Zasady dostępu oparte na ryzyku

  • Artykuł

Zasady kontroli dostępu można stosować w celu ochrony organizacji w przypadku wykrycia ryzyka związanego z logowaniem lub użytkownikiem. Takie zasady są nazywane zasadami opartymi na ryzyku.

Dostęp warunkowy firmy Microsoft Entra oferuje dwa warunki ryzyka obsługiwane przez sygnały Ochrona tożsamości Microsoft Entra: ryzyko logowania i ryzyko użytkownika. Organizacje mogą tworzyć zasady dostępu warunkowego oparte na ryzyku, konfigurując te dwa warunki dotyczące ryzyka i wybierając metodę kontroli dostępu. Podczas każdego logowania usługa ID Protection wysyła wykryte poziomy ryzyka do dostępu warunkowego, a zasady oparte na ryzyku mają zastosowanie w przypadku spełnienia warunków zasad.

Diagram przedstawiający koncepcyjne zasady dostępu warunkowego opartego na ryzyku.

Może być wymagane uwierzytelnianie wieloskładnikowe, gdy poziom ryzyka logowania jest średni lub wysoki, użytkownicy są monitowani tylko na tym poziomie.

Diagram przedstawiający koncepcyjne zasady dostępu warunkowego oparte na ryzyku z samodzielnym korygowaniem.

W poprzednim przykładzie przedstawiono również główną korzyść z zasad opartych na ryzyku: automatyczne korygowanie ryzyka. Gdy użytkownik pomyślnie ukończy wymaganą kontrolę dostępu, na przykład bezpieczną zmianę hasła, jego ryzyko zostanie skorygowane. Ta sesja logowania i konto użytkownika nie są zagrożone, a administrator nie musi podejmować żadnych działań.

Umożliwienie użytkownikom samodzielnego korygowania przy użyciu tego procesu znacznie zmniejsza obciążenie badania i korygowania ryzyka dla administratorów przy jednoczesnym ochronie organizacji przed naruszeniami zabezpieczeń. Więcej informacji na temat korygowania ryzyka można znaleźć w artykule Korygowanie zagrożeń i odblokowywanie użytkowników.

Zasady dostępu warunkowego opartego na ryzyku logowania

Podczas każdego logowania usługa ID Protection analizuje setki sygnałów w czasie rzeczywistym i oblicza poziom ryzyka logowania, który reprezentuje prawdopodobieństwo, że dane żądanie uwierzytelnienia nie jest autoryzowane. Ten poziom ryzyka jest następnie wysyłany do dostępu warunkowego, w którym są oceniane skonfigurowane zasady organizacji. Administracja istratory mogą skonfigurować zasady dostępu warunkowego opartego na ryzyku logowania w celu wymuszania kontroli dostępu na podstawie ryzyka logowania, w tym wymagania, takie jak:

  • Zablokuj dostęp
  • Zezwalaj na dostęp
  • Wymaganie uwierzytelniania wieloskładnikowego

W przypadku wykrycia ryzyka podczas logowania użytkownicy mogą wykonać wymaganą kontrolę dostępu, taką jak uwierzytelnianie wieloskładnikowe, aby samodzielnie skorygować i zamknąć ryzykowne zdarzenie logowania, aby zapobiec niepotrzebnemu szumowi dla administratorów.

Zrzut ekranu przedstawiający zasady dostępu warunkowego opartego na ryzyku logowania.

Uwaga

Użytkownicy muszą wcześniej zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft przed wyzwoleniem zasad ryzyka logowania.

Zasady dostępu warunkowego opartego na ryzyku użytkownika

Usługa ID Protection analizuje sygnały dotyczące kont użytkowników i oblicza ocenę ryzyka na podstawie prawdopodobieństwa naruszenia zabezpieczeń użytkownika. Jeśli użytkownik ma ryzykowne zachowanie logowania lub wyciek poświadczeń, usługa ID Protection używa tych sygnałów do obliczenia poziomu ryzyka użytkownika. Administracja istratory mogą skonfigurować zasady dostępu warunkowego opartego na ryzyku użytkownika w celu wymuszania kontroli dostępu na podstawie ryzyka użytkowników, w tym wymagań, takich jak:

  • Blokuj dostęp.
  • Zezwalaj na dostęp, ale wymagaj bezpiecznej zmiany hasła.

Bezpieczna zmiana hasła koryguje ryzyko użytkownika i zamyka ryzykowne zdarzenie użytkownika, aby zapobiec niepotrzebnemu szumowi dla administratorów.

Migrowanie zasad ryzyka ochrony identyfikatorów do dostępu warunkowego

Jeśli masz starsze zasady ryzyka użytkownika lub zasady ryzyka logowania włączone w usłudze ID Protection (dawniej Identity Protection), należy przeprowadzić migrację do dostępu warunkowego.

Ostrzeżenie

Starsze zasady ryzyka skonfigurowane w Ochrona tożsamości Microsoft Entra zostaną wycofane 1 października 2026 r.

Konfigurowanie zasad ryzyka w dostępie warunkowym zapewnia korzyści, takie jak możliwość:

  • Zarządzanie zasadami dostępu w jednej lokalizacji.
  • Użyj trybu tylko raportu i interfejsów API programu Graph.
  • Wymuszaj częstotliwość logowania, aby wymagać ponownego uwierzytelniania za każdym razem.
  • Zapewnij szczegółową kontrolę dostępu łączącą ryzyko z innymi warunkami, takimi jak lokalizacja.
  • Zwiększ bezpieczeństwo przy użyciu wielu zasad opartych na ryzyku przeznaczonych dla różnych grup użytkowników lub poziomów ryzyka.
  • Usprawnij środowisko diagnostyki szczegółowo, które zasady oparte na ryzyku zastosowano w dziennikach logowania.
  • Obsługa systemu uwierzytelniania kopii zapasowych.

Zasady rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft

Usługa ID Protection może pomóc organizacjom w wdrożeniu uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu zasad wymagających rejestracji podczas logowania. Włączenie tych zasad jest doskonałym sposobem zapewnienia, że nowi użytkownicy w organizacji zarejestrują się w usłudze MFA w pierwszym dniu. Uwierzytelnianie wieloskładnikowe jest jedną z metod samodzielnego korygowania zdarzeń ryzyka w ramach ochrony identyfikatorów. Samodzielne korygowanie umożliwia użytkownikom samodzielne podejmowanie działań w celu zmniejszenia liczby zgłoszeń do pomocy technicznej.

Więcej informacji na temat uwierzytelniania wieloskładnikowego firmy Microsoft można znaleźć w artykule How it works: Microsoft Entra multifactor authentication (Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft Entra).

Powiązana zawartość