Mengonfigurasikan dan mengaktifkan kebijakan risiko

Ada dua jenis kebijakan risiko di Microsoft Entra Conditional Access yang dapat Anda siapkan. Anda dapat menggunakan kebijakan ini untuk mengotomatiskan respons terhadap risiko yang memungkinkan pengguna memulihkan diri ketika risiko terdeteksi:

• Kebijakan risiko pengguna
• Kebijakan risiko log masuk

Peringatan

Jangan gabungkan risiko masuk dan kondisi risiko pengguna dalam kebijakan Akses Bersyarat yang sama. Buat kebijakan terpisah untuk setiap kondisi risiko.

Prasyarat

• Lisensi Microsoft Entra ID P2 atau Microsoft Entra Suite diperlukan untuk akses penuh ke fitur Microsoft Entra ID Protection.
  • Untuk daftar kemampuan terperinci untuk setiap tingkat lisensi, lihat Apa itu Microsoft Entra ID Protection.
• Peran Administrator Akses Bersyarat adalah peran paling tidak istimewa yang diperlukan untuk membuat atau mengedit kebijakan Akses Bersyarat.

Memilih tingkat risiko yang dapat diterima

Organisasi harus memutuskan tingkat risiko yang ingin mereka perlukan kontrol aksesnya, sambil menyeimbangkan postur keamanan dan produktivitas pengguna.

Memilih untuk menerapkan kontrol akses pada Tingkat risiko tinggi mengurangi berapa kali kebijakan dipicu dan meminimalkan gesekan bagi pengguna. Namun, ini mengecualikan risiko Rendah dan Sedang dari kebijakan, yang mungkin tidak memblokir penyerang untuk mengeksploitasi identitas yang disusupi. Memilih tingkat risiko Sedang dan/atau Rendah biasanya memperkenalkan lebih banyak gangguan pengguna.

Lokasi jaringan tepercaya yang dikonfigurasi digunakan oleh Microsoft Entra ID Protection dalam beberapa deteksi risiko untuk mengurangi positif palsu.

Risiko remediasi

Organisasi dapat memilih untuk memblokir akses saat risiko terdeteksi. Pemblokiran terkadang dapat menghentikan pengguna yang sah melakukan apa yang mereka butuhkan. Solusi yang lebih baik adalah mengonfigurasi kebijakan Akses Bersyarat berbasis risiko untuk pengguna dan masuk yang memungkinkan pengguna melakukan pemulihan mandiri.

Peringatan

Pengguna harus mendaftar untuk autentikasi multifaktor Microsoft Entra sebelum mereka menghadapi situasi yang memerlukan remediasi. Untuk pengguna hibrid yang disinkronkan dari lingkungan lokal, penulisan ulang kata sandi harus diaktifkan. Pengguna yang tidak terdaftar diblokir dan perlu intervensi administrator.

Perubahan kata sandi (saya tahu kata sandi saya dan ingin mengubahnya menjadi sesuatu yang baru) di luar alur remediasi kebijakan pengguna yang berisiko tidak memenuhi persyaratan untuk perubahan kata sandi yang aman.

Rekomendasi Microsoft

Microsoft merekomendasikan konfigurasi kebijakan risiko berikut untuk melindungi organisasi Anda:

Kebijakan risiko pengguna

Organisasi harus memilih Memerlukan remediasi risiko saat tingkat risiko pengguna Tinggi. Untuk pengguna tanpa kata sandi, Microsoft Entra mencabut sesi pengguna sehingga mereka harus mengautentikasi ulang. Untuk pengguna dengan kata sandi, mereka diminta untuk menyelesaikan perubahan kata sandi aman setelah autentikasi multifaktor Microsoft Entra berhasil.

Saat Perlu remediasi risiko dipilih, dua pengaturan secara otomatis diterapkan:

• Memerlukan kekuatan autentikasi dipilih secara otomatis sebagai kontrol izin.
• Frekuensi masuk - Setiap kali diterapkan secara otomatis sebagai kontrol sesi.

Kebijakan risiko proses masuk

Memerlukan autentikasi multifaktor Microsoft Entra saat tingkat risiko masuk sedang atau tinggi. Konfigurasi ini memungkinkan pengguna untuk membuktikan identitas mereka dengan menggunakan salah satu metode autentikasi terdaftar mereka, mengatasi risiko sign-in.

Kami juga menyarankan untuk menyertakan kontrol sesi frekuensi masuk untuk memerlukan aatentikasi ulang untuk proses masuk yang berisiko. "Autentikasi yang kuat" yang berhasil biasanya melalui autentikasi multifaktor atau autentikasi tanpa kata sandi, adalah satu-satunya cara untuk memulihkan risiko masuk sendiri, terlepas dari tingkat risikonya.

Mengaktifkan kebijakan

Organisasi dapat memilih untuk menerapkan kebijakan berbasis risiko di Akses Bersyarat menggunakan langkah-langkah berikut atau menggunakan templat Akses Bersyarat.

Sebelum organisasi mengaktifkan kebijakan ini, mereka harus mengambil tindakan untuk menyelidiki dan memulihkan risiko aktif apa pun.

Pengecualian kebijakan

Kebijakan Akses Bersyar adalah alat yang canggih. Sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun 'break-glass' untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin di mana semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun Layanan dan Prinsipal Layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun noninteraktif yang tidak terkait dengan pengguna tertentu. Mereka biasanya digunakan oleh layanan backend untuk memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem untuk tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda menggunakan akun ini dalam skrip atau kode, ganti dengan identitas terkelola.

Kebijakan risiko pengguna dalam Akses Bersyarat

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri ke Entra ID>Akses Bersyarat.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
   1. Di bawah Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat atau break-glass organisasi Anda.
   3. Pilih Selesai.
6. Di bawah Sumber daya Target>Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Dalam Kondisi>Risiko pengguna, atur Konfigurasikan ke Ya.
   1. Di bawah Konfigurasikan tingkat risiko pengguna yang diperlukan agar kebijakan diberlakukan, pilih Tinggi. Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi
   2. Pilih Selesai.
8. Di bawah Kontrol akses>Berikan, pilih Berikan akses.
   1. Pilih Perlu remediasi risiko. Kontrol Memerlukan pemberian kekuatan autentikasi dipilih secara otomatis. Pilih kekuatan yang sesuai untuk organisasi Anda.
   2. Pilih Pilih.
9. Pada bagian Sesi, Frekuensi masuk - Setiap kali diterapkan secara otomatis sebagai kontrol sesi dan diperlukan.
10. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
11. Pilih Buat untuk membuat kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan dampak kebijakan atau mode khusus laporan, pindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.

Kebijakan risiko masuk di Akses Bersyarat

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri ke Entra ID>Akses Bersyarat.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
   1. Di bawah Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat atau break-glass organisasi Anda.
   3. Pilih Selesai.
6. Pada Aplikasi atau tindakan cloud>sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Di bawah Kondisi>Risiko masuk, atur Konfigurasikan ke Ya.
   1. Di bawah Pilih tingkat risiko masuk tempat kebijakan ini akan berlaku, pilih Tinggi dan Sedang. Panduan ini didasarkan pada rekomendasi Microsoft dan mungkin berbeda untuk setiap organisasi
   2. Pilih Selesai.
8. Di bawah Kontrol akses>Berikan, pilih Berikan akses.
   1. Pilih Perlu kekuatan autentikasi, lalu pilih kekuatan autentikasi Multifaktor bawaan dari daftar.
   2. Pilih Pilih.
9. Di bawah Sesi.
   1. Pilih Frekuensi masuk.
   2. Pastikan Setiap kali dipilih.
   3. Pilih Pilih.
10. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
11. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan dampak kebijakan atau mode khusus laporan, pindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.

Skenario tanpa kata sandi

Untuk organisasi yang mengadopsi metode autentikasi tanpa kata sandi , lakukan perubahan berikut:

Memperbarui kebijakan risiko masuk tanpa kata sandi Anda

1. Di bawah Pengguna:
   1. Sertakan, pilih Pengguna dan grup dan targetkan pengguna tanpa kata sandi Anda.
   2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat atau break-glass organisasi Anda.
   3. Pilih Selesai.
2. Di bawah Aplikasi atau tindakan> cloudSertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
3. Di bawah Kondisi>Risiko masuk, atur Konfigurasikan ke Ya.
   1. Di bawah Pilih tingkat risiko masuk tempat kebijakan ini akan berlaku, pilih Tinggi dan Sedang. Untuk informasi selengkapnya tentang tingkat risiko, lihat Memilih tingkat risiko yang dapat diterima.
   2. Pilih Selesai.
4. Di bawah Kontrol akses>Berikan, pilih Berikan akses.
   1. Pilih Perlu kekuatan autentikasi, lalu pilih MFA Tanpa Kata Sandibawaan atau MFA tahan Phishing berdasarkan metode mana yang dimiliki pengguna yang ditargetkan.
   2. Pilih Pilih.
5. Di bawah Sesi:
   1. Pilih Frekuensi masuk.
   2. Pastikan Setiap kali dipilih.
   3. Pilih Pilih.

Memigrasikan kebijakan risiko ke Akses Bersyarat

Jika Anda memiliki kebijakan risiko warisan yang diaktifkan di Microsoft Entra ID Protection, Anda harus berencana untuk memigrasikannya ke Akses Bersuhidan:

Peringatan

Kebijakan risiko warisan yang dikonfigurasi dalam Microsoft Entra ID Protection akan dihentikan pada 1 Oktober 2026.

Migrasi ke Akses Kondisional

1. Buat kebijakan berbasis risiko pengguna dan berbasis risiko masuk yang setara di Akses Bersyarat dalam mode khusus laporan. Anda dapat membuat kebijakan dalam langkah-langkah sebelumnya atau menggunakan templat Akses Bersyarat berdasarkan rekomendasi Microsoft dan persyaratan organisasi Anda.
   1. Setelah administrator mengonfirmasi pengaturan menggunakan mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.
2. Nonaktifkan kebijakan risiko lama dalam Perlindungan ID.
   1. Telusuri ke Perlindungan ID>Dasbor> Pilih kebijakan Risiko Pengguna atau Risiko Masuk.
   2. Atur Menegakkan Kebijakan ke Dinonaktifkan.
3. Buat kebijakan risiko lain jika diperlukan dalam Akses Bersyarat.

Konten terkait

• Mengaktifkan kebijakan pendaftaran autentikasi multifaktor Microsoft Entra
• Apa itu risiko
• Menyelidiki deteksi risiko
• Mensimulasikan deteksi risiko