Konfiguracja i włączenie zasad ryzyka

W programie Microsoft Entra Conditional Access można skonfigurować dwa typy zasad ryzyka . Za pomocą tych zasad można zautomatyzować reagowanie na zagrożenia, co pozwala użytkownikom na samodzielne korygowanie w przypadku wykrycia ryzyka:

• Zasady ryzyka związanego z użytkownikiem
• Zasady ryzyka logowania

Ostrzeżenie

Nie należy łączyć warunków ryzyka logowania i ryzyka związanego z użytkownikiem w tych samych zasadach dostępu warunkowego. Utwórz oddzielne zasady dla każdego warunku ryzyka.

Wymagania wstępne

• Licencja microsoft Entra ID P2 lub Microsoft Entra Suite jest wymagana do pełnego dostępu do funkcji ochrony entra ID firmy Microsoft.
  • Aby uzyskać szczegółową listę możliwości dla każdej warstwy licencji, zobacz Czym jest Microsoft Entra ID Protection.
• Rola Administrator dostępu warunkowego jest najmniej uprzywilejowaną rolą wymaganą do tworzenia lub edytowania zasad dostępu warunkowego.

Wybieranie dopuszczalnych poziomów ryzyka

Organizacje muszą decydować o poziomie ryzyka, na który chcą wymagać kontroli dostępu, równoważąc poziom bezpieczeństwa i produktywność użytkowników.

Wybór zastosowania kontroli dostępu przy wysokim poziomie ryzyka zmniejsza liczbę przypadków wyzwolenia zasad i minimalizuje trudności dla użytkowników. Jednak wyklucza ona niskie i średnie zagrożenia z zasad, które mogą nie blokować osobie atakującej wykorzystania naruszonej tożsamości. Wybranie opcji Średni i/lub Niski poziom ryzyka zwykle wprowadza więcej przerwań użytkownika.

Skonfigurowane zaufane lokalizacje sieciowe są używane przez usługę Microsoft Entra ID Protection w niektórych wykryciach ryzyka w celu zmniejszenia liczby wyników fałszywie dodatnich.

Korygowanie ryzyka

Organizacje mogą blokować dostęp po wykryciu ryzyka. Blokowanie czasami uniemożliwia uzasadnionym użytkownikom wykonywanie tego, co muszą. Lepszym rozwiązaniem jest skonfigurowanie zasad dostępu warunkowego opartego na ryzyku ilogowania , które umożliwiają użytkownikom samodzielne korygowanie.

Ostrzeżenie

Użytkownicy muszą zarejestrować się do usługi Microsoft Entra do uwierzytelniania wieloskładnikowego, zanim napotkają sytuację wymagającą działań naprawczych. W przypadku użytkowników hybrydowych synchronizowanych ze środowiska lokalnego należy włączyć funkcję zapisywania zwrotnego haseł. Użytkownicy, którzy nie są zarejestrowani, są blokowani i wymagają interwencji administratora.

Zmiana hasła (znam swoje hasło i chcę je zmienić na coś nowego) poza przepływem korygowania ryzykownych polityk użytkownika nie spełnia wymagań dotyczących bezpiecznej zmiany hasła.

Zalecenia firmy Microsoft

Firma Microsoft zaleca następujące konfiguracje zasad ryzyka w celu ochrony organizacji:

Zasady ryzyka związanego z użytkownikiem

Organizacje powinny wybrać pozycję Wymagaj korygowania ryzyka , gdy poziom ryzyka użytkownika ma wartość Wysoki. W przypadku użytkowników bez hasła firma Microsoft Entra odwołuje sesje użytkownika, aby musieli ponownie uwierzytelnić. W przypadku użytkowników z hasłami zostanie wyświetlony monit o ukończenie bezpiecznej zmiany hasła po pomyślnym uwierzytelnieniu wieloskładnikowym firmy Microsoft Entra.

Po wybraniu opcji Wymagaj korygowania ryzyka zostaną automatycznie zastosowane dwa ustawienia:

• Wymaganie siły uwierzytelniania jest automatycznie wybierane jako kontrola przyznawania.
• Częstotliwość logowania — za każdym razem jest automatycznie stosowana jako kontrolka sesji.

Zasady ryzyka związanego z logowaniem

Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft, gdy poziom ryzyka logowania jest średni lub wysoki. Ta konfiguracja pozwala użytkownikom udowodnić, że to oni przy użyciu jednej z zarejestrowanych metod uwierzytelniania, zmniejszając ryzyko logowania.

Zalecamy również uwzględnienie kontroli częstotliwości logowania sesji, aby wymagać ponownego uwierzytelniania dla ryzykownych logowań. Pomyślne "mocne uwierzytelnianie", zwykle za pośrednictwem uwierzytelniania wieloskładnikowego lub uwierzytelniania bez hasła, jest jedynym sposobem własnego niwelowania ryzyka logowania, niezależnie od poziomu ryzyka.

Włącz zasady

Organizacje mogą zdecydować się na wdrożenie zasad opartych na ryzyku w dostępie warunkowym, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Zanim organizacje włączą te zasady, powinny podjąć działania w celu zbadania i skorygowania wszelkich aktywnych zagrożeń.

Wykluczenia w polisie

Zasady dostępu warunkowego to zaawansowane narzędzia. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne (break-glass), aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu, w którym wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i odzyskiwania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinteraktywne, które nie są powiązane z żadnym określonym użytkownikiem. Są one zwykle używane przez usługi zaplecza, aby umożliwić programowy dostęp do aplikacji, ale są one również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie są blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
  • Jeśli organizacja używa tych kont w skryptach lub kodzie, zastąp je tożsamościami zarządzanymi.

Zasady ryzyka użytkownika w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz opcję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjnego dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Zasoby docelowe>uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
   1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj korygowania ryzyka. Kontrolka Wymagaj siły uwierzytelniania jest wybierana automatycznie. Wybierz siłę odpowiednią dla organizacji.
   2. Wybierz Wybierz.
9. W obszarze Sesjaczęstotliwość logowania — za każdym razem jest automatycznie stosowana jako kontrolka sesji i jest obowiązkowa.
10. Potwierdź ustawienia i ustaw opcję Włącz politykęna tryb tylko raportowania.
11. Wybierz pozycję Utwórz , aby utworzyć zasady.

Po potwierdzeniu ustawień przy użyciu trybu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Zasady ryzyka logowania w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz opcję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjnego dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje> w chmurzeDołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz politykęna tryb tylko raportowania.
11. Wybierz Utwórz, aby włączyć swoją zasadę.

Po potwierdzeniu ustawień przy użyciu trybu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła , wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj użytkowników korzystających z logowania bez hasła.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjnego dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
2. W obszarze Aplikacje w chmurze lub akcje>Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
3. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Aby uzyskać więcej informacji na temat poziomów ryzyka, zobacz Wybieranie akceptowalnych poziomów ryzyka.
   2. Wybierz pozycję Gotowe.
4. W obszarze Kontrole dostępu>Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną opcję uwierzytelniania wieloskładnikowego bez hasła lub uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji, w zależności od metody używanej przez docelowych użytkowników.
   2. Wybierz Wybierz.
5. Podczas sesji :
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.

Migrowanie zasad ryzyka do dostępu warunkowego

Jeśli w Ochrona tożsamości Microsoft Entra włączono starsze zasady ryzyka, należy zaplanować ich migrację do dostępu warunkowego:

Ostrzeżenie

Starsze zasady ryzyka skonfigurowane w usłudze Microsoft Entra ID Protection zostaną wycofane 1 października 2026 r.

Migrowanie do dostępu warunkowego

1. Utwórz równoważne zasady dostępu warunkowego oparte na ryzyku użytkownika oraz oparte na ryzyku logowania w trybie tylko do raportu. Zasady można utworzyć przy użyciu poprzednich kroków lub użyć szablonów dostępu warunkowego na podstawie zaleceń firmy Microsoft i wymagań organizacji.
   1. Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportowania, mogą przełączyć Włącz politykę z ustawienia Tylko raport na Włączone.
2. Wyłącz stare zasady ryzyka w usłudze ID Protection.
   1. Przejdź do Ochrona identyfikatorów>Dashboard>. Wybierz politykę ryzyko użytkownika lub ryzyko logowania.
   2. Ustaw opcję Wymuszaj zasady na Wyłączone.
3. W razie potrzeby utwórz inne zasady ryzyka w obszarze Dostęp warunkowy.

Powiązana zawartość

• Włącz zasady rejestracji uwierzytelniania wieloskładnikowego Microsoft Entra
• Co to jest ryzyko
• Badanie wykrywania ryzyka
• Symulowanie wykrywania ryzyka