Konfiguracja i włączenie zasad ryzyka

W programie Microsoft Entra Conditional Access można skonfigurować dwa typy zasad ryzyka . Za pomocą tych zasad można zautomatyzować reagowanie na zagrożenia, co pozwala użytkownikom na samodzielne korygowanie w przypadku wykrycia ryzyka:

• Zasady ryzyka logowania
• Zasady ryzyka związanego z użytkownikiem

Wybieranie dopuszczalnych poziomów ryzyka

Organizacje muszą zdecydować, jaki poziom ryzyka chce wymagać kontroli dostępu w zakresie równoważenia środowiska użytkownika i stanu zabezpieczeń.

Wybór zastosowania kontroli dostępu przy wysokim poziomie ryzyka zmniejsza liczbę przypadków wyzwolenia zasad i minimalizuje trudności dla użytkowników. Jednak wyklucza ona niskie i średnie zagrożenia z zasad, które mogą nie blokować osobie atakującej wykorzystania naruszonej tożsamości. Wybranie niskiego poziomu ryzyka, aby wymagać kontroli dostępu, powoduje wprowadzenie większej liczby zakłóceń dla użytkownika.

Skonfigurowane zaufane lokalizacje sieciowe są używane przez usługę Microsoft Entra ID Protection w niektórych wykryciach ryzyka w celu zmniejszenia liczby wyników fałszywie dodatnich.

Konfiguracje zasad, które wymieniono poniżej, obejmują kontrolę częstotliwości logowania wymaganą do ponownego uwierzytelnienia dla ryzykownych użytkowników i prób logowania.

Zalecenie firmy Microsoft

Firma Microsoft zaleca następujące konfiguracje zasad ryzyka w celu ochrony organizacji:

• Zasady ryzyka związanego z użytkownikiem
  • Wymagaj bezpiecznej zmiany hasła, gdy poziom ryzyka użytkownika jest wysoki. Microsoft Entra uwierzytelnianie wieloskładnikowe jest wymagane, zanim użytkownik będzie mógł utworzyć nowe hasło z odwróconym zapisem haseł, aby ograniczyć ich ryzyko.
  • Bezpieczna zmiana hasła przy użyciu samoobsługowego resetowania hasła jest jedynym sposobem samodzielnego korygowania ryzyka użytkownika, niezależnie od poziomu ryzyka.
• Zasady ryzyka logowania
  • Wymagaj uwierzytelniania wieloskładnikowego Microsoft Entra, gdy poziom ryzyka logowania jest średni lub wysoki, co pozwala użytkownikom udowodnić swoją tożsamość, używając jednej z zarejestrowanych metod uwierzytelniania, co zmniejsza ryzyko logowania.
  • Pomyślne uwierzytelnianie wieloskładnikowe to jedyny sposób samodzielnego korygowania ryzyka logowania, niezależnie od poziomu ryzyka.

Wymaganie kontroli dostępu, gdy poziom ryzyka jest niski, wprowadza więcej przeszkód i zakłóceń dla użytkownika niż przy średnim lub wysokim poziomie. Wybranie opcji blokowania dostępu zamiast zezwalania na opcje samodzielnego korygowania, takie jak bezpieczna zmiana hasła i uwierzytelnianie wieloskładnikowe, mają wpływ na użytkowników i administratorów jeszcze bardziej. Rozważ te opcje podczas konfigurowania zasad.

Korygowanie ryzyka

Organizacje mogą blokować dostęp po wykryciu ryzyka. Blokowanie czasami uniemożliwia uzasadnionym użytkownikom wykonywanie tego, co muszą. Lepszym rozwiązaniem jest skonfigurowanie zasad dostępu warunkowego opartego na ryzyku ilogowania , które umożliwiają użytkownikom samodzielne korygowanie.

Ostrzeżenie

Użytkownicy muszą zarejestrować się do usługi Microsoft Entra do uwierzytelniania wieloskładnikowego, zanim napotkają sytuację wymagającą działań naprawczych. W przypadku użytkowników hybrydowych synchronizowanych ze środowiska lokalnego należy włączyć funkcję zapisywania zwrotnego haseł. Użytkownicy, którzy nie są zarejestrowani, są blokowani i wymagają interwencji administratora.

Zmiana hasła (znam swoje hasło i chcę je zmienić na coś nowego) poza przepływem korygowania ryzykownych polityk użytkownika nie spełnia wymagań dotyczących bezpiecznej zmiany hasła.

Włącz zasady

Organizacje mogą zdecydować się na wdrożenie zasad opartych na ryzyku w dostępie warunkowym, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Zanim organizacje włączą te zasady, powinny podjąć działania w celu zbadania i skorygowania wszelkich aktywnych zagrożeń.

Wykluczenia w polisie

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne (break-glass), aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości zadaniowych, aby zdefiniować zasady przeznaczone dla zasadniczych jednostek serwisowych.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Zasady ryzyka użytkownika w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz opcję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjnego dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje> w chmurzeDołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
   1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz pozycję Wymagaj zmiany hasła.
   3. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz politykęna tryb tylko raportowania.
11. Wybierz Utwórz, aby włączyć swoją zasadę.

Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu zasad lub trybu tylko raportowania, mogą przenieść przełącznik Włącz zasady z trybu Tylko raportowania na Włączony.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła , wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka użytkowników bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj użytkowników korzystających z logowania bez hasła.
2. Zablokuj dostęp użytkownikom korzystającym z systemów bezhasłowych w sekcji Kontrola dostępu.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

• Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
• Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Zarządzanie i usuwanie ryzyka użytkowników logujących się bez użycia hasła

1. Wymagaj od administratora przeprowadzenia dochodzenia i naprawy każdego ryzyka.
2. Odblokuj użytkownika.

Zasady ryzyka logowania w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości dla obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz opcję Użytkownicy i grupy, a następnie wskaż konta awaryjnego dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje> w chmurzeDołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu> na karcie Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się , że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raportowanie.
11. Wybierz Utwórz, aby aktywować zasady.

Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu zasad lub trybu tylko raportowania, mogą przenieść przełącznik Włącz zasady z opcji Raportowanie do pozycję Włączony.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła , wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj do użytkowników bez hasła.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz awaryjne konta dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
2. W obszarze Aplikacje w chmurze lub akcje>Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
3. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Aby uzyskać więcej informacji na temat poziomów ryzyka, zobacz Wybieranie akceptowalnych poziomów ryzyka.
   2. Wybierz pozycję Gotowe.
4. W obszarze kontrolach dostępu>Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną opcję uwierzytelniania wieloskładnikowego bez hasła lub uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji, w zależności od metody używanej przez docelowych użytkowników.
   2. Wybierz Wybierz.
5. Podczas sesji :
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że opcja "Za każdym razem" jest zaznaczona.
   3. Wybierz Wybierz.

Migrowanie zasad ryzyka do dostępu warunkowego

Jeśli w Ochrona tożsamości Microsoft Entra włączono starsze zasady ryzyka, należy zaplanować ich migrację do dostępu warunkowego:

Ostrzeżenie

Starsze zasady ryzyka skonfigurowane w usłudze Microsoft Entra ID Protection zostaną wycofane 1 października 2026 r.

Migrowanie do dostępu warunkowego

1. Utwórz równoważne zasady dostępu warunkowego oparte na ryzyku użytkownika oraz oparte na ryzyku logowania w trybie tylko do raportu. Zasady można utworzyć przy użyciu poprzednich kroków lub użyć szablonów dostępu warunkowego na podstawie zaleceń firmy Microsoft i wymagań organizacji.
   1. Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportowania, mogą przełączyć Włącz politykę z ustawienia Tylko raport na Włączone.
2. Wyłącz stare zasady ryzyka w usłudze ID Protection.
   1. Przejdź do Ochrona identyfikatorów>Dashboard>. Wybierz politykę ryzyko użytkownika lub ryzyko logowania.
   2. Ustaw opcję Wymuszaj zasady na Wyłączone.
3. W razie potrzeby utwórz inne zasady ryzyka w obszarze Dostęp warunkowy.

Powiązana zawartość

• Włącz zasady rejestracji uwierzytelniania wieloskładnikowego Microsoft Entra
• Co to jest ryzyko
• Badanie wykrywania ryzyka
• Symulowanie wykrywania ryzyka