如何将条件访问应用于 Microsoft Entra 中的受保护操作

受保护的操作是 Microsoft Entra 中基于条件访问的新安全功能，使您能够对租户中的安全相关操作进行更实际的控制，从而进一步保护租户中的高价值设置。例如，虽然您可以允许全局管理员从任何位置登录到 Microsoft Entra 管理门户，但条件访问策略可能会配置为阻止该全局管理员从其受信任网络外部修改条件访问策略。

在本教程中，我将向您展示如何逐步配置 Microsoft Entra 的受保护操作功能。

Microsoft Entra 中的受保护操作是什么

保护操作是 Microsoft Entra 中的角色权限，可以为其分配身份验证上下文以用作条件访问策略的目标。一般来说，可用的受保护操作是高价值权限，允许您执行敏感任务，例如修改全局影响租户的安全设置。

以下是 Microsoft Entra 中当前可用的受保护操作的列表，您可以分配身份验证强度：

• 更新条件访问策略的基本属性
• 创建条件访问策略
• 删除条件访问策略
• 更新跨租户访问策略允许的云端点
• 更新默认跨租户访问策略的 Azure AD B2B 协作设置
• 更新默认跨租户访问策略的 Azure AD B2B 直接连接设置
• 更新默认跨租户访问策略的跨云 Teams 会议设置
• 更新默认跨租户访问策略的租户限制
• 更新合作伙伴跨租户访问策略的 Azure AD B2B 协作设置
• 更新合作伙伴跨租户访问策略的 Azure AD B2B 直接连接设置
• 为合作伙伴创建跨租户访问策略
• 更新合作伙伴的跨租户访问策略的跨云 Teams 会议设置
• 删除合作伙伴的跨租户访问策略
• 更新合作伙伴跨租户访问策略的租户限制
• 更新定义网络位置的自定义规则的基本属性
• 创建定义网络位置的自定义规则
• 删除定义网络位置的自定义规则
• 更新 Microsoft 365 基于角色的访问控制 (RBAC) 资源操作的条件访问身份验证上下文

创建新的身份验证上下文

第一步是创建新的条件访问身份验证上下文。身份验证上下文可以应用于 Microsoft Entra 中的某些资源，使您能够使用条件访问策略来定位它们。在我们的例子中，我们将把身份验证上下文分配给新的受保护操作。请按照以下步骤创建新的身份验证上下文：

1. 登录 Microsoft Entra。

2. 展开保护，然后选择条件访问。

3. 在管理下，选择身份验证上下文。

4. 单击新建身份验证上下文。

5. 在弹出窗口中，定义身份验证上下文的名称，然后选中发布到应用下面的框，然后点击保存。

为受保护的操作分配身份验证上下文

然后可以将新的身份验证上下文分配给 Microsoft Entra 中的受保护操作。请按照以下步骤将身份验证上下文分配给每个受保护的操作：

1. 在 Microsoft Entra 中，展开身份 > 角色和管理员，然后选择角色和管理员。

2. 选择受保护的操作。

3. 单击添加受保护的操作。

4. 在下一页上，从下拉列表中选择新的身份验证上下文，然后点击选择权限，然后从列表中选中所有所需的权限，然后按添加。

5. 准备好后，单击保存。

使用条件访问策略瞄准受保护的操作

现在您已准备好使用新的条件访问策略来定位受保护的操作。请按照以下步骤将身份验证上下文分配给条件访问策略：

1. 在 Microsoft Entra 中，展开保护并选择条件访问。

2. 从左侧菜单中选择策略，然后单击新建策略。

3. 在策略创建向导中，选择目标资源，然后从下拉列表中选择身份验证上下文。然后，您可以选中所需的身份验证上下文旁边的框。

4. 根据需要完成条件访问策略的其余设置。我建议实施严格的条件和访问控制，例如：

• 可信网络位置
• 需要强认证
• 需要兼容设备

但是，您应该自定义策略以提高您自己环境中的安全性。