Udostępnij za pośrednictwem

Doświadczenie samodzielnego zarządzania z Ochroną tożsamości Microsoft Entra i dostępem warunkowym.

Korzystając z Microsoft Entra ID Protection i Dostępu Warunkowego, możesz:

  • Wymaganie od użytkowników rejestracji do uwierzytelniania wieloskładnikowego Microsoft Entra
  • Automatyzacja naprawy ryzykownych logowań i kompromitowanych użytkowników
  • Blokuj użytkowników w określonych przypadkach.

Zasady dostępu warunkowego, które integrują użytkownika i ryzyko logowania wpływają na środowisko logowania użytkowników. Umożliwienie użytkownikom korzystania z narzędzi, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft i samoobsługowe resetowanie haseł, może zmniejszyć wpływ. Te narzędzia, wraz z odpowiednimi wyborami zasad, zapewniają użytkownikom opcję samodzielnego korygowania, gdy ich potrzebują, jednocześnie wymuszając silne mechanizmy kontroli zabezpieczeń.

Rejestracja uwierzytelniania wieloskładnikowego

Gdy administrator włączy zasady ochrony identyfikatorów wymagające rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft, użytkownicy mogą użyć uwierzytelniania wieloskładnikowego firmy Microsoft do samodzielnego korygowania. Skonfigurowanie tych zasad daje użytkownikom 14-dniowy okres rejestracji, po którym są zmuszeni do zarejestrowania.

Przerwanie rejestracji

  1. Po zalogowaniu się do dowolnej zintegrowanej aplikacji firmy Microsoft entra użytkownik otrzymuje powiadomienie o konieczności skonfigurowania konta na potrzeby uwierzytelniania wieloskładnikowego. Te zasady są również wyzwalane w środowisku Windows Out of Box Experience dla nowych użytkowników z nowym urządzeniem.

    Zrzut ekranu przedstawiający monit o potrzebne dodatkowe informacje w oknie przeglądarki.

  2. Wykonaj kroki z przewodnikiem, aby zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i zalogować się.

Samodzielne korygowanie ryzyka

Gdy administrator konfiguruje zasady dostępu warunkowego opartego na ryzyku, użytkownicy, których to dotyczy, są przerywani po osiągnięciu skonfigurowanego poziomu ryzyka. Jeśli administratorzy zezwalają na samodzielne korygowanie przy użyciu uwierzytelniania wieloskładnikowego, ten proces jest wyświetlany użytkownikowi jako zwykły monit uwierzytelniania wieloskładnikowego.

Jeśli użytkownik ukończy uwierzytelnianie wieloskładnikowe, jego ryzyko zostanie skorygowane i może się zalogować.

Zrzut ekranu przedstawiający monit o uwierzytelnianie wieloskładnikowe podczas logowania.

Jeśli użytkownik jest zagrożony, a nie tylko logowanie, administratorzy mogą skonfigurować zasady ryzyka użytkownika w dostępie warunkowym, aby wymagać zmiany hasła oprócz uwierzytelniania wieloskładnikowego. W takim przypadku użytkownik zobaczy następujący dodatkowy ekran.

Zrzut ekranu przedstawiający monit o zmianę hasła po wykryciu ryzyka związanego z użytkownikiem.

Zarządzanie naprawcze przez firmę Microsoft

Zasady korygowania zarządzane przez firmę Microsoft obejmują wszystkie metody uwierzytelniania, w tym oparte na hasłach i bez hasła. Kontrole przyznawania dla tych zasad automatycznie obejmują Wymagaj siły uwierzytelniania oraz Częstotliwość logowania — za każdym razem, aby upewnić się, że użytkownicy są proszeni o ponowne uwierzytelnienie po odwołaniu sesji. Aby uzyskać więcej informacji, zobacz [concept-identity-protection-policies.md#require-risk-remediation-with-microsoft-managed-remediation-preview].

Gdy użytkownik jest zobowiązany do zminimalizowania ryzyka z włączoną tą polityką, musi zalogować się natychmiast po odwołaniu sesji. Jeśli użytkownik właśnie się zalogował, ale jest zagrożony, zostanie wyświetlony monit o ponowne zalogowanie. Ryzyko jest korygowane po pomyślnym zalogowaniu użytkownika po raz drugi.

Odblokowanie ryzykownego logowania przez administratora

Administratorzy mogą blokować użytkowników po zalogowaniu się w zależności od poziomu ryzyka. Aby odblokować, użytkownicy muszą skontaktować się ze swoimi pracownikami IT lub spróbować zalogować się ze znanej lokalizacji lub urządzenia. Samodzielne korygowanie nie jest w tym przypadku opcją.

Zrzut ekranu przedstawiający ekran blokady twojego konta.

Pracownicy IT mogą postępować zgodnie z instrukcjami w Odblokowywanie użytkowników, aby umożliwić użytkownikom ponowne logowanie się.

Technik wysokiego ryzyka

Jeśli główny dzierżawca nie włączył zasad samodzielnego zarządzania, zarządzający w dzierżawie głównej technika musi zarządzać ryzykiem. Na przykład:

  1. Organizacja ma dostawcę usług zarządzanych (MSP) lub dostawcę rozwiązań w chmurze (CSP), który zajmuje się konfigurowaniem środowiska chmury.
  2. Jedna z danych uwierzytelniających techników dostawców usług zarządzanych wyciekła i wywołuje wysokie ryzyko. Ten technik jest zablokowany przed logowaniem się do innych dzierżawców.
  3. Technik może samodzielnie zaradzić problemom i zalogować się, jeśli dzierżawa domowa włączyła odpowiednie zasady wymagające zmiany hasła dla użytkowników wysokiego ryzyka lub uwierzytelniania wieloskładnikowego dla ryzykownych użytkowników.
    • Jeśli dzierżawca domowy nie włączył zasad samodzielnego korygowania, administrator w macierzystej dzierżawie technika musi skorygować ryzyko.

Powiązana treść

  • Last updated on