Требовать многофакторную проверку подлинности для повышенного риска входа

Большинство пользователей имеют нормальное поведение, которое можно отслеживать. Если их поведение выходит за пределы этой нормы, это может быть рискованным, чтобы позволить им войти. Может потребоваться заблокировать пользователя или попросить его завершить многофакторную проверку подлинности, чтобы подтвердить свое удостоверение.

Риск входа в систему представляет собой вероятность того, что запрос на проверку подлинности исходит не от владельца учетной записи. Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включая обнаружения рисков входа, предоставляемые Защитой идентификации Microsoft Entra.

Политика, основанная на рисках входа, запрещает пользователям регистрировать Многофакторную аутентификацию (MFA) в течение рискованных сеансов. Если пользователи не зарегистрированы для MFA, их рискованные входы блокируются, и они получают ошибку AADSTS53004.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи, чтобы избежать блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Учетные записи служб и принципы служб, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, предназначенные для субъектов-служб.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Включение с помощью политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
2. Перейдите к Entra ID>условному доступу.
3. Выберите новую политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
   1. В разделе "Включить" выберите "Все пользователи".
   2. В разделе "Исключить" выберите "Пользователи" и "Группы" и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
   3. Нажмите кнопку "Готово".
6. В разделе "Облачные приложения или действия">Включить выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
7. В разделе "Условия>входа" установите для параметра "Настроить" значение "Да".
   1. В разделе "Выбор уровня риска входа, где будет применяться эта политика", выберите "Высокий" и "Средний". Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку "Готово".
8. В разделе "Управление доступом>Предоставление" выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Нажмите кнопку "Выбрать".
9. В разделе "Сеанс".
   1. Выберите частоту входа.
   2. Убедитесь, что выбран каждый раз .
   3. Нажмите кнопку "Выбрать".
10. Подтвердите настройки и установите включение политики на только отчет.
11. Нажмите кнопку "Создать", чтобы включить политику.

После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет".

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля , внесите следующие изменения:

Обновите политику риска входа без пароля

1. В разделе "Пользователи":
   1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
   2. В разделе "Исключить" выберите "Пользователи" и "Группы" и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
   3. Нажмите кнопку "Готово".
2. В разделе "Облачные приложения" или "Включить"> выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
3. В разделе "Условия>входа" установите для параметра "Настроить" значение "Да".
   1. В разделе "Выбор уровня риска входа, где будет применяться эта политика", выберите "Высокий" и "Средний". Дополнительные сведения о уровнях риска см. в разделе "Выбор допустимых уровней риска".
   2. Нажмите кнопку "Готово".
4. В разделе "Управление доступом>Предоставление" выберите Предоставить доступ.
   1. Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную MFA без пароля или фишинговую MFA на основе метода, который имеет целевые пользователи.
   2. Нажмите кнопку "Выбрать".
5. В разделе "Сеанс"
   1. Выберите частоту входа.
   2. Убедитесь, что выбран каждый раз .
   3. Нажмите кнопку "Выбрать".

Связанный контент

• Требовать повторную проверку подлинности каждый раз
• Устранение рисков и разблокировка пользователей
• Общие политики условного доступа
• Условный доступ на основе рисков пользователей
• Определение эффекта с помощью режима, предназначенного только для отчетов условного доступа
• Используйте режим отчета для Условного доступа, чтобы определить результаты новых политических решений
• Настройка параметров доступа между клиентами