通过

在 Microsoft Entra ID 中添加、测试或移除受保护的操作

Microsoft Entra ID 中的受保护的操作是已分配有条件访问策略的权限,当用户尝试执行操作时会强制实施这些策略。 本文将介绍如何添加、测试或移除受保护操作。

注释

应按以下顺序执行这些步骤,以确保正确配置并强制实施受保护的操作。 如果不遵循此顺序,可能会收到意外行为,例如 获取重复请求以重新进行身份验证

先决条件

若要添加或移除受保护操作,你必须具有:

步骤 1:配置条件访问策略

受保护操作使用条件访问身份验证上下文,因此必须配置身份验证上下文并将其添加到条件访问策略。 如果已有包含身份验证上下文的策略,则可以跳到下一部分。

  1. 登录到 Microsoft Entra 管理中心

  2. 选择 Entra ID>条件访问>身份验证上下文>身份验证上下文。

  3. 选择 “新建身份验证上下文 ”以打开 “添加身份验证上下文 ”窗格。

  4. 输入名称和说明,然后选择“ 保存”。

    “添加身份验证上下文”窗格的屏幕截图,用于添加新的身份验证上下文。

  5. 选择 “策略>新建策略 ”以创建新策略。

  6. 创建新策略并选择身份验证上下文。

    有关详细信息,请参阅 条件访问:云应用、作和身份验证上下文

    用于使用身份验证上下文创建新策略的“新建策略”页的屏幕截图。

步骤 2:添加受保护操作

若要添加保护操作,请使用条件访问身份验证上下文将条件访问策略分配给一个或多个权限。

  1. 选择 Entra ID>条件访问>策略

  2. 确保您计划用于受保护操作的条件访问策略的状态设置为 打开,而不是关闭仅报告

  3. 选择 Entra ID>角色和管理员>受保护的动作

    “角色和管理员”中“添加受保护的操作”页的屏幕截图。

  4. 选择 “添加受保护的动作” 以添加新的受保护动作。

    如果“添加受保护的操作”已被禁用,请确保被分配为条件访问管理员或安全管理员角色。 有关详细信息,请参阅 排查保护动作问题

  5. 选择已配置的条件访问身份验证上下文。

  6. 选择 “选择权限 ”,然后选择使用条件访问保护的权限。

    “添加受保护的操作”页面的屏幕截图,其中选择了“权限”。

  7. 选择 “添加”。

  8. 完成后,选择“保存”。

    新的受保护操作显示在受保护操作列表中

步骤 3:测试受保护操作

用户执行受保护操作时,需要满足条件访问策略。 此部分显示用户收到满足策略的提示时的体验。 在此示例中,用户需要先使用 FIDO 安全密钥进行身份验证,然后才能更新条件访问策略。

  1. 以必须满足策略的用户身份登录到 Microsoft Entra 管理中心

  2. 选择 Entra ID>条件访问

  3. 选择条件访问策略进行查看。

    策略编辑处于禁用状态,因为尚未满足身份验证要求。 页面底部有以下注释:

    编辑受其他访问要求保护。 单击此处以重新进行身份验证。

    禁用的条件访问策略的屏幕截图,其中包含指示重新进行身份验证的注释。

  4. 选择 “单击此处”重新进行身份验证

  5. 当浏览器重定向到 Microsoft Entra 登录页时,请完成身份验证要求。

    要重新进行身份验证的登录页的屏幕截图。

    完成身份验证要求后,可以编辑策略。

  6. 编辑策略并保存所做的更改。

    可编辑的已启用条件访问策略的屏幕截图。

移除受保护操作

若要移除受保护操作,请取消分配权限中的条件访问策略。

  1. 选择 Entra ID>角色和管理员>受保护的操作

  2. 找到并选择要取消分配的权限条件访问策略。

    受保护的动作页的屏幕截图,其中选择了要删除的权限。

  3. 在工具栏上,选择“删除”。

    删除受保护的操作后,权限将没有条件访问要求。 可以向权限分配新的条件访问策略。

Microsoft Graph

添加受保护操作

通过将身份验证上下文值分配给权限来添加受保护操作。 可以通过调用 authenticationContextClassReference API 来发现租户中可用的身份验证上下文值。

可以使用 unifiedRbacResourceAction API 的 beta 终结点,将身份验证上下文分配给权限:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

以下示例演示如何获取在 microsoft.directory/conditionalAccessPolicies/delete 权限上设置的身份验证上下文 ID。

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

属性 isAuthenticationContextSettable 设置为 true 的资源操作支持身份验证上下文。 具有属性值 authenticationContextId 的资源操作是已分配给操作的身份验证上下文 ID。

若要查看 isAuthenticationContextSettableauthenticationContextId 属性,在向资源操作 API 发出请求时,必须将其包含在 select 语句中。

对受保护操作进行故障排除

症状 - 无法选择身份验证上下文值

尝试选择条件访问身份验证上下文时,没有可供选择的值。

“添加受保护的操作”页面的屏幕截图,其中没有要选择的身份验证上下文。

原因

租户中未启用任何条件访问身份验证上下文值。

溶液

通过添加新的身份验证上下文为租户启用身份验证上下文。 确保选中 “发布到应用”选项,以便让该值可供选择。 有关详细信息,请参阅 身份验证上下文

症状 - 策略未触发

在某些情况下,添加受保护操作后,用户可能没有收到预期的提示。 例如,如果策略要求进行多重身份验证,则用户可能不会看到登录提示。

原因 1

尚未将用户分配到用于受保护操作的条件访问策略。

解决方案 1

使用条件访问 What If 工具检查用户是否已分配策略。 使用该工具时,请选择用户以及与受保护操作一起使用的身份验证上下文。 选择 "What If",并在 将应用 表中验证预期的策略是否列出。 如果策略不适用,请检查策略用户分配条件,然后添加用户。

原因 2

用户之前已满足策略。 例如,同一会话中之前已完成的多重身份验证。

解决方案 2

请检查 Microsoft Entra 登录事件 以便进行故障排除。 登录事件包含有关会话的详细信息,包括用户是否已完成多重身份验证。 使用登录日志进行故障排除时,查看策略详细信息页以确认已请求身份验证上下文也很有帮助。

症状 - 策略从未得到满足

尝试执行条件访问策略的要求时,从不会满足策略,并且不断要求重新进行身份验证。

原因

未创建条件访问策略,或者策略状态为“关闭”或“仅报告”。

溶液

创建条件访问策略(如果不存在)或将状态设置为 “打开”。

如果由于受保护的操作和重复的重新身份验证请求而无法访问“条件访问”页面,请使用以下链接打开“条件访问”页面。

症状 - 无权添加受保护操作

登录后,你无权添加或删除受保护操作。

原因

你没有管理受保护操作的权限。

溶液

请确保已分配 有条件访问管理员安全管理员 角色。

症状 - 使用 PowerShell 执行受保护操作时返回错误

使用 PowerShell 执行受保护操作时返回错误,并且没有提示满足条件访问策略。

原因

Microsoft Graph PowerShell 支持升级身份验证,这是允许策略提示所必需的。 不支持 Azure PowerShell 进行分步身份验证。

溶液

请确保使用的是 Microsoft Graph PowerShell。

后续步骤