Środowisko samodzielnego korygowania z Ochrona tożsamości Microsoft Entra i dostępem warunkowym
Za pomocą Ochrona tożsamości Microsoft Entra i dostępu warunkowego można wykonywać następujące czynności:
- Wymaganie od użytkowników zarejestrowania się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft
- Automatyzowanie korygowania ryzykownych logowania się i naruszonych użytkowników
- Blokuj użytkowników w określonych przypadkach.
Zasady dostępu warunkowego, które integrują użytkownika i ryzyko logowania, mają wpływ na środowisko logowania dla użytkowników. Umożliwienie użytkownikom rejestrowania się w celu korzystania z narzędzi, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft i samoobsługowe resetowanie haseł, może zmniejszyć wpływ. Te narzędzia wraz z odpowiednimi opcjami zasad zapewniają użytkownikom opcję samodzielnego korygowania, gdy ich potrzebują, jednocześnie wymuszając silne mechanizmy kontroli zabezpieczeń.
Rejestracja uwierzytelniania wieloskładnikowego
Gdy administrator włączy zasady usługi Identity Protection wymagające rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft, gwarantuje, że użytkownicy będą mogli użyć uwierzytelniania wieloskładnikowego firmy Microsoft do samodzielnego korygowania w przyszłości. Skonfigurowanie tych zasad daje użytkownikom 14-dniowy okres, w którym mogą się zarejestrować, a na końcu są zmuszeni do zarejestrowania.
Przerwanie rejestracji
Po zalogowaniu się do dowolnej zintegrowanej aplikacji firmy Microsoft entra użytkownik otrzymuje powiadomienie o konieczności skonfigurowania konta na potrzeby uwierzytelniania wieloskładnikowego. Te zasady są również wyzwalane w środowisku Windows Out of Box Experience dla nowych użytkowników z nowym urządzeniem.
Wykonaj kroki z przewodnikiem, aby zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i ukończyć logowanie.
Samodzielne korygowanie ryzyka
Gdy administrator konfiguruje zasady dostępu warunkowego opartego na ryzyku, użytkownicy, których to dotyczy, są przerywani po osiągnięciu skonfigurowanego poziomu ryzyka. Jeśli administratorzy zezwalają na samodzielne korygowanie przy użyciu uwierzytelniania wieloskładnikowego, ten proces jest wyświetlany użytkownikowi jako zwykły monit uwierzytelniania wieloskładnikowego.
Jeśli użytkownik może ukończyć uwierzytelnianie wieloskładnikowe, jego ryzyko zostanie skorygowane i może się zalogować.
Jeśli użytkownik jest zagrożony, a nie tylko logowanie, administratorzy mogą skonfigurować zasady ryzyka użytkownika w dostępie warunkowym, aby wymagać zmiany hasła oprócz przeprowadzania uwierzytelniania wieloskładnikowego. W takim przypadku użytkownik zobaczy następujący dodatkowy ekran.
Ryzykowny administrator logowania odblokuj
Administracja istratorzy mogą blokować użytkowników po zalogowaniu się w zależności od poziomu ryzyka. Aby odblokować, użytkownicy końcowi muszą skontaktować się ze swoimi pracownikami IT lub spróbować zalogować się ze znanej lokalizacji lub urządzenia. Samodzielne korygowanie nie jest w tym przypadku opcją.
Pracownicy IT mogą postępować zgodnie z instrukcjami w sekcji Odblokowywanie użytkowników , aby umożliwić użytkownikom ponowne logowanie.
Technik wysokiego ryzyka
Jeśli Twoja organizacja ma użytkowników delegowanych dostępu do innej dzierżawy i wyzwalają wysokie ryzyko, mogą być blokowane przed zalogowaniem się do innych dzierżaw. Na przykład:
- Organizacja ma dostawcę usług zarządzanych (MSP) lub dostawcę rozwiązań w chmurze (CSP), który zajmuje się konfigurowaniem środowiska chmury.
- Jedno z poświadczeń techników MSPs jest wycieka i wyzwala wysokie ryzyko. Ten technik nie może zalogować się do innych dzierżaw.
- Technik może samodzielnie skorygować i zalogować się, jeśli dzierżawa domowa włączyła odpowiednie zasady wymagające zmiany hasła dla użytkowników wysokiego ryzyka lub uwierzytelniania wieloskładnikowego dla ryzykownych użytkowników.
- Jeśli dzierżawa domowa nie włączyła zasad samodzielnego korygowania, administrator w dzierżawie macierzystej technika musi skorygować ryzyko.