Compartilhar via

Adicionar, testar ou remover ações protegidas no Microsoft Entra ID

Ações protegidas no Microsoft Entra ID são permissões que receberam políticas de Acesso Condicional que são impostas quando um usuário tenta executar uma ação. Este artigo descreve como adicionar, testar ou remover ações protegidas.

Observação

Você deve executar essas etapas na sequência a seguir para garantir que as ações protegidas sejam configuradas e impostas corretamente. Se você não seguir essa ordem, poderá obter um comportamento inesperado, como receber solicitações repetidas para reautenticar.

Pré-requisitos

Para adicionar ou remover ações protegidas, você deve ter:

Etapa 1: configurar a política de acesso condicional

As ações protegidas usam um contexto de autenticação de Acesso Condicional, portanto, você deve configurar um contexto de autenticação e adicioná-lo a uma política de Acesso Condicional. Se você já tiver uma política com um contexto de autenticação, poderá pular para a próxima seção.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Selecione ID do Entra>Acesso Condicional>Contexto de Autenticação>Contexto de Autenticação.

  3. Selecione Novo contexto de autenticação para abrir o painel Adicionar contexto de autenticação.

  4. Insira um nome e uma descrição e selecione Salvar.

    Captura de tela do painel Adicionar contexto de autenticação para adicionar um novo contexto de autenticação.

  5. Selecione Políticas>Nova política para criar uma nova política.

  6. Crie uma nova política e selecione seu contexto de autenticação.

    Para obter mais informações, consulte Acesso Condicional: aplicativos de nuvem, ações e contexto de autenticação.

    Captura de tela da página Nova política para criar uma nova política com um contexto de autenticação.

Etapa 2: adicionar ações protegidas

Para adicionar ações de proteção, atribua uma política de Acesso Condicional a uma ou mais permissões usando um contexto de autenticação de Acesso Condicional.

  1. Selecione Entra ID>Acesso Condicional>Políticas.

  2. Verifique se o estado da política de Acesso Condicional que você planeja usar com sua ação protegida está definido como Ativado e não como Desativado ou Somente Relatório.

  3. Selecione Entra IDFunções & administradoresAções protegidas.

    Captura de tela da página Adicionar ações protegidas em Funções e administradores.

  4. Selecione Adicionar ações protegidas para adicionar uma nova ação protegida.

    Se Adicionar ações protegidas estiver desabilitada, verifique se você recebeu a função Administrador de Acesso Condicional ou Administrador de Segurança. Para obter mais informações, veja Solucionar problemas de ações protegidas.

  5. Selecione um contexto de autenticação de Acesso Condicional configurado.

  6. Selecione Selecionar permissões e selecione as permissões para proteger com Acesso Condicional.

    Captura de tela da página Adicionar ações protegidas com permissões selecionadas.

  7. Selecione Adicionar.

  8. Quando terminar, selecione Salvar.

    As novas ações protegidas aparecem na lista de ações protegidas

Etapa 3: testar ações protegidas

Quando um usuário executa uma ação protegida, ele precisa atender aos requisitos da política de Acesso Condicional. Esta seção mostra a experiência de um usuário que está sendo solicitado a atender a uma política. Neste exemplo, é necessário que o usuário se autentique com uma chave de segurança FIDO antes de atualizar as políticas de Acesso Condicional.

  1. Entre no centro de administração do Microsoft Entra como um usuário que deve atender à política.

  2. Selecione Entra ID>Acesso Condicional.

  3. Selecione uma política de Acesso Condicional para exibi-la.

    A edição de política está desabilitada porque os requisitos de autenticação não foram atendidos. Na parte inferior da página está a seguinte observação:

    A edição é protegida por um requisito de acesso adicional. Clique aqui para autenticar novamente.

    Captura de tela de uma política de Acesso Condicional desabilitada com uma observação indicando para autenticar novamente.

  4. Selecione Clique aqui para autenticar novamente.

  5. Preencha os requisitos de autenticação quando o navegador for redirecionado para o Microsoft Entra página de entrada.

    Captura de tela de uma página de entrada para autenticar novamente.

    Depois de concluir os requisitos de autenticação, a política pode ser editada.

  6. Edite a política e salve as alterações.

    Captura de tela de uma política de Acesso Condicional habilitada que pode ser editada.

Remover ações protegidas

Para remover ações de proteção, cancele a atribuição de requisitos de política de Acesso Condicional de uma permissão.

  1. Selecione Entra IDFunções & administradoresAções protegidas.

  2. Localize e selecione a política de acesso condicional de permissão para cancelar a atribuição.

    Captura de tela da página Ações protegidas com permissão selecionada para remover.

  3. Na barra de ferramentas, selecione Remover.

    Depois de remover a ação protegida, a permissão não terá um requisito de Acesso Condicional. Uma nova política de Acesso Condicional pode ser atribuída à permissão.

Gráfico da Microsoft

Adicionar ações protegidas

Ações protegidas são adicionadas atribuindo um valor de contexto de autenticação a uma permissão. Os valores de contexto de autenticação que estão disponíveis no locatário podem ser descobertos chamando a API authenticationContextClassReference.

O contexto de autenticação pode ser atribuído a uma permissão usando o ponto de extremidade beta da API unifiedRbacResourceAction:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

O exemplo a seguir mostra como obter a ID de contexto de autenticação que foi definida na permissão microsoft.directory/conditionalAccessPolicies/delete.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Ações de recurso com a propriedade isAuthenticationContextSettable definida como verdadeiro dão suporte a contexto de autenticação. Ações de recurso com o valor da propriedade authenticationContextId é a ID de contexto de autenticação que foi atribuída à ação.

Para exibir as propriedades isAuthenticationContextSettable e authenticationContextId, elas devem ser incluídas na instrução select ao fazer a solicitação para a API de ação do recurso.

Solucionar problemas de ações protegidas

Sintoma – Nenhum valor de contexto de autenticação pode ser selecionado

Ao tentar selecionar um contexto de autenticação de Acesso Condicional, não há valores disponíveis para seleção.

Captura de tela da página Adicionar ações protegidas sem contexto de autenticação para selecionar.

Causa

Nenhum valor de contexto de autenticação de acesso condicional foi habilitado no locatário.

Solução

Habilite o contexto de autenticação para o locatário adicionando um novo contexto de autenticação. Verifique se a opção Publicar em aplicativos está marcada para que o valor esteja disponível para ser selecionado. Para mais informações, consulte Contexto de autenticação.

Sintoma – A política não está sendo disparada

Em alguns casos, após a adição de uma ação protegida, os usuários podem não ser solicitados conforme o esperado. Por exemplo, se a política exigir autenticação multifator, um usuário poderá não ver um prompt de entrada.

Causa 1

O usuário não foi atribuído às políticas de Acesso Condicional usadas para ação protegida.

Solução 1

Use a ferramenta What If do Acesso Condicional para marcar se o usuário tiver sido atribuído à política. Ao usar a ferramenta, selecione o usuário e o contexto de autenticação que foi usado com a ação protegida. Selecione What If e verifique se a política esperada está listada na tabela Políticas que serão aplicadas. Se a política não se aplicar, marcar a condição de atribuição de usuário da política e adicione o usuário.

Causa 2

O usuário já atendeu à política. Por exemplo, a autenticação multifator concluída anteriormente na mesma sessão.

Solução 2

Verifique os eventos de entrada do Microsoft Entra para solucionar problemas. Os eventos de entrada incluiem detalhes sobre a sessão, inclusive se o usuário já concluiu a autenticação multifator. Ao solucionar problemas com os logs de entrada, também é útil marcar página de detalhes da política para confirmar se um contexto de autenticação foi solicitado.

Sintoma – a política nunca é satisfeita

Quando você tenta executar os requisitos para a política de Acesso Condicional, a política nunca é atendida e você continua sendo solicitado a autenticar novamente.

Causa

A política de Acesso Condicional não foi criada ou o estado da política é Desativado ou Somente relatório.

Solução

Crie a política de Acesso Condicional se ela não existir ou e defina o estado como Ativado.

Se você não conseguir acessar a página de Acesso Condicional devido à ação protegida e solicitações repetidas para autenticar novamente, use o link a seguir para abrir a página de Acesso Condicional.

Sintoma – Sem acesso para adicionar ações protegidas

Quando conectado, você não tem permissões para adicionar ou remover ações protegidas.

Causa

Você não tem permissão para gerenciar ações protegidas.

Solução

Verifique se você recebeu a função Administrador de Acesso Condicional ou Administrador de Segurança.

Sintoma – Erro retornado usando o PowerShell para executar uma ação protegida

Ao usar o PowerShell para executar uma ação protegida, um erro é retornado e não há nenhum prompt para atender à política de Acesso Condicional.

Causa

O Microsoft Graph PowerShell dá suporte à autenticação passo a passo, que é necessária para permitir prompts de política. Não há suporte para o Azure PowerShell para autenticação passo a passo.

Solução

Verifique se você está usando o Microsoft Graph PowerShell.

Próximas etapas