作。 它们不会仅基于用户标识或组成员身份阻止使用权限。 谁有权访问特定权限是授权决策,应由角色分配控制。
许可要求
使用此功能需要Microsoft Entra ID P1 许可证。 若要查找适合你的要求的许可证,请参阅 Microsoft Entra ID 的一般可用功能比较。