Was sind geschützte Aktionen in Microsoft Entra ID?
Geschützte Aktionen in Microsoft Entra ID sind Berechtigungen mit zugewiesenen Richtlinien für bedingten Zugriff. Wenn ein Benutzer versucht, eine geschützte Aktion auszuführen, muss er zuerst die Richtlinien für bedingten Zugriff erfüllen, die den erforderlichen Berechtigungen zugewiesen sind. Damit Administratoren beispielsweise Richtlinien für bedingten Zugriff aktualisieren können, können Sie verlangen, dass sie zuerst die Richtlinie Phishingresistente MFA erfüllen.
Dieser Artikel bietet eine Übersicht über geschützte Aktionen und die ersten Schritte zu ihrer Verwendung.
Gründe für geschützte Aktionen
Geschützte Aktionen bieten sich an, wenn Sie eine zusätzliche Schutzebene hinzufügen möchten. Geschützte Aktionen können Berechtigungen zugewiesen werden, die einen hohen Schutz durch die Richtlinie für bedingten Zugriff unabhängig davon anfordern, welche Rolle verwendet wird oder wie der Benutzer die Berechtigung erhalten hat. Da die Erzwingung der Richtlinie zu dem Zeitpunkt erfolgt, zu dem der Benutzer versucht, die geschützte Aktion durchzuführen, und nicht während der Benutzeranmeldung oder der Regelaktivierung, werden Benutzer nur bei Bedarf zur Eingabe aufgefordert.
Welche Richtlinien werden üblicherweise mit geschützten Aktionen verwendet?
Es wird empfohlen, Multi-Faktor-Authentifizierung für alle Konten zu verwenden, insbesondere für Konten mit privilegierten Rollen. Geschützte Aktionen bieten sich auch an, um zusätzliche Sicherheitsvorkehrungen zu verlangen. Im Folgenden finden Sie einige gängige strengere Richtlinien für bedingten Zugriff.
- Höhere MFA-Authentifizierungsstärken, z. B. Kennwortlose MFA oder Phishingresistente MFA
- Arbeitsstationen mit privilegiertem Zugriff unter Verwendung von Gerätefiltern in Richtlinien für bedingten Zugriff
- Kürzere Sitzungstimeouts mithilfe von Sitzungssteuerelementen für die Anmeldehäufigkeit in Richtlinien für bedingten Zugriff
Welche Berechtigungen können mit geschützten Aktionen verwendet werden?
Es können Richtlinien für bedingten Zugriff für einen eingeschränkten Berechtigungssatz gelten. Geschützte Aktionen sind in den folgenden Bereichen geeignet:
- Verwaltung von Richtlinien für bedingten Zugriff
- Mandantenübergreifende Verwaltung der Zugriffseinstellungen
- Benutzerdefinierte Regel zum Bestimmen von Netzwerkadressen
- Verwaltung geschützter Aktionen
Hier sehen Sie den anfänglichen Berechtigungssatz:
| Berechtigung | BESCHREIBUNG |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften der Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aktualisieren grundlegender Eigenschaften der Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/create | Erstellen von Richtlinien für den bedingten Zugriff |
| microsoft.directory/conditionalAccessPolicies/delete | Löschen von Richtlinien für den bedingten Zugriff |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualisieren zulässiger Cloudendpunkte der mandantenübergreifenden Zugriffsrichtlinie |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aktualisieren der Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aktualisieren der Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualisieren Sie die cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aktualisieren Sie die Mandanteneinschränkungen der mandantenübergreifenden Standardzugriffsrichtlinie. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aktualisieren Sie die Einstellungen für die Microsoft Entra B2B-Zusammenarbeit der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aktualisieren Sie Einstellungen für die direkte Microsoft Entra B2B-Verbindung der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Erstellen Sie eine mandantenübergreifende Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualisieren Sie die cloudübergreifenden Teams-Besprechungseinstellungen der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Löschen Sie eine mandantenübergreifende Zugriffsrichtlinie für Partner. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aktualisieren Sie die Mandanteneinschränkungen der mandantenübergreifenden Zugriffsrichtlinie für Partner. |
| microsoft.directory/namedLocations/basic/update | Aktualisieren der Basiseigenschaften von benutzerdefinierten Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/create | Erstellen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/namedLocations/delete | Löschen benutzerdefinierter Regeln, die Netzwerkadressen definieren |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Authentifizierungskontext für bedingten Zugriff von Microsoft 365-Ressourcenaktionen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) aktualisieren |
Wie lassen sich geschützte Aktionen mit Aktivierung der Rolle „Privileged Identity Management“ vergleichen?
Die Aktivierung der Rolle „Privileged Identity Management“ kann auch Richtlinien für bedingten Zugriff zugewiesen werden. Dies ermöglicht die Erzwingung von Richtlinien nur dann, wenn ein Benutzer eine Rolle aktiviert, und bietet so den umfassendsten Schutz. Geschützte Aktionen werden nur dann erzwungen, wenn ein Benutzer eine Aktion durchführt, die Berechtigungen mit der ihm zugewiesenen Richtlinie für bedingten Zugriff erfordert. Geschützte Aktionen ermöglichen den Schutz von Berechtigungen mit großer Auswirkung unabhängig von der Benutzer*innenrolle. Die Aktivierung der Rolle „Privileged Identity Management“ und geschützte Aktionen können zusammen verwendet werden, um eine sicherere Abdeckung zu erreichen.
Schritte zur Verwendung geschützter Aktionen
Hinweis
Führen Sie diese Schritte in der folgenden Sequenz aus, um sicherzustellen, dass geschützte Aktionen ordnungsgemäß konfiguriert und erzwungen werden. Wenn Sie diese Reihenfolge nicht einhalten, kann es zu unerwartetem Verhalten kommen, z. B. zu wiederholten Aufforderungen zur erneuten Authentifizierung.
Überprüfen Sie die Berechtigungen.
Überprüfen Sie, ob Ihnen die Rollen Administrator für bedingten Zugriff oder Sicherheitsadministrator zugewiesen sind. Falls nicht, bitten Sie Ihren Administrator, Ihnen die entsprechende Rolle zuzuweisen.
Konfigurieren einer Richtlinie für bedingten Zugriff
Konfigurieren Sie einen Authentifizierungskontext für bedingten Zugriff und eine zugeordnete Richtlinie für bedingten Zugriff. Geschützte Aktionen arbeiten mit einem Authentifizierungskontext, der die Erzwingung von Richtlinien für differenzierte Ressourcen in einem Dienst ermöglicht, wie z. B. Microsoft Entra-Berechtigungen. Eine gute Richtlinie für den Anfang ist es, kennwortlose MFA zu verlangen und ein Notfallkonto auszuschließen. Weitere Informationen
Hinzufügen geschützter Aktionen
Fügen Sie geschützte Aktionen hinzu, indem Sie ausgewählten Berechtigungen Werte für den Authentifizierungskontext des bedingten Zugriffs zuweisen. Weitere Informationen
Testen geschützter Aktionen
Melden Sie sich als Benutzer an, und testen Sie die Benutzerumgebung, indem Sie die geschützte Aktion ausführen. Sie sollten aufgefordert werden, die Anforderungen an die Richtlinie für bedingten Zugriff zu erfüllen. Wenn die Richtlinie beispielsweise Multi-Faktor-Authentifizierung anfordert, sollten Sie zur Anmeldeseite umgeleitet und zur sicheren Authentifizierung aufgefordert werden. Weitere Informationen
Was geschieht mit geschützten Aktionen und Anwendungen?
Wenn eine Anwendung oder ein Dienst versucht, eine geschützte Aktion auszuführen, muss sie in der Lage sein, die angeforderte Richtlinie für bedingten Zugriff zu handhaben. In einigen Fällen muss ein Benutzer möglicherweise eingreifen und die Richtlinie erfüllen. Es kann z. B. erforderlich sein, die Multi-Faktor-Authentifizierung zu absolvieren. Die folgenden Anwendungen unterstützen die abgestufte Authentifizierung für geschützte Aktionen:
- Microsoft Entra-Administratorfunktionen für die Aktionen im Microsoft Entra Admin Center
- Microsoft Graph PowerShell
- Graph-Explorer
Es gibt einige bekannte und erwartete Einschränkungen. Die folgenden Anwendungen schlagen fehl, wenn sie versuchen, eine geschützte Aktion auszuführen.
- Azure PowerShell
- Azure AD PowerShell
- Erstellen einer neuen Seite mit Nutzungsbedingungen oder eines benutzerdefinierten Steuerelements im Microsoft Entra Admin Center. Neue Seiten mit Nutzungsbedingungen oder benutzerdefinierte Steuerelemente werden mit bedingtem Zugriff registriert und unterliegen daher beim Erstellen, Aktualisieren und Löschen geschützter Aktionen dem bedingten Zugriff. Wenn Sie die Richtlinienanforderung vorübergehend aus den dem bedingten Zugriff unterliegenden Erstellungs-, Aktualisierungs- und Löschaktionen entfernen, können Sie eine neue Seite mit Nutzungsbedingungen oder eine benutzerdefinierte Steuerung erstellen.
Wenn Ihre Organisation eine Anwendung entwickelt hat, die die Microsoft Graph-API aufruft, um eine geschützte Aktion auszuführen, sollten Sie den Codebeispielen entnehmen, wie Sie eine Anspruchsabfrage mithilfe der abgestuften Authentifizierung handhaben. Weitere Informationen finden Sie unter Anleitung für Entwickler zum Authentifizierungskontext für bedingten Zugriff.
Bewährte Methoden
Im Folgenden finden Sie einige bewährte Methoden für die Verwendung geschützter Aktionen.
Bereithalten eines Notfallkontos
Wenn Sie Richtlinien für bedingten Zugriff für geschützte Aktionen konfigurieren, sollten Sie unbedingt ein Notfallkonto von der Richtlinie ausschließen. Dies bietet eine Absicherung gegen versehentliches Aussperren.
Verschieben von Richtlinien für Benutzer- und Anmelderisiken in bedingten Zugriff
Berechtigungen für bedingten Zugriff kommen beim Verwalten von Microsoft Entra ID Protection-Risikorichtlinien nicht zum Einsatz. Wir empfehlen das Verschieben von Richtlinien für Benutzer- und Anmelderisiken in bedingten Zugriff.
Verwenden benannter Netzwerkadressen
Berechtigungen für benannte Netzwerkadressen werden bei der Verwaltung vertrauenswürdiger IP-Adressen für die Multi-Faktor-Authentifizierung nicht verwendet. Es wird empfohlen, benannte Netzwerkadressen zu verwenden.
Keine geschützten Aktionen verwenden, um den Zugriff auf Grundlage von Identität oder Gruppenmitgliedschaft zu blockieren
Geschützte Aktionen dienen der Erfüllung einer Zugriffsanforderung zur Durchführung einer geschützten Aktion. Sie sind nicht dazu gedacht, die Nutzung einer Berechtigung nur aufgrund von Benutzeridentität oder Gruppenmitgliedschaft zu blockieren. Wer Zugriff auf bestimmte Berechtigungen hat, ist eine Berechtigungsentscheidung, die per Rollenzuweisung gesteuert werden sollte.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für