Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geschützte Aktionen in der Microsoft Entra-ID sind Berechtigungen, denen Richtlinien für bedingten Zugriff zugewiesen wurden, die erzwungen werden, wenn ein Benutzer versucht, eine Aktion auszuführen. In diesem Artikel wird beschrieben, wie geschützte Aktionen hinzugefügt, getestet oder entfernt werden.
Hinweis
Sie sollten diese Schritte in der folgenden Sequenz ausführen, um sicherzustellen, dass geschützte Aktionen ordnungsgemäß konfiguriert und erzwungen werden. Wenn Sie dieser Reihenfolge nicht folgen, erhalten Sie möglicherweise unerwartetes Verhalten, z. B. wiederholte Anforderungen zum erneuten Authentifizieren.
Voraussetzungen
Um geschützte Aktionen hinzuzufügen oder zu entfernen, benötigen Sie:
- Microsoft Entra ID P1- oder P2-Lizenz
- Rolle "Administrator für bedingten Zugriff" oder "Sicherheitsadministrator"
Schritt 1: Konfigurieren der Richtlinie für bedingten Zugriff
Geschützte Aktionen verwenden einen Authentifizierungskontext für bedingten Zugriff. Daher müssen Sie einen Authentifizierungskontext konfigurieren und einer Richtlinie für bedingten Zugriff hinzufügen. Wenn Sie bereits über eine Richtlinie mit einem Authentifizierungskontext verfügen, können Sie mit dem nächsten Abschnitt fortfahren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
Wählen Sie Entra ID>Conditional Access>Authentifizierungskontext>Authentifizierungskontext.
Wählen Sie "Neuer Authentifizierungskontext " aus, um den Kontextbereich "Authentifizierung hinzufügen " zu öffnen.
Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie dann "Speichern" aus.
Wählen Sie "Richtlinien>Neue Richtlinie " aus, um eine neue Richtlinie zu erstellen.
Erstellen Sie eine neue Richtlinie, und wählen Sie Ihren Authentifizierungskontext aus.
Weitere Informationen finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.
Schritt 2: Hinzufügen geschützter Aktionen
Um geschützte Aktionen hinzuzufügen, weisen Sie einer oder mehreren Berechtigungen mithilfe eines Authentifizierungskontexts für bedingten Zugriff eine Richtlinie für bedingten Zugriff zu.
Wählen Sie Entra ID-Richtlinien> fürbedingten Zugriff> aus.
Stellen Sie sicher, dass der Status der Richtlinie für bedingten Zugriff, die Sie mit Ihrer geschützten Aktion verwenden möchten, auf "Ein" und nicht auf " Aus" oder "Nur Bericht" festgelegt ist.
Wählen Sie
Entra ID Rollen & Administratoren geschützte Aktionen aus.
Wählen Sie "Geschützte Aktionen hinzufügen" aus, um eine neue geschützte Aktion hinzuzufügen.
Wenn " Geschützte Aktionen hinzufügen" deaktiviert ist, stellen Sie sicher, dass Sie der Rolle "Administrator für bedingten Zugriff" oder "Sicherheitsadministrator" zugewiesen sind. Weitere Informationen finden Sie unter Problembehandlung für geschützte Aktionen.
Wählen Sie einen konfigurierten Authentifizierungskontext für bedingten Zugriff aus.
Wählen Sie "Berechtigungen auswählen" und dann die Berechtigungen aus, die mit bedingtem Zugriff geschützt werden sollen.
Wählen Sie "Hinzufügen" aus.
Wenn Sie fertig sind, wählen Sie "Speichern" aus.
Die neuen geschützten Aktionen werden in der Liste der geschützten Aktionen angezeigt.
Schritt 3: Testen geschützter Aktionen
Wenn ein Benutzer eine geschützte Aktion ausführt, muss er die Richtlinienanforderungen für bedingten Zugriff erfüllen. In diesem Abschnitt wird gezeigt, wie ein Benutzer aufgefordert wird, eine Richtlinie zu erfüllen. In diesem Beispiel muss sich der Benutzer mit einem FIDO-Sicherheitsschlüssel authentifizieren, bevor er Richtlinien für bedingten Zugriff aktualisieren kann.
Melden Sie sich beim Microsoft Entra Admin Center als Benutzer an, der die Richtlinie erfüllen muss.
Wählen Sie entra ID>Conditional Access aus.
Wählen Sie eine Richtlinie für bedingten Zugriff aus, um sie anzuzeigen.
Die Richtlinienbearbeitung ist deaktiviert, da die Authentifizierungsanforderungen nicht erfüllt wurden. Unten auf der Seite befindet sich der folgende Hinweis:
Die Bearbeitung ist durch eine zusätzliche Zugriffsanforderung geschützt. Klicken Sie hier, um sich erneut zu authentifizieren.
Klicken Sie hier, um die Authentifizierung erneut zu erstellen.
Führen Sie die erforderlichen Authentifizierungsaktionen aus, wenn der Browser zur Microsoft Entra-Anmeldeseite umgeleitet wird.
Nach Erfüllung der Authentifizierungsanforderungen kann die Richtlinie bearbeitet werden.
Bearbeiten Sie die Richtlinie, und speichern Sie die Änderungen.
Entfernen geschützter Aktionen
Um geschützte Aktionen zu entfernen, heben Sie die Zuweisung von Richtlinienanforderungen für bedingten Zugriff zu einer Berechtigung auf.
Wählen Sie
Entra ID Rollen & Administratoren geschützte Aktionen aus.Suchen Sie die Richtlinie für bedingten Zugriff für die Berechtigung und wählen Sie sie aus, um die Zuweisung aufzuheben.
Wählen Sie auf der Symbolleiste "Entfernen" aus.
Nachdem Sie die geschützte Aktion entfernt haben, ist der Berechtigung keine Anforderung für bedingten Zugriff zugewiesen. Der Berechtigung kann eine neue Richtlinie für bedingten Zugriff zugewiesen werden.
Microsoft Graph
Hinzufügen geschützter Aktionen
Geschützte Aktionen werden durch Zuweisen eines Authentifizierungskontextwerts zu einer Berechtigung hinzugefügt. Authentifizierungskontextwerte, die im Mandanten verfügbar sind, können durch Aufrufen der authenticationContextClassReference-API ermittelt werden.
Der Authentifizierungskontext kann einer Berechtigung mithilfe des beta-Endpunkts der unifiedRbacResourceAction-API zugewiesen werden:
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Das folgende Beispiel zeigt, wie Sie die Authentifizierungskontext-ID abrufen, die für die Berechtigung microsoft.directory/conditionalAccessPolicies/delete festgelegt wurde.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
Ressourcenaktionen, deren Eigenschaft isAuthenticationContextSettable auf TRUE festgelegt ist, unterstützen den Authentifizierungskontext. Ressourcenaktionen mit dem Wert der Eigenschaft authenticationContextId sind die Authentifizierungskontext-ID, die der Aktion zugewiesen wurde.
Um die Eigenschaften isAuthenticationContextSettable und authenticationContextId anzuzeigen, müssen sie beim Senden der Anforderung an die Ressourcenaktions-API in der select-Anweisung eingeschlossen sein.
Problembehandlung bei geschützten Aktionen
Symptom: Keine Authentifizierungskontextwerte auswählbar
Wenn Sie versuchen, einen Authentifizierungskontext für bedingten Zugriff auszuwählen, stehen keine Werte zur Auswahl zur Verfügung.
Verursachen
Im Mandanten wurden keine Authentifizierungskontextwerte für bedingten Zugriff aktiviert.
Lösung
Aktivieren Sie den Authentifizierungskontext für den Mandanten, indem Sie einen neuen Authentifizierungskontext hinzufügen. Stellen Sie sicher, dass "In Apps veröffentlichen " aktiviert ist, damit der Wert ausgewählt werden kann. Weitere Informationen finden Sie unter Authentifizierungskontext.
Symptom: Richtlinie wird nicht ausgelöst
In einigen Fällen werden Benutzer möglicherweise nicht wie erwartet aufgefordert, nachdem eine geschützte Aktion hinzugefügt wurde. Wenn die Richtlinie beispielsweise eine Multi-Faktor-Authentifizierung erfordert, wird einem Benutzer möglicherweise keine Aufforderung zum Anmelden angezeigt.
Ursache 1
Der Benutzer wurde nicht den Richtlinien für bedingten Zugriff zugewiesen, die für die geschützte Aktion verwendet werden.
Lösung 1
Verwenden Sie das Bedingter Zugriff 'Was wäre wenn'-Tool, um zu überprüfen, ob dem Benutzer eine Richtlinie zugewiesen wurde. Wenn Sie das Tool nutzen, wählen Sie den Benutzer und den Authentifizierungskontext aus, der mit der geschützten Aktion verwendet wurde. Wählen Sie "What If" aus, und überprüfen Sie, ob die erwartete Richtlinie in der Tabelle "Richtlinien, die angewendet werden" aufgeführt ist. Wenn die Richtlinie nicht angewendet wird, überprüfen Sie die Bedingung für die Richtlinienbenutzerzuweisung, und fügen Sie den Benutzer hinzu.
Ursache 2
Der Benutzer hat zuvor die Richtlinie erfüllt. Beispielsweise die abgeschlossene Multi-Faktor-Authentifizierung früher in derselben Sitzung.
Lösung 2
Überprüfen Sie die Microsoft Entra-Anmeldeereignisse , um Probleme zu beheben. Die Anmeldeereignisse enthalten Details zur Sitzung, unter anderem auch darüber, ob der Benutzer bzw. die Benutzerin die Multi-Faktor-Authentifizierung bereits abgeschlossen hat. Bei der Problembehandlung mit den Anmeldeprotokollen ist es auch hilfreich, die Seite mit den Richtliniendetails zu überprüfen, um zu bestätigen, dass ein Authentifizierungskontext angefordert wurde.
Symptom: Die Richtlinie wird nie erfüllt
Beim Versuch, die Anforderungen für die Richtlinie für bedingten Zugriff auszuführen, wird die Richtlinie nie erfüllt, und Sie werden immer wieder aufgefordert, sich erneut zu authentifizieren.
Verursachen
Die Richtlinie für bedingten Zugriff wurde nicht erstellt, oder der Richtlinienstatus ist deaktiviert oder nur berichtgeschützt.
Lösung
Erstellen Sie die Richtlinie für den bedingten Zugriff, wenn sie nicht vorhanden ist, oder legen Sie den Status auf "Ein" fest.
Wenn Sie aufgrund der geschützten Aktion und der wiederholten Anforderungen zur erneuten Authentifizierung nicht auf die Seite „Bedingter Zugriff“ zugreifen können, verwenden Sie den folgenden Link, um die Seite zu öffnen.
Symptom: Kein Zugriff zum Hinzufügen geschützter Aktionen
Wenn Sie angemeldet sind, besitzen Sie keine Berechtigungen zum Hinzufügen oder Entfernen geschützter Aktionen.
Verursachen
Sie besitzen keine Berechtigung zum Verwalten von geschützten Aktionen.
Lösung
Stellen Sie sicher, dass Ihnen die Rolle " Administrator für bedingten Zugriff" oder "Sicherheitsadministrator " zugewiesen ist.
Symptom: Fehler bei der Verwendung von PowerShell zum Ausführen einer geschützten Aktion zurückgegeben
Wenn Sie PowerShell zum Ausführen einer geschützten Aktion verwenden, wird ein Fehler zurückgegeben, und es wird keine Aufforderung zum Erfüllen der Richtlinie für bedingten Zugriff angezeigt.
Verursachen
Microsoft Graph PowerShell unterstützt die Step-up-Authentifizierung, die erforderlich ist, um Richtlinienaufforderungen zuzulassen. Azure PowerShell wird für die schrittweise Authentifizierung nicht unterstützt.
Lösung
Stellen Sie sicher, dass Sie Microsoft Graph PowerShell verwenden.