Kurz: Použití detekcí rizik pro přihlašování uživatelů k aktivaci vícefaktorového ověřování nebo změn hesel Microsoft Entra

Pokud chcete chránit uživatele, můžete nakonfigurovat zásady podmíněného přístupu Microsoft Entra založené na rizicích, které automaticky reagují na rizikové chování. Tyto zásady můžou automaticky blokovat pokus o přihlášení nebo vyžadovat další akci, například vyžadovat zabezpečenou změnu hesla nebo požádat o vícefaktorové ověřování Microsoft Entra. Tyto zásady fungují se stávajícími zásadami podmíněného přístupu Microsoft Entra jako další vrstvou ochrany pro vaši organizaci. Uživatelé nemusí v některé z těchto zásad aktivovat rizikové chování, ale vaše organizace je chráněná, pokud se pokusíte ohrozit zabezpečení.

Důležité

V tomto kurzu se dozvíte, jak povolit vícefaktorové ověřování na základě rizik (MFA).

Pokud váš IT tým nepovolil možnost používat vícefaktorové ověřování Microsoft Entra nebo máte problémy při přihlašování, obraťte se na helpdesk a požádejte ho o další pomoc.

V tomto kurzu se naučíte:

• Vysvětlení dostupných zásad
• Povolení registrace vícefaktorového ověřování Microsoft Entra
• Zapnout změny hesla na základě rizikového hodnocení
• Povolení vícefaktorového ověřování na základě rizik
• Testování zásad založených na riziku pro pokusy o přihlášení uživatelů

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Funkční tenant Microsoft Entra s alespoň aktivovanou licencí Microsoft Entra ID P2 nebo zkušební licencí.
  • V případě potřeby si ho vytvořte zdarma.
• Účet s oprávněními správce zabezpečení.
• ID Microsoft Entra nakonfigurované pro samoobslužné resetování hesla a vícefaktorové ověřování Microsoft Entra
  • V případě potřeby dokončete kurz a povolte Microsoft Entra SSPR.
  • V případě potřeby dokončete výukový program, abyste povolili vícefaktorové ověřování Microsoft Entra.

Přehled služby Microsoft Entra ID Protection

Každý den Microsoft shromažďuje a analyzuje bilióny anonymizovaných signálů jako součást pokusů o přihlášení uživatelů. Tyto signály pomáhají vytvářet vzory dobrého chování při přihlašování uživatelů a identifikovat potenciální rizikové pokusy o přihlášení. Microsoft Entra ID Protection může zkontrolovat pokusy o přihlášení uživatele a provést další akce, pokud dojde k podezřelému chování:

Některé z následujících akcí můžou aktivovat detekci rizik Microsoft Entra ID Protection:

• Uživatelé s uniklými přihlašovacími údaji.
• Přihlášení z anonymních IP adres
• Nemožné cestování do atypických míst.
• Přihlášení z napadených zařízení
• Přihlášení z IP adres s podezřelou aktivitou
• Přihlášení z neznámých lokalit

Tento článek vás provede povolením tří zásad k ochraně uživatelů a automatizaci reakce na podezřelou aktivitu.

• Zásady registrace vícefaktorového ověřování
  • Ujistěte se, že jsou uživatelé zaregistrovaní pro vícefaktorové ověřování Microsoft Entra. Pokud zásady rizik přihlašování zobrazí výzvu k vícefaktorovém ověřování, uživatel už musí být zaregistrovaný pro vícefaktorové ověřování Microsoft Entra.
• Zásady rizik uživatelů
  • Identifikuje a automatizuje odpověď na uživatelské účty, které mohly ohrozit přihlašovací údaje. Může uživatele vyzvat k vytvoření nového hesla.
• Zásady rizika přihlášení
  • Identifikuje a automatizuje odpověď na podezřelé pokusy o přihlášení. Může uživatele vyzvat k zadání dalších formulářů ověření pomocí vícefaktorového ověřování Microsoft Entra.

Když povolíte zásadu založenou na riziku, můžete také zvolit prahovou hodnotu pro úroveň rizika – nízkou, střední nebo vysokou. Díky této flexibilitě se můžete rozhodnout, jak agresivní chcete být při vynucování jakýchkoli kontrol podezřelých událostí přihlašování. Microsoft doporučuje následující konfigurace zásad.

Další informace o službě Microsoft Entra ID Protection naleznete v tématu Co je Microsoft Entra ID Protection?

Povolte zásady registrace vícefaktorového ověřování

Microsoft Entra ID Protection obsahuje výchozí zásady, které můžou pomoct uživatelům zaregistrovat se pro vícefaktorové ověřování Microsoft Entra. Pokud k ochraně přihlašovacích událostí používáte jiné zásady, budete potřebovat, aby uživatelé již měli zaregistrované vícefaktorové ověřování. Když tuto zásadu povolíte, nevyžaduje, aby uživatelé prováděli vícefaktorové ověřování při každé události přihlášení. Zásady pouze zkontrolují stav registrace uživatele a v případě potřeby je vyzve k předběžné registraci.

Doporučujeme povolit tuto zásadu registrace pro uživatele, kteří používají vícefaktorové ověřování. Pokud chcete tuto zásadu povolit, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
2. Přejděte na Ochrana ID>Řídicí panel>Zásady registrace vícefaktorového ověřování.
3. Ve výchozím nastavení platí zásada pro všechny uživatele. V případě potřeby vyberte Přiřazení a pak zvolte uživatele nebo skupiny, u které chcete zásadu použít.
4. V části Ovládací prvky vyberte Access. Ujistěte se, že je zaškrtnutá možnost Vyžadovat registraci vícefaktorového ověřování Microsoft Entra , a pak zvolte Vybrat.
5. Nastavte Vynutit zásadu na Zapnuto a poté zvolte Uložit.

Povolit zásadu rizika uživatele pro změnu hesla

Microsoft spolupracuje při vyhledávání dvojic uživatelských jmen a hesel s výzkumnými pracovníky, orgány zajišťujícími vymáhání zákona, různými týmy zabezpečení v Microsoftu a dalšími důvěryhodnými zdroji. Když některý z těchto párů odpovídá účtu ve vašem systému, můžete požádat o změnu hesla založenou na riziku. Tato zásada a akce vyžadují, aby uživatel před přihlášením aktualizoval heslo, aby se ujistil, že už nebudou fungovat všechny dříve vystavené přihlašovací údaje.

Pokud chcete tuto zásadu povolit, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
2. Přejděte dopodmíněného přístupu>.
3. Vyberte Nová politika.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
   3. Vyberte Hotovo.
6. V části Cílové prostředky>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
7. Pod Podmínky>rizika uživatele nastavte konfiguraci na Ano.
   1. V části Konfigurovat úrovně rizik uživatelů potřebné k vynucení zásad vyberte Vysoká. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
   2. Vyberte Hotovo.
8. V části Řízení přístupu>Udělit, vyberte Udělit přístup.
   1. Vyberte Vyžadovat nápravu rizika. Je automaticky vybrán ovládací prvek Vyžadovat udělení síly ověřování . Zvolte sílu, která je vhodná pro vaši organizaci.
   2. Vyberte Vybrat.
9. V části Relacese frekvence přihlášení – Pokaždé, když se automaticky použije jako ovládací prvek relace a je povinný.
10. Potvrďte nastavení a nastavte Nastavit zásady na Režim pouze zpráv.
11. Vyberte Vytvořit a vytvořte zásadu.

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Povolit zásady rizika přihlášení pro vícefaktorové ověřování

Většina uživatelů má normální chování, které je možné sledovat. Když se odchýlí od této normy, může být riskantní dovolit jim se úspěšně přihlásit. Místo toho můžete chtít zablokovat daného uživatele nebo požádat ho, aby provedl vícefaktorové ověřování. Pokud uživatel úspěšně dokončí výzvu vícefaktorového ověřování, můžete ho považovat za platný pokus o přihlášení a udělit přístup k aplikaci nebo službě.

Pokud chcete tuto zásadu povolit, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
2. Přejděte dopodmíněného přístupu>.
3. Vyberte Nová politika.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
   3. Vyberte Hotovo.
6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
7. Pod Podmínkami>rizika přihlášení nastavte Konfigurovat na Ano.
   1. V části Vyberte úroveň rizika přihlášení, na které se tato zásada vztahuje, vyberte Vysoká a Střední. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
   2. Vyberte Hotovo.
8. V části Řízení přístupu>Udělit, vyberte Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování .
   2. Vyberte Vybrat.
9. V části Relace.
   1. Vyberte frekvenci přihlášení.
   2. Ujistěte se, že je vybrána možnost Každý čas .
   3. Vyberte Vybrat.
10. Potvrďte nastavení a nastavte Nastavit zásady na Režim pouze zpráv.
11. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Scénáře bez hesla

Pro organizace, které přijímají metody ověřování bez hesla , proveďte následující změny:

Aktualizujte zásady rizika přihlášení bez hesla

1. V části Uživatelé:
   1. Zahrňte uživatele a skupiny a zaměřte se na uživatele bez hesla.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
   3. Vyberte Hotovo.
2. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
3. Pod Podmínkami>rizika přihlášení nastavte Konfigurovat na Ano.
   1. V části Vyberte úroveň rizika přihlášení, na které se tato zásada vztahuje, vyberte Vysoká a Střední. Další informace o úrovních rizika najdete v tématu Volba přijatelných úrovní rizik.
   2. Vyberte Hotovo.
4. V části Řízení přístupu>Udělit, vyberte Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování, a pak vyberte integrované bezheslové MFA nebo MFA odolné vůči phishingu podle toho, jakou metodu mají cíloví uživatelé.
   2. Vyberte Vybrat.
5. V části Sekce:
   1. Vyberte frekvenci přihlášení.
   2. Ujistěte se, že je vybrána možnost Každý čas .
   3. Vyberte Vybrat.

Testování rizikových událostí znamení

Většina událostí přihlašování uživatelů neaktivuje zásady na základě rizik nakonfigurované v předchozích krocích. Uživateli se nemusí zobrazit výzva k vícefaktorovém ověřování nebo resetování hesla. Pokud jejich přihlašovací údaje zůstanou zabezpečené a jejich chování konzistentní, budou jejich události přihlášení úspěšné.

K otestování zásad ochrany Microsoft Entra ID Protection vytvořených v předchozích krocích potřebujete způsob, jak simulovat rizikové chování nebo potenciální útoky. Postup provedení těchto testů se liší v závislosti na zásadách ochrany Microsoft Entra ID Protection, které chcete ověřit. Další informace o scénářích a krocích najdete v tématu Simulace detekce rizik v microsoft Entra ID Protection.

Vyčištění zdrojů

Pokud dokončíte testování a už nechcete mít zásady založené na riziku, vraťte se k jednotlivým zásadám, které chcete zakázat, nastavte Povolit zásadu na Vypnuto nebo je odstraňte.

Další kroky

V tomto kurzu jste povolili zásady uživatelů založené na rizicích pro Microsoft Entra ID Protection. Naučili jste se:

• Vysvětlení dostupných zásad pro Microsoft Entra ID Protection
• Povolení registrace vícefaktorového ověřování Microsoft Entra
• Zapnout změny hesla na základě rizikového hodnocení
• Povolení vícefaktorového ověřování na základě rizik
• Testování zásad založených na riziku pro pokusy o přihlášení uživatelů

Další informace o službě Microsoft Entra ID Protection