Vyžadování vícefaktorového ověřování pro zvýšené riziko přihlašování

Většina uživatelů má normální chování, které je možné sledovat. Když jejich chování spadá mimo tuto normu, může být rizikové nechat je přihlásit. Můžete chtít zablokovat uživatele nebo požádat ho, aby dokončil vícefaktorové ověřování, aby potvrdil svou identitu.

Riziko přihlášení představuje pravděpodobnost, že žádost o ověření není od vlastníka identity. Organizace s licencemi Microsoft Entra ID P2 můžou vytvářet zásady podmíněného přístupu, které zahrnují detekce rizik přihlašování k Microsoft Entra ID Protection.

Zásady založené na riziku přihlašování brání uživatelům v registraci vícefaktorového ověřování během rizikových relací. Pokud uživatelé nejsou zaregistrovaní pro vícefaktorové ověřování, zablokují se jejich rizikové přihlášení a zobrazí se jim AADSTS53004 chyba.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje. Doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo break-glass účty, aby se zabránilo uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři, kdy jsou všichni správci uzamčeni, můžete účet pro správu tísňového přístupu použít k přihlášení a obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Servisní účty a Služby hlavních účtů, jako je účet synchronizace Microsoft Entra Connect. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby k povolení programového přístupu k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Volání instančních objektů nejsou blokovaná zásadami podmíněného přístupu vymezenými na uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud vaše organizace používá tyto účty ve skriptech nebo kódu, nahraďte je spravovanými identitami.

Template deployment

Organizace můžou tuto zásadu nasadit pomocí níže uvedených kroků nebo pomocí šablon podmíněného přístupu.

Povolení pomocí zásad podmíněného přístupu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
2. Přejděte do Entra ID>Podmíněný přístup.
3. Vyberte Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový nebo okamžitý přístup ve vaší organizaci.
   3. Vyberte Hotovo.
6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
7. Pod podmínkami>rizika přihlášení nastavte Konfigurovat na ano.
   1. V části Vyberte úroveň rizika přihlášení, na které se tato zásada vztahuje, vyberte Vysoká a Střední. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
   2. Vyberte Hotovo.
8. V části Řízení přístupu>Udělit vyberte možnost Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování .
   2. Vyberte Vybrat.
9. V části Relace.
   1. Vyberte frekvenci přihlášení.
   2. Ujistěte se, že je vybrána možnost Pořád.
   3. Vyberte Vybrat.
10. Potvrďte nastavení a nastavte zásady na pouze pro hlášení.
11. Chcete-li zásadu povolit, vyberte Vytvořit.

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Scénáře bez hesla

Pro organizace, které přijímají metody ověřování bez hesla , proveďte následující změny:

Aktualizujte zásady rizik přihlášení bez hesla

1. V části Uživatelé:
   1. Zahrňte uživatele a skupiny a zaměřte se na uživatele bez hesla.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový nebo okamžitý přístup ve vaší organizaci.
   3. Vyberte Hotovo.
2. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
3. Pod podmínkami>rizika přihlášení nastavte Konfigurovat na ano.
   1. V části Vyberte úroveň rizika přihlášení, na které se tato zásada vztahuje, vyberte Vysoká a Střední. Další informace o úrovních rizika najdete v tématu Volba přijatelných úrovní rizik.
   2. Vyberte Hotovo.
4. V části Řízení přístupu>Udělit vyberte možnost Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování a pak vyberte integrované bezheslové MFA nebo MFA odolné proti phishingu podle toho, jakou metodu mají cíloví uživatelé.
   2. Vyberte Vybrat.
5. V části Relace:
   1. Vyberte frekvenci přihlášení.
   2. Ujistěte se, že je vybrána možnost Pořád.
   3. Vyberte Vybrat.

Související obsah

• Vyžadovat opakované ověření pokaždé
• Náprava rizik a odblokování uživatelů
• Společné zásady podmíněného přístupu
• Podmíněný přístup založený na riziku uživatele
• Určete účinek pomocí režimu pouze pro sestavy podmíněného přístupu
• Určení výsledků nových rozhodnutí o zásadách pomocí režimu pouze sestavy pro podmíněný přístup
• Konfigurace nastavení přístupu mezi tenanty