Wymaganie uwierzytelniania wieloskładnikowego na potrzeby ryzyka związanego z podwyższonym poziomem uprawnień logowania

Większości użytkowników dotyczy zachowanie normalne, które można śledzić. Gdy ta norma zostanie przekroczona, zezwolenie tym użytkownikom na zwykłe logowanie się może stanowić ryzyko. Możesz zablokować tego użytkownika, a może poprosić go o przeprowadzenie uwierzytelniania wieloskładnikowego, aby udowodnić, że są naprawdę tym, kim mówią.

Ryzyko logowania to prawdopodobieństwo, że dane żądanie uwierzytelniania nie pochodzi od właściciela tożsamości. Organizacje z licencjami Microsoft Entra ID P2 mogą tworzyć zasady dostępu warunkowego obejmujące wykrywanie ryzyka logowania w usłudze Microsoft Entra ID Protection.

Polityka oparta na ryzyku logowania chroni użytkowników przed rejestrowaniem uwierzytelniania wieloskładnikowego w ryzykownych sesjach. Jeśli użytkownicy nie są zarejestrowani w usłudze MFA, ich ryzykowne logowania są blokowane i widzą błąd AADSTS53004.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta break-glass, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Włączanie przy użyciu zasad dostępu warunkowego

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. Pod Przypisania wybierz opcję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjne lub break-glass dla organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje> w chmurzeDołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W sekcji Kontrole dostępu>Przyznanie wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz politykęna tylko do raportowania.
11. Wybierz Utwórz, aby włączyć zasady.

Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu zasad lub trybu tylko raportowania, mogą ustawić przełącznik Włącz zasady z opcji Tylko raportowanie na pozycję Włącz.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła , wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj użytkowników bez hasła.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjne lub break-glass dla organizacji.
   3. Wybierz pozycję Gotowe.
2. W obszarze Aplikacje w chmurze lub akcje>Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
3. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Aby uzyskać więcej informacji na temat poziomów ryzyka, zobacz Wybieranie akceptowalnych poziomów ryzyka.
   2. Wybierz pozycję Gotowe.
4. W sekcji Kontrole dostępu>Przyznanie wybierz pozycję Udziel dostępu.
   1. Wybierz opcję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną opcję MFA bez hasła lub MFA odporne na phishing, w zależności od tego, którą metodę mają docelowi użytkownicy.
   2. Wybierz Wybierz.
5. Podczas sesji :
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.

Powiązana zawartość

• Wymagaj ponownego uwierzytelniania za każdym razem
• Korygowanie zagrożeń i odblokowywanie użytkowników
• Typowe zasady dostępu warunkowego
• Dostęp warunkowy oparty na ryzyku użytkownika
• Określanie efektu przy użyciu trybu raportowania tylko dla dostępu warunkowego
• Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad