Bagikan melalui

Kebijakan Akses Bersyarat Umum: Autentikasi multifaktor berbasis risiko masuk

  • Artikel

Sebagian besar pengguna memiliki perilaku normal yang dapat dilacak, jika mereka tidak berperilaku normal, memungkinkan mereka masuk begitu saja kemungkinan akan menimbulkan risiko. Anda mungkin ingin memblokir pengguna tersebut atau mungkin meminta mereka untuk melakukan autentikasi multifaktor untuk membuktikan bahwa mereka benar-benar siapa yang mereka katakan.

Risiko masuk mewakili probabilitas bahwa permintaan autentikasi tertentu bukan pemilik identitas. Organisasi dengan lisensi Microsoft Entra ID P2 dapat membuat kebijakan Akses Bersyarat yang menggabungkan deteksi risiko masuk Microsoft Entra ID Protection.

Kebijakan berbasis risiko Masuk melindungi pengguna dari mendaftarkan MFA dalam sesi berisiko. Jika pengguna tidak terdaftar untuk MFA, proses masuk riskan mereka akan diblokir, dan mereka akan mendapati kesalahan AADSTS53004.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Mengaktifkan dengan kebijakan Akses Bersyarat

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Ke Akses Bersyar perlindungan>.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Di Sertakan, pilih Semua pengguna.
    2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
    3. Pilih Selesai.
  6. Pada Tindakan atau aplikasi cloud>Sertakan, pilih Semua aplikasi cloud.
  7. Pada Persyaratan>Risiko proses masuk, atur Konfigurasikan ke Ya.
    1. Di bagian Pilih tingkat risiko masuk yang akan diterapkan kebijakan ini ke, pilih Tinggi dan Sedang. Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi
    2. Pilih Selesai.
  8. Pada Kontrol akses>Pemberian Izin.
    1. Pilih Berikan akses, Memerlukan autentikasi multifaktor.
    2. Pilih Pilih.
  9. Di Sesi.
    1. Pilih Frekuensi kredensial masuk.
    2. Pastikan Setiap saat dipilih.
    3. Pilih Pilih.
  10. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
  11. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Konten terkait