Руководство. Использование обнаружения рисков для входа пользователей для активации многофакторной проверки подлинности Или изменений паролей Microsoft Entra

Чтобы защитить пользователей, можно настроить политики условного доступа Microsoft Entra на основе рисков, которые автоматически реагируют на рискованные действия. Эти политики могут автоматически блокировать попытку входа или требовать дополнительных действий, например требовать безопасное изменение пароля или запрашивать многофакторную проверку подлинности Microsoft Entra. Эти политики работают с существующими политиками условного доступа Microsoft Entra в качестве дополнительного уровня защиты для вашей организации. Пользователи никогда не могут вызвать рискованное поведение в одной из этих политик, но ваша организация защищена, если предпринята попытка компрометации вашей безопасности.

Важно!

В этом руководстве показано, как включить многофакторную проверку подлинности на основе рисков (MFA).

Если ИТ-команда не включила возможность использовать многофакторную проверку подлинности Microsoft Entra или у вас возникли проблемы во время входа, обратитесь в службу поддержки для получения дополнительной помощи.

В этом руководстве описано следующее:

• Общие сведения о доступных политиках
• Включение регистрации многофакторной проверки подлинности Microsoft Entra
• Включение изменения пароля на основе рисков
• Включение многофакторной проверки подлинности на основе рисков
• Тестирование политик на основе рисков для попыток входа пользователей

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы и разрешения:

• Рабочий клиент Microsoft Entra с включенной лицензией Microsoft Entra ID P2 или пробной лицензией.
  • Создайте ее бесплатно, если нужно.
• Учетная запись с правами Администратор istrator безопасности.
• Идентификатор Microsoft Entra, настроенный для самостоятельного сброса пароля и многофакторной проверки подлинности Microsoft Entra
  • При необходимости выполните инструкции, чтобы включить Microsoft Entra SSPR.
  • При необходимости выполните инструкции по включению многофакторной проверки подлинности Microsoft Entra.

Обзор Защита идентификации Microsoft Entra

Корпорация Майкрософт ежедневно собирает и анализирует миллиарды анонимизированных сообщений о попытках входа пользователей. Эти сообщения позволяют создать шаблоны хорошего поведения пользователей и выявлять потенциально опасные и подозрительные попытки входа. Защита идентификации Microsoft Entra может просматривать попытки входа пользователей и выполнять дополнительные действия, если возникает подозрительное поведение:

Некоторые из следующих действий могут активировать обнаружение рисков Защита идентификации Microsoft Entra:

• утечка учетных данных пользователей;
• входы в систему с анонимных IP-адресов;
• неосуществимое перемещение и нетипичные расположения;
• попытки входа с зараженных устройств;
• входы с IP-адресов с подозрительными действиями;
• входы в систему из необычного расположения.

В этой статье описано, как включить три политики для защиты пользователей и автоматизации реагирования на подозрительные действия.

• Политика регистрации многофакторной проверки подлинности
  • Гарантирует, что пользователи зарегистрированы для многофакторной проверки подлинности Microsoft Entra. Если политика риска входа запрашивает MFA, пользователь должен быть зарегистрирован для многофакторной проверки подлинности Microsoft Entra.
• Политика риска пользователей
  • Определяет и автоматизирует ответ на учетные записи пользователей, которые могут скомпрометировать учетные данные. Может предложить пользователю создать новый пароль.
• Политика риска входа
  • Определяет и автоматизирует ответ на подозрительные попытки входа. Может предложить пользователю предоставить дополнительные формы проверки с помощью многофакторной проверки подлинности Microsoft Entra.

При включении политики на основе рисков можно также выбрать порог для уровня риска — низкий, средний или высокий. Эта настройка позволяет выбрать агрессивность применения действий, настроенных для подозрительных событий входа. Корпорация Майкрософт рекомендует следующие конфигурации политик.

Дополнительные сведения о Защита идентификации Microsoft Entra см. в разделе "Что такое Защита идентификации Microsoft Entra?"

Включение политики регистрации многофакторной проверки подлинности

Защита идентификации Microsoft Entra включает политику по умолчанию, которая может помочь пользователям, зарегистрированным для многофакторной проверки подлинности Microsoft Entra. Если вы используете другие политики для защиты событий входа, вам потребуется, чтобы пользователи уже зарегистрировались для MFA. Включение этой политики не означает, что пользователям придется выполнять многофакторную проверку подлинности при каждом входе. Политика проверка состояние регистрации для пользователя и запрашивает у них предварительную регистрацию при необходимости.

Рекомендуется включить эту политику регистрации для пользователей, использующих многофакторную проверку подлинности. Чтобы включить эту политику, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.
2. Перейдите к политике регистрации многофакторной проверки подлинности Защиты>>идентификации.
3. По умолчанию она применяется ко всем пользователям. Если нужно это изменить, выберите Назначения и укажите пользователей или группы для применения политики.
4. В разделе Элементы управления выберите Доступ. Убедитесь, что параметр "Требовать регистрацию многофакторной проверки подлинности Microsoft Entra" проверка, а затем нажмите кнопку "Выбрать".
5. Для параметра Применить политику задайте значение Вкл. и щелкните Сохранить.

Применение политики рисков пользователей для смены пароля

Корпорация Майкрософт сотрудничает с исследователями, правоохранительными органами, различными группами безопасности корпорации Майкрософт и другими доверенными источниками для поиска пар "имя пользователя и пароль". Если одна из этих пар соответствует учетной записи в вашей среде, можно потребовать изменение пароля на основе рисков. Эта политика с этим действием требуют, чтобы пользователь изменил пароль, прежде чем сможет войти в систему. Это нужно для того, чтобы скомпрометированные учетные данные нельзя было использовать для входа.

Чтобы включить эту политику, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
2. Перейдите к условному доступу к защите>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
   1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий.
   2. Нажмите кнопку Готово.
8. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите "Предоставить доступ", "Требовать многофакторную проверку подлинности " и "Требовать изменение пароля".
   2. Выберите Выбрать.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.
10. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
11. Нажмите Создать, чтобы создать и включить политику.

Включение политики рисков при входе для MFA

Большинство пользователей демонстрируют нормальное поведение, которое можно отслеживать. Если поведение выходит за пределы нормы, разрешение входа в систему может оказаться рискованным. Вместо этого может потребоваться заблокировать этого пользователя или попросить его выполнить многофакторную проверку подлинности. Если пользователь успешно пройдет такую проверку, можно считать попытку входа допустимой и предоставить доступ к приложению или службе.

Чтобы включить эту политику, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
2. Перейдите к условному доступу к защите>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
7. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да. В разделе Выберите уровень угрозы, связанной с входом, на который будет распространяться эта политика.
   1. выберите Высокий и Средний.
   2. Нажмите кнопку Готово.
8. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите Разрешить доступ с параметром Требовать многофакторной проверки подлинности.
   2. Выберите Выбрать.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.
10. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
11. Нажмите Создать, чтобы создать и включить политику.

Тестирование подозрительных входов в систему

Большинство событий входа пользователей не активируют политики на основе рисков, настроенные на предыдущих шагах. Пользователь никогда не увидит запрос на MFA или сброс пароля. Пока учетные данные пользователя остаются надежными, а поведение стабильным, все события входа будут считаться успешными.

Чтобы протестировать политики Защита идентификации Microsoft Entra, созданные на предыдущих шагах, вам потребуется способ имитации рискованного поведения или потенциальных атак. Действия по этим тестам зависят от политики Защита идентификации Microsoft Entra, которую вы хотите проверить. Дополнительные сведения о сценариях и шагах см. в разделе "Имитация обнаружения рисков" в Защита идентификации Microsoft Entra.

Очистка ресурсов

Если вы завершите тестирование и больше не хотите включать политики на основе рисков, вернитесь к каждой политике, которую вы хотите отключить и задать для политики отключение или удаление политики.

Следующие шаги

В этом руководстве вы включили политики пользователей на основе рисков для Защита идентификации Microsoft Entra. Вы научились выполнять следующие задачи:

• Общие сведения о доступных политиках для Защита идентификации Microsoft Entra
• Включение регистрации многофакторной проверки подлинности Microsoft Entra
• Включение изменения пароля на основе рисков
• Включение многофакторной проверки подлинности на основе рисков
• Тестирование политик на основе рисков для попыток входа пользователей

Дополнительные сведения о Защита идентификации Microsoft Entra