Mengonfigurasikan dan mengaktifkan kebijakan risiko

Seperti yang kita pelajari di artikel sebelumnya, Kebijakan akses berbasis risiko, ada dua jenis kebijakan risiko di Akses Bersyar azure Active Directory (Azure AD) yang dapat Anda siapkan untuk mengotomatiskan respons terhadap risiko dan memungkinkan pengguna untuk memulihkan diri ketika risiko terdeteksi:

• Kebijakan risiko proses masuk
• Kebijakan risiko pengguna

Memilih tingkat risiko yang dapat diterima

Organisasi harus memutuskan tingkat risiko yang mereka inginkan untuk memerlukan kontrol akses pada menyeimbangkan pengalaman pengguna dan postur keamanan.

Memilih untuk menerapkan kontrol akses pada tingkat Risiko tinggi mengurangi berapa kali kebijakan dipicu dan meminimalkan dampaknya kepada pengguna. Namun, ini tidak termasuk risiko Rendah dan Sedang dari kebijakan, yang mungkin tidak memblokir penyerang untuk mengeksploitasi identitas yang disusupi. Memilih Tingkat risiko rendah untuk memerlukan kontrol akses memperkenalkan lebih banyak interupsi pengguna.

Lokasi jaringan tepercaya yang dikonfigurasi digunakan oleh Perlindungan Identitas dalam beberapa deteksi risiko untuk mengurangi positif palsu.

Risiko remediasi

Organisasi dapat memilih untuk memblokir akses saat risiko terdeteksi. Pemblokiran terkadang dapat menghentikan pengguna yang sah melakukan apa yang mereka butuhkan. Solusi yang lebih baik adalah memungkinkan remediasi mandiri menggunakan autentikasi multifaktor (MFA) Azure AD dan perubahan kata sandi yang aman.

Peringatan

Pengguna harus mendaftar untuk Azure AD MFA sebelum mereka menghadapi situasi yang memerlukan remediasi. Untuk pengguna hibrid yang disinkronkan dari lokal ke cloud, tulis balik kata sandi harus diaktifkan pada mereka. Pengguna yang tidak terdaftar diblokir dan perlu intervensi administrator.

Perubahan kata sandi (saya tahu kata sandi saya dan ingin mengubahnya menjadi sesuatu yang baru) di luar alur remediasi kebijakan pengguna yang berisiko tidak memenuhi persyaratan untuk perubahan kata sandi yang aman.

Rekomendasi Microsoft

Microsoft merekomendasikan konfigurasi kebijakan risiko di bawah ini untuk melindungi organisasi Anda:

• Kebijakan risiko pengguna
  • Memerlukan perubahan kata sandi yang aman saat tingkat risiko pengguna Tinggi. Azure AD MFA diperlukan sebelum pengguna dapat membuat kata sandi baru dengan tulis balik kata sandi untuk memulihkan risiko mereka.
• Kebijakan risiko proses masuk
  • Memerlukan Azure AD MFA saat tingkat risiko masuk sedang atau Tinggi, memungkinkan pengguna membuktikannya dengan menggunakan salah satu metode autentikasi terdaftar mereka, memulihkan risiko masuk.

Membutuhkan kontrol akses ketika tingkat risiko rendah akan menimbulkan lebih banyak interupsi pengguna. Memilih untuk memblokir akses daripada mengizinkan opsi remediasi mandiri, seperti perubahan kata sandi yang aman dan autentikasi multifaktor, akan berdampak pada pengguna dan administrator Anda. Mempertimbangkan pilihan ini saat mengonfigurasi kebijakan Anda.

Pengecualian

Kebijakan tersebut memungkinkan Anda untuk mengecualikan pengguna seperti akun akses darurat atau administrator urgen. Organisasi dapat menentukan akun lain yang perlu dikecualikan dari kebijakan tertentu berdasarkan penggunaan akun. Semua pengecualian harus ditinjau secara teratur untuk melihat apakah pengecualian tersebut masih berlaku.

Mengaktifkan kebijakan

Organisasi dapat memilih untuk menyebarkan kebijakan berbasis risiko di Akses Bersyar menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar (Pratinjau).

Sebelum organisasi mengaktifkan kebijakan remediasi, mereka mungkin ingin menyelidiki dan memperbaiki setiap risiko aktif.

Kebijakan risiko pengguna dalam Akses Bersyar

1. Masuk ke portal Microsoft Azure sebagai Admin Akses Bersyarat, Administrator keamanan, atau Administrator Global.
2. Telusuri ke Azure Active Directory>Keamanan>Akses Bersyarat.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
   3. Pilih Selesai.
6. Di Aplikasi atau tindakan cloud>Sertakan, pilih Semua aplikasi cloud.
7. Di Kondisi>Risiko pengguna, atur Konfigurasikan ke Ya.
   1. Di bagian Konfigurasi tingkat risiko pengguna yang diperlukan agar kebijakan diberlakukan, pilih Tinggi. (Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi)
   2. Pilih Selesai.
8. Pada Kontrol akses>Pemberian Izin.
   1. Pilih Berikan akses, Perlu autentikasi multifaktor dan Perlu perubahan kata sandi.
   2. Pilih Pilih.
9. Di Sesi.
   1. Pilih Frekuensi kredensial masuk.
   2. Pastikan Setiap saat dipilih.
   3. Pilih Pilih.
10. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Hanya Laporan.
11. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan mode hanya-laporan, administrator dapat memindahkan sakelar Aktifkan kebijakan dari Hanya-laporan ke Aktif.

Kebijakan risiko masuk di Akses Bersyarat

1. Masuk ke portal Microsoft Azure sebagai Admin Akses Bersyarat, Administrator keamanan, atau Administrator Global.
2. Telusuri ke Azure Active Directory>Keamanan>Akses Bersyarat.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Kami menyarankan agar organisasi membuat standar yang bermakna untuk nama kebijakan mereka.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Pada Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun urgen.
   3. Pilih Selesai.
6. Pada Tindakan atau aplikasi cloud>Sertakan, pilih Semua aplikasi cloud.
7. Pada Persyaratan>Risiko proses masuk, atur Konfigurasikan ke Ya. Pada Pilih tingkat risiko proses masuk yang akan diterapkan ke kebijakan ini. (Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi)
   1. Pilih Tinggi dan Sedang.
   2. Pilih Selesai.
8. Pada Kontrol akses>Pemberian Izin.
   1. Pilih Berikan akses, Memerlukan autentikasi multifaktor.
   2. Pilih Pilih.
9. Di Sesi.
   1. Pilih Frekuensi kredensial masuk.
   2. Pastikan Setiap saat dipilih.
   3. Pilih Pilih.
10. Konfirmasikan pengaturan Anda lalu atur Aktifkan kebijakan ke Hanya Laporan.
11. Pilih Buat untuk membuat guna mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan mode hanya-laporan, administrator dapat memindahkan sakelar Aktifkan kebijakan dari Hanya-laporan ke Aktif.

Memigrasikan kebijakan risiko dari Perlindungan Identitas ke Akses Bersyar

Meskipun Perlindungan Identitas juga menyediakan dua kebijakan risiko dengan kondisi terbatas, kami sangat menyarankan untuk menyiapkan kebijakan berbasis risiko di Akses Bersyarkat untuk manfaat berikut:

• Data diagnostik yang disempurnakan
• Integrasi mode khusus laporan
• Dukungan Graph API
• Gunakan atribut Akses Bersyarat lainnya seperti frekuensi masuk dalam kebijakan

Jika Anda sudah mengaktifkan kebijakan risiko di Perlindungan Identitas, kami sangat menyarankan Agar Anda memigrasikannya ke Akses Bersyar:

Migrasi ke Akses Bersyarat

1. Buat kebijakan berbasis risiko pengguna dan berbasis risiko masuk yang setara dalam Akses Bersyarat dalam mode khusus laporan. Anda dapat membuat kebijakan dengan langkah-langkah di atas atau menggunakan templat Akses Bersyarah berdasarkan rekomendasi Microsoft dan persyaratan organisasi Anda.
   1. Pastikan bahwa kebijakan risiko Akses Bersyarat baru berfungsi seperti yang diharapkan dengan mengujinya dalam mode khusus laporan.
2. Aktifkan kebijakan risiko Akses Bersyarah baru. Anda dapat memilih agar kedua kebijakan berjalan berdampingan untuk mengonfirmasi bahwa kebijakan baru berfungsi seperti yang diharapkan sebelum menonaktifkan kebijakan risiko Perlindungan Identitas.
   1. Telusuri kembali keAkses BersyarahKeamanan>Azure Active Directory>.
   2. Pilih kebijakan baru ini untuk mengeditnya.
   3. Atur Aktifkan kebijakan ke Aktif untuk mengaktifkan kebijakan
3. Nonaktifkan kebijakan risiko lama dalam Perlindungan Identitas.
   1. Telusuri ke Azure Active Directory>Identity Protection> Pilih kebijakan Risiko pengguna atau Risiko masuk .
   2. Atur Terapkan kebijakan ke Nonaktif
4. Buat kebijakan risiko lain jika diperlukan di Akses Bersyarah.

Langkah berikutnya

• Mengaktifkan kebijakan pendaftaran autentikasi multifaktor Azure AD
• Apa yang dimaksud dengan risiko
• Menyelidiki deteksi risiko
• Mensimulasikan deteksi risiko
• Mewajibkan autentikasi ulang setiap saat