Prostředí samoobslužné nápravy s ochranou Microsoft Entra ID a podmíněným přístupem

  • Článek

S ochranou Microsoft Entra ID a podmíněným přístupem můžete:

  • Vyžadování registrace uživatelů pro vícefaktorové ověřování Microsoft Entra
  • Automatizace nápravy rizikových přihlášení a ohrožených uživatelů
  • Zablokujte uživatele v konkrétních případech.

Zásady podmíněného přístupu, které integrují riziko uživatelů a přihlašování, mají vliv na přihlašovací prostředí pro uživatele. Pokud uživatelům umožníte registraci a používání nástrojů, jako je vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla, může to mít menší dopad. Tyto nástroje spolu s příslušnými volbami zásad poskytují uživatelům možnost samoobslužné nápravy, když ji potřebují, a přitom stále vynucují silné kontrolní mechanismy zabezpečení.

Registrace vícefaktorového ověřování

Když správce povolí zásadu Identity Protection vyžadující registraci vícefaktorového ověřování Microsoft Entra, zajistí, aby uživatelé mohli v budoucnu použít vícefaktorové ověřování Microsoft Entra. Konfigurace této zásady poskytuje uživatelům 14denní období, kdy se můžou rozhodnout zaregistrovat a na konci se musí zaregistrovat.

Přerušení registrace

  1. Při přihlášení k jakékoli integrované aplikaci Microsoft Entra obdrží uživatel oznámení o požadavku na nastavení účtu pro vícefaktorové ověřování. Tato zásada se také aktivuje v prostředí Windows Out of Box pro nové uživatele s novým zařízením.

    A screenshot showing the more information required prompt in a browser window.

  2. Dokončete kroky s asistencí pro registraci vícefaktorového ověřování Microsoft Entra a dokončete přihlášení.

Samoobslužná náprava rizik

Když správce nakonfiguruje zásady podmíněného přístupu na základě rizik, ovlivnění uživatelé se přeruší, když dosáhnou nakonfigurované úrovně rizika. Pokud správci povolí samoobslužnou nápravu pomocí vícefaktorového ověřování, zobrazí se tento proces uživateli jako normální výzva vícefaktorového ověřování.

Pokud uživatel dokáže dokončit vícefaktorové ověřování, jeho riziko se opraví a může se přihlásit.

A screenshot showing a multifactor authentication prompt at sign in.

Pokud je uživatel ohrožen, nejen přihlášení, můžou správci nakonfigurovat zásady rizik uživatelů v podmíněném přístupu tak, aby kromě vícefaktorového ověřování vyžadovaly změnu hesla. V takovém případě se uživateli zobrazí následující obrazovka navíc.

A screenshot showing the password change is required prompt when user risk is detected.

Odblokování rizikového správce přihlášení

Správa istrátory se můžou rozhodnout blokovat uživatele při přihlášení v závislosti na jejich úrovni rizika. Pokud se chcete odblokovat, musí koncoví uživatelé kontaktovat pracovníky IT nebo se můžou pokusit přihlásit ze známého umístění nebo zařízení. V tomto případě není možnost samoobslužné nápravy.

A screenshot showing your account is blocked screen.

Pracovníci IT můžou postupovat podle pokynů v části Odblokování uživatelů , aby se uživatelé mohli znovu přihlásit.

Technik s vysokým rizikem

Pokud má vaše organizace uživatele, kteří mají delegovaný přístup k jinému tenantovi a aktivují vysoké riziko, může se jim zablokovat přihlášení k těmto dalším tenantům. Příklad:

  1. Organizace má poskytovatele spravovaných služeb (MSP) nebo poskytovatele cloudových řešení (CSP), který se stará o konfiguraci svého cloudového prostředí.
  2. Jeden zpřihlašovacích Tento technik se může přihlašovat k jiným tenantům.
  3. Technik může provést samoobslužnou nápravu a přihlásit se, pokud domácí tenant povolil příslušné zásady vyžadující změnu hesla pro vysoce rizikové uživatele nebo vícefaktorové ověřování pro rizikové uživatele.
    1. Pokud domácí tenant nepovolil zásady samoobslužné nápravy, musí správce v domovském tenantovi technika napravit riziko.

Viz také