Partilhar via

Adicionar, testar ou remover ações protegidas no Microsoft Entra ID

As ações protegidas no Microsoft Entra ID são permissões às quais foram atribuídas políticas de Acesso Condicional que são impostas quando um usuário tenta executar uma ação. Este artigo descreve como adicionar, testar ou remover ações protegidas.

Observação

Você deve executar essas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e aplicadas corretamente. Se você não seguir essa ordem, poderá ter um comportamento inesperado, como receber solicitações repetidas para autenticar novamente.

Pré-requisitos

Para adicionar ou remover ações protegidas, você deve ter:

Etapa 1: Configurar a política de Acesso Condicional

As ações protegidas usam um contexto de autenticação de Acesso Condicional, portanto, você deve configurar um contexto de autenticação e adicioná-lo a uma política de Acesso Condicional. Se já tiver uma política com um contexto de autenticação, pode saltar para a secção seguinte.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

  2. Selecione Entra ID>acesso condicional>Contexto de autenticação>Contexto de autenticação.

  3. Selecione Novo contexto de autenticação para abrir o painel Adicionar contexto de autenticação.

  4. Introduza um nome e uma descrição e, em seguida, selecione Guardar.

    Captura de ecrã do painel de contexto Adicionar autenticação para adicionar um novo contexto de autenticação.

  5. Selecione Políticas>Nova política para criar uma nova política.

  6. Crie uma nova política e selecione seu contexto de autenticação.

    Para obter mais informações, consulte Acesso condicional: aplicativos, ações e contexto de autenticação na nuvem.

    Captura de ecrã da página Nova política para criar uma nova política com um contexto de autenticação.

Etapa 2: adicionar ações protegidas

Para adicionar ações de proteção, atribua uma política de Acesso Condicional a uma ou mais permissões usando um contexto de autenticação de Acesso Condicional.

  1. Selecione Entra ID>Acesso Condicional>Políticas.

  2. Verifique se o estado da política de Acesso Condicional que você planeja usar com sua ação protegida está definido como Ativado e não Desativado ou Somente relatório.

  3. Selecione Entra ID>Funções e administradores>Ações protegidas.

    Captura de ecrã da página Adicionar ações protegidas em Funções e administradores.

  4. Selecione Adicionar ações protegidas para adicionar uma nova ação protegida.

    Se Adicionar ações protegidas estiver desativado, certifique-se de que lhe foi atribuída a função de Administrador de Acesso Condicional ou Administrador de Segurança. Para obter mais informações, consulte Solucionar problemas de ações protegidas.

  5. Selecione um contexto de autenticação de Acesso Condicional configurado.

  6. Selecione Selecionar permissões e selecione as permissões a proteger com Acesso Condicional.

    Captura de ecrã da página Adicionar ações protegidas com permissões selecionadas.

  7. Selecione Adicionar.

  8. Quando terminar, selecione Salvar.

    As novas ações protegidas aparecem na lista de ações protegidas

Etapa 3: Testar ações protegidas

Quando um usuário executa uma ação protegida, ele precisará atender aos requisitos da política de Acesso Condicional. Esta seção mostra a experiência de um usuário que está sendo solicitado a satisfazer uma política. Neste exemplo, o usuário precisa se autenticar com uma chave de segurança FIDO antes de atualizar as políticas de Acesso Condicional.

  1. Entre no centro de administração do Microsoft Entra como um usuário que deve satisfazer a política.

  2. Selecione Entra ID>Acesso Condicional.

  3. Selecione uma política de Acesso Condicional para visualizá-la.

    A edição de políticas está desativada porque os requisitos de autenticação não foram cumpridos. Na parte inferior da página está a seguinte nota:

    A edição é protegida por um requisito de acesso adicional. Clique aqui para autenticar novamente.

    Captura de ecrã de uma política de Acesso Condicional desativada com uma nota a indicar a reautenticação.

  4. Selecione Clique aqui para autenticar novamente.

  5. Conclua os requisitos de autenticação quando o navegador for redirecionado para a página de entrada do Microsoft Entra.

    Captura de ecrã de uma página de início de sessão para autenticar novamente.

    Depois de concluir os requisitos de autenticação, a política pode ser editada.

  6. Edite a política e salve as alterações.

    Captura de ecrã de uma política de Acesso Condicional ativada que pode ser editada.

Remover ações protegidas

Para remover ações de proteção, cancele a atribuição de requisitos de política de Acesso Condicional de uma permissão.

  1. Selecione Entra ID>Funções e administradores>Ações protegidas.

  2. Localize e selecione a política de permissão de Acesso Condicional para cancelar a atribuição.

    Captura de ecrã da página Ações protegidas com a permissão selecionada para remover.

  3. Na barra de ferramentas, selecione Remover.

    Depois de remover a ação protegida, a permissão não terá um requisito de Acesso Condicional. Uma nova política de Acesso Condicional pode ser atribuída à permissão.

Microsoft Graph

Adicionar ações protegidas

As ações protegidas são adicionadas atribuindo um valor de contexto de autenticação a uma permissão. Os valores de contexto de autenticação disponíveis no locatário podem ser descobertos chamando a API authenticationContextClassReference .

O contexto de autenticação pode ser atribuído a uma permissão usando o ponto de extremidade beta da API unifiedRbacResourceAction

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

O exemplo a seguir mostra como obter a ID de contexto de autenticação que foi definida na permissão microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

As ações de recurso com a propriedade isAuthenticationContextSettable definida como verdadeira suportam o contexto de autenticação. Ações de recurso com o valor da propriedade authenticationContextId são a ID de contexto de autenticação que foram atribuídas à ação.

Para exibir as propriedades isAuthenticationContextSettable e authenticationContextId, elas devem ser incluídas na instrução select ao fazer a solicitação para a API de ação de recurso.

Solucionar problemas de ações protegidas

Sintoma - Nenhum valor de contexto de autenticação pode ser selecionado

Ao tentar selecionar um contexto de autenticação de Acesso Condicional, não há valores disponíveis para serem selecionados.

Captura de ecrã da página Adicionar ações protegidas sem contexto de autenticação para selecionar.

Causa

Nenhum valor de contexto de autenticação de Acesso Condicional foi habilitado no locatário.

Solução

Habilite o contexto de autenticação para o locatário adicionando um novo contexto de autenticação. Verifique se a opção Publicar em aplicativos está marcada, para que o valor esteja disponível para ser selecionado. Para obter mais informações, consulte Contexto de autenticação.

Sintoma - A política não está sendo acionada

Em alguns casos, após a adição de uma ação protegida, os usuários podem não receber a notificação esperada. Por exemplo, se a política exigir autenticação multifator, um utilizador pode não ser solicitado a iniciar sessão.

Causa 1

O usuário não foi atribuído às políticas de Acesso Condicional usadas para a ação protegida.

Solução 1

Use a ferramenta de Acesso Condicional E Se para verificar se o utilizador tem uma política atribuída. Ao usar a ferramenta, selecione o usuário e o contexto de autenticação que foi usado com a ação protegida. Selecione "What If", e verifique se a política esperada está listada na tabela Políticas que se aplicarão. Se a política não se aplicar, verifique a condição de atribuição de usuário da política e adicione o usuário.

Causa 2

O utilizador já cumpriu a política. Por exemplo, a autenticação multifator foi concluída anteriormente na mesma sessão.

Solução 2

Verifique os eventos de início de sessão do Microsoft Entra para resolução de problemas. Os eventos de entrada incluem detalhes sobre a sessão, incluindo se o utilizador já concluiu a autenticação multifator. Ao resolver problemas com os registos de entrada, é também útil verificar a página de detalhes da política para confirmar que foi solicitado um contexto de autenticação.

Sintoma - A política nunca está satisfeita

Quando você tenta executar os requisitos para a política de Acesso Condicional, a política nunca é satisfeita e você continua sendo solicitado a se autenticar novamente.

Causa

A política de Acesso Condicional não foi criada ou o estado da política é Desativado ou Somente Relatório.

Solução

Crie a política de Acesso Condicional se ela não existir ou e defina o estado como Ativado.

Se você não conseguir acessar a página Acesso Condicional devido à ação protegida e às repetidas solicitações de reautenticação, use o link a seguir para abrir a página Acesso Condicional.

Sintoma - Sem acesso para adicionar ações protegidas

Quando estiver com sessão iniciada, não tem permissões para adicionar ou remover ações protegidas.

Causa

Você não tem permissão para gerenciar ações protegidas.

Solução

Certifique-se de que lhe foi atribuída a função de Administrador de Acesso Condicional ou Administrador de Segurança .

Sintoma - Erro retornado usando o PowerShell para executar uma ação protegida

Ao usar o PowerShell para executar uma ação protegida, um erro é retornado e não há nenhum prompt para satisfazer a política de Acesso Condicional.

Causa

O Microsoft Graph PowerShell oferece suporte à autenticação reforçada, que é necessária para permitir avisos das políticas. O Azure PowerShell não possui suporte para autenticação de dois fatores.

Solução

Certifique-se de que está a utilizar o Microsoft Graph PowerShell.

Próximos passos

  • Last updated on