Mengonfigurasikan dan mengaktifkan kebijakan risiko

Ada dua jenis kebijakan risiko di Microsoft Entra Conditional Access yang dapat Anda siapkan. Anda dapat menggunakan kebijakan ini untuk mengotomatiskan respons terhadap risiko yang memungkinkan pengguna memulihkan diri ketika risiko terdeteksi:

• Kebijakan risiko proses masuk
• Kebijakan risiko pengguna

Memilih tingkat risiko yang dapat diterima

Organisasi harus memutuskan tingkat risiko yang mereka inginkan untuk memerlukan kontrol akses pada menyeimbangkan pengalaman pengguna dan postur keamanan.

Memilih untuk menerapkan kontrol akses pada Tingkat risiko tinggi mengurangi berapa kali kebijakan dipicu dan meminimalkan gesekan bagi pengguna. Namun, ini mengecualikan risiko Rendah dan Sedang dari kebijakan, yang mungkin tidak memblokir penyerang untuk mengeksploitasi identitas yang disusupi. Memilih Tingkat risiko rendah untuk mengharuskan kontrol akses memperkenalkan lebih banyak gangguan pengguna.

Lokasi jaringan tepercaya yang dikonfigurasi digunakan oleh Microsoft Entra ID Protection dalam beberapa deteksi risiko untuk mengurangi positif palsu.

Konfigurasi kebijakan yang mengikuti mencakup kontrol sesi frekuensi masuk yang memerlukan autentikasi ulang untuk pengguna berisiko dan masuk.

Rekomendasi Microsoft

Microsoft merekomendasikan konfigurasi kebijakan risiko berikut untuk melindungi organisasi Anda:

• Kebijakan risiko pengguna
  • Memerlukan perubahan kata sandi yang aman saat tingkat risiko pengguna Tinggi. Autentikasi multifaktor Microsoft Entra diperlukan sebelum pengguna dapat membuat kata sandi baru dengan tulis balik kata sandi untuk memulihkan risiko mereka.
• Kebijakan risiko masuk
  • Memerlukan autentikasi multifaktor Microsoft Entra saat tingkat risiko masuk sedang atau Tinggi, memungkinkan pengguna untuk membuktikannya dengan menggunakan salah satu metode autentikasi terdaftar mereka, memulihkan risiko masuk.

Membutuhkan kontrol akses ketika tingkat risiko rendah menimbulkan lebih banyak gesekan dan gangguan pengguna daripada sedang atau tinggi. Memilih untuk memblokir akses daripada mengizinkan opsi remediasi mandiri, seperti perubahan kata sandi yang aman dan autentikasi multifaktor, memengaruhi pengguna dan administrator Anda bahkan lebih banyak. Mempertimbangkan pilihan ini saat mengonfigurasi kebijakan Anda.

Risiko remediasi

Organisasi dapat memilih untuk memblokir akses saat risiko terdeteksi. Pemblokiran terkadang dapat menghentikan pengguna yang sah melakukan apa yang mereka butuhkan. Solusi yang lebih baik adalah mengonfigurasi pengguna dan masuk kebijakan Akses Bersyarat berbasis risiko yang memungkinkan pengguna untuk memulihkan diri.

Peringatan

Pengguna harus mendaftar untuk autentikasi multifaktor Microsoft Entra sebelum mereka menghadapi situasi yang memerlukan remediasi. Untuk pengguna hibrid yang disinkronkan dari lokal, tulis balik kata sandi harus diaktifkan. Pengguna yang tidak terdaftar diblokir dan perlu intervensi administrator.

Perubahan kata sandi (saya tahu kata sandi saya dan ingin mengubahnya menjadi sesuatu yang baru) di luar alur remediasi kebijakan pengguna yang berisiko tidak memenuhi persyaratan untuk perubahan kata sandi yang aman.

Mengaktifkan kebijakan

Organisasi dapat memilih untuk menyebarkan kebijakan berbasis risiko di Akses Bersyar menggunakan langkah-langkah berikut atau menggunakan templat Akses Bersyar.

Sebelum organisasi mengaktifkan kebijakan ini, mereka harus mengambil tindakan untuk menyelidiki dan memulihkan risiko aktif apa pun.

Pengecualian kebijakan

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan mengambil langkah-langkah untuk memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan Perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.

Kebijakan risiko pengguna dalam Akses Bersyarah

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri Ke Akses Bersyar perlindungan>.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
   3. Pilih Selesai.
6. Di bawah Aplikasi atau tindakan>cloud Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Di Kondisi>Risiko pengguna, atur Konfigurasikan ke Ya.
   1. Di bagian Konfigurasi tingkat risiko pengguna yang diperlukan agar kebijakan diberlakukan, pilih Tinggi. Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi
   2. Pilih Selesai.
8. Di bawah Kontrol akses>Hibah, pilih Beri akses.
   1. Pilih Perlu kekuatan autentikasi, lalu pilih kekuatan autentikasi Multifaktor bawaan dari daftar.
   2. Pilih Perlu perubahan kata sandi.
   3. Pilih Pilih.
9. Di Sesi.
   1. Pilih Frekuensi kredensial masuk.
   2. Pastikan Setiap saat dipilih.
   3. Pilih Pilih.
10. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
11. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Skenario tanpa kata sandi

Untuk organisasi yang mengadopsi metode autentikasi tanpa kata sandi, lakukan perubahan berikut:

Memperbarui kebijakan risiko pengguna tanpa kata sandi Anda

1. Di bawah Pengguna:
   1. Sertakan, pilih Pengguna dan grup dan targetkan pengguna tanpa kata sandi Anda.
2. Di bawah Kontrol>akses Blokir akses untuk pengguna tanpa kata sandi.

Tip

Anda mungkin perlu memiliki dua kebijakan untuk jangka waktu tertentu saat menyebarkan metode tanpa kata sandi.

• Salah satu yang memungkinkan remediasi mandiri bagi mereka yang tidak menggunakan metode tanpa kata sandi.
• Lain yang memblokir pengguna tanpa kata sandi berisiko tinggi.

Memulihkan dan membuka blokir risiko pengguna tanpa kata sandi

1. Memerlukan penyelidikan administrator dan remediasi risiko apa pun.
2. Buka blokir pengguna.

Kebijakan risiko masuk di Akses Bersyarat

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri Ke Akses Bersyar perlindungan>.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
   3. Pilih Selesai.
6. Di bawah Aplikasi atau tindakan>cloud Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Pada Persyaratan>Risiko proses masuk, atur Konfigurasikan ke Ya.
   1. Di bagian Pilih tingkat risiko masuk yang akan diterapkan kebijakan ini ke, pilih Tinggi dan Sedang. Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi
   2. Pilih Selesai.
8. Di bawah Kontrol akses>Hibah, pilih Beri akses.
   1. Pilih Perlu kekuatan autentikasi, lalu pilih kekuatan autentikasi Multifaktor bawaan dari daftar.
   2. Pilih Pilih.
9. Di Sesi.
   1. Pilih Frekuensi kredensial masuk.
   2. Pastikan Setiap saat dipilih.
   3. Pilih Pilih.
10. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
11. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Skenario tanpa kata sandi

Untuk organisasi yang mengadopsi metode autentikasi tanpa kata sandi, lakukan perubahan berikut:

Memperbarui kebijakan risiko masuk tanpa kata sandi Anda

1. Di bawah Pengguna:
   1. Sertakan, pilih Pengguna dan grup dan targetkan pengguna tanpa kata sandi Anda.
2. Di bawah Pilih tingkat risiko masuk tempat kebijakan ini akan berlaku, pilih Tinggi.
3. Di bawah Kontrol>akses Blokir akses untuk pengguna tanpa kata sandi.

Tip

Anda mungkin perlu memiliki dua kebijakan untuk jangka waktu tertentu saat menyebarkan metode tanpa kata sandi.

• Salah satu yang memungkinkan remediasi mandiri bagi mereka yang tidak menggunakan metode tanpa kata sandi.
• Lain yang memblokir pengguna tanpa kata sandi berisiko tinggi.

Memulihkan dan membuka blokir risiko masuk tanpa kata sandi

1. Memerlukan penyelidikan administrator dan remediasi risiko apa pun.
2. Buka blokir pengguna.

Memigrasikan kebijakan risiko ke Akses Bersyarah

Jika Anda memiliki kebijakan risiko warisan yang diaktifkan di Microsoft Entra ID Protection, Anda harus berencana untuk memigrasikannya ke Akses Bersuhidan:

Peringatan

Kebijakan risiko warisan yang dikonfigurasi dalam Microsoft Entra ID Protection akan dihentikan pada 1 Oktober 2026.

Migrasi ke Akses Bersyarah

1. Buat kebijakan berbasis risiko pengguna dan berbasis risiko masuk yang setara di Akses Bersyarat dalam mode khusus laporan. Anda dapat membuat kebijakan dengan langkah-langkah sebelumnya atau menggunakan templat Akses Bersyar berdasarkan rekomendasi Microsoft dan persyaratan organisasi Anda.
   1. Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.
2. Nonaktifkan kebijakan risiko lama dalam Perlindungan ID.
   1. Telusuri Perlindungan> Identitas Perlindungan>Pilih risiko Pengguna atau Kebijakan risiko masuk.
   2. Atur Terapkan kebijakan ke Dinonaktifkan.
3. Buat kebijakan risiko lain jika diperlukan dalam Akses Bersyar.

Konten terkait

• Mengaktifkan kebijakan pendaftaran autentikasi multifaktor Microsoft Entra
• Apa yang dimaksud dengan risiko
• Menyelidiki deteksi risiko
• Mensimulasikan deteksi risiko