Konfiguracja i włączenie zasad ryzyka

Jak dowiedzieliśmy się w poprzednim artykule, zasady usługi Identity Protection mamy dwie zasady ryzyka, które możemy włączyć w naszym katalogu.

  • Zasady ryzyka związanego z logowaniem
  • Zasady ryzyka związanego z użytkownikiem

Obie zasady służą do automatyzacji reagowania na wykrycia ryzyka w środowisku i umożliwić użytkownikom samodzielne korygowanie po wykryciu ryzyka.

Wybieranie dopuszczalnych poziomów ryzyka

Organizacje muszą zdecydować o poziomie ryzyka, który chce zaakceptować równoważenie środowiska użytkownika i stanu zabezpieczeń.

Zalecenie firmy Microsoft polega na ustawieniu progu zasad ryzyka użytkownika na Wartość Wysoka , a zasady ryzyka logowania na Średni i powyżej oraz zezwalają na opcje samodzielnego korygowania. Wybranie opcji blokowania dostępu zamiast zezwalania na opcje samodzielnego korygowania, takie jak zmiana hasła i uwierzytelnianie wieloskładnikowe, wpłynie na użytkowników i administratorów. Należy rozważyć ten wybór podczas konfigurowania zasad.

Wybranie progu wysokiego zmniejsza liczbę wyzwalanych zasad i minimalizuje wpływ na użytkowników. Jednak wyklucza wykrywanie niskiego i średniego ryzyka z zasad, które mogą nie blokować osobie atakującej wykorzystania naruszonej tożsamości. Wybranie progu niskiego powoduje przerwanie większej liczby użytkowników.

Skonfigurowane zaufane lokalizacje sieciowe są używane przez usługę Identity Protection w niektórych wykryciach ryzyka w celu zmniejszenia liczby wyników fałszywie dodatnich.

Korygowanie ryzyka

Organizacje mogą blokować dostęp po wykryciu ryzyka. Blokowanie czasami uniemożliwia uzasadnionym użytkownikom wykonywanie tego, co potrzebują. Lepszym rozwiązaniem jest umożliwienie samodzielnego korygowania przy użyciu usługi Azure AD Multi-Factor Authentication (MFA) i samoobsługowego resetowania hasła (SSPR).

  • Gdy zasady ryzyka użytkownika są wyzwalane:
    • Administratorzy mogą wymagać bezpiecznego resetowania hasła, co wymaga Azure AD uwierzytelniania wieloskładnikowego przed utworzeniem nowego hasła przy użyciu samoobsługowego resetowania hasła, resetowania ryzyka użytkownika.
  • Po wyzwoleniu zasad ryzyka logowania:
    • Azure AD można wyzwolić uwierzytelnianie wieloskładnikowe, co pozwala użytkownikowi udowodnić, że jest to możliwe przy użyciu jednej z zarejestrowanych metod uwierzytelniania, resetowania ryzyka logowania.

Ostrzeżenie

Użytkownicy muszą zarejestrować się w celu Azure AD uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła, zanim będą musieli stawić czoła sytuacji wymagającej korygowania. Użytkownicy, którzy nie są zarejestrowani, są blokowani i wymagają interwencji administratora.

Zmiana hasła (znam hasło i chcę zmienić je na coś nowego) poza ryzykowny przepływ korygowania zasad użytkownika nie spełnia wymagań dotyczących bezpiecznego resetowania hasła.

Wykluczenia

Zasady umożliwiają wykluczanie użytkowników, takich jak dostęp awaryjny lub konta administratora z szklenia. Organizacje mogą wymagać wykluczenia innych kont z określonych zasad na podstawie sposobu korzystania z kont. Wykluczenia należy regularnie przeglądać, aby sprawdzić, czy nadal mają zastosowanie.

Włączanie zasad

Istnieją dwie lokalizacje, w których można skonfigurować te zasady, dostęp warunkowy i ochronę tożsamości. Konfiguracja przy użyciu zasad dostępu warunkowego jest preferowaną metodą, zapewniając więcej kontekstu, w tym:

  • Rozszerzone dane diagnostyczne
  • Integracja trybu tylko raportów
  • obsługa interfejs Graph API
  • Używanie większej liczby atrybutów dostępu warunkowego, takich jak częstotliwość logowania w zasadach

Organizacje mogą zdecydować się na wdrożenie zasad, wykonując kroki opisane poniżej lub korzystając z szablonów dostępu warunkowego (wersja zapoznawcza).

Zanim organizacje włączą zasady korygowania, mogą chcieć zbadać i skorygować wszelkie aktywne zagrożenia.

Ryzyko użytkownika z dostępem warunkowym

  1. Zaloguj się do Azure Portal jako administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.
  2. Przejdź doobszaru Dostęp warunkowyzabezpieczeń>usługi Azure Active Directory>.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje stworzyły zrozumiały standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta dostępu awaryjnego lub konta ze szkła awaryjnego organizacji.
    3. Kliknij Gotowe.
  6. W obszarze Aplikacje lub akcje> w chmurzeUwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>Ryzyko użytkownika ustaw pozycję Konfiguruj na Wartość Tak.
    1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki.
    2. Kliknij Gotowe.
  8. W obszarze Kontrola> dostępuUdziel.
    1. Wybierz pozycję Udziel dostępu, Wymagaj zmiany hasła.
    2. Wybierz pozycję Wybierz.
  9. W obszarze Sesja.
    1. Wybierz pozycję Częstotliwość logowania.
    2. Upewnij się, że jest zaznaczona opcja Za każdym razem .
    3. Wybierz pozycję Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Ryzyko logowania przy użyciu dostępu warunkowego

  1. Zaloguj się do Azure Portal jako administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.
  2. Przejdź doobszaru Dostęp warunkowyzabezpieczeń>usługi Azure Active Directory>.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje stworzyły zrozumiały standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta dostępu awaryjnego lub konta ze szkła awaryjnego organizacji.
    3. Kliknij Gotowe.
  6. W obszarze Aplikacje lub akcje> w chmurzeUwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>ryzyko logowania ustaw pozycję Konfiguruj na Wartość Tak. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady.
    1. Wybierz pozycję Wysoki i Średni.
    2. Kliknij Gotowe.
  8. W obszarze Kontrola> dostępuUdziel.
    1. Wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego.
    2. Wybierz pozycję Wybierz.
  9. W obszarze Sesja.
    1. Wybierz pozycję Częstotliwość logowania.
    2. Upewnij się, że jest zaznaczona opcja Za każdym razem .
    3. Wybierz pozycję Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Następne kroki