Dela via

Riskbaserade åtkomstprinciper

Riskbaserade principer för åtkomstkontroll kan tillämpas för att skydda organisationer när en inloggning eller användare identifieras vara i riskzonen.

Diagram som visar en konceptuell riskbaserad princip för villkorsstyrd åtkomst.

Villkorsstyrd åtkomst i Microsoft Entra erbjuder två användarspecifika riskvillkor som drivs av Microsoft Entra ID Protection-signaler: Inloggningsrisk och Användarrisk. Organisationer kan skapa riskbaserade principer för villkorsstyrd åtkomst genom att konfigurera dessa två riskvillkor och välja en metod för åtkomstkontroll. Under varje inloggning skickar ID Protection de identifierade risknivåerna till villkorsstyrd åtkomst och de riskbaserade principerna gäller om principvillkoren uppfylls.

Du kan behöva multifaktorautentisering när inloggningsrisknivån är medelhög eller hög. Användare uppmanas endast på den nivån.

Diagram som visar en konceptuell riskbaserad princip för villkorsstyrd åtkomst med självreparation.

I föregående exempel visas också en stor fördel med en riskbaserad princip: automatisk riskreparation. När en användare har slutfört den nödvändiga åtkomstkontrollen, till exempel en säker lösenordsändring, åtgärdas risken. Inloggningssessionen och användarkontot är inte längre i fara och ingen åtgärd krävs från administratören.

Att tillåta användare att självreparera med den här processen minskar avsevärt riskutredningen och reparationsbördan för administratörer samtidigt som din organisation skyddas från säkerhetskompromisser. Mer information om riskreparation finns i artikeln Åtgärda risker och avblockera användare.

Användarriskbaserad princip för villkorsstyrd åtkomst

ID Protection analyserar signaler om användarkonton och beräknar en riskpoäng baserat på sannolikheten att användaren komprometteras. Om en användare har ett riskfyllt användarinloggningsbeteende eller om deras autentiseringsuppgifter läckte ut använder ID Protection dessa signaler för att beräkna användarrisknivån. Administratörer kan konfigurera riskbaserade principer för villkorsstyrd åtkomst för att framtvinga åtkomstkontroller baserat på användarrisker, inklusive krav som:

  1. Kräv riskreparation (förhandsversion): ID Protection hanterar lämpligt reparationsflöde för alla autentiseringsmetoder.
  2. Kräv lösenordsändring: ID Protection blockerar åtkomsten tills användaren har slutfört en säker lösenordsändring.
  3. Blockera åtkomst: ID-skydd blockerar användaren tills risken åtgärdas.

Policyer som kräver antingen alternativ #1 eller alternativ #2 tvingar slutanvändare att hantera sina risker som användare och låsa upp sig själva.

Kräv riskreparation med Microsoft-hanterad reparation (förhandsversion)

Med den Microsoft-hanterade reparationsriskbaserade principen för villkorsstyrd åtkomst kan du skapa en riskprincip som passar alla autentiseringsmetoder, inklusive lösenordsbaserade och lösenordslösa. Det innebär att när du väljer "Kräv riskreparation" i principens beviljandekontroller hanterar Microsoft Entra ID Protection lämpligt reparationsflöde baserat på det hot som observerats och användarens autentiseringsmetod. Detaljerade anvisningar om hur du aktiverar Microsoft-hanterad reparation finns i Konfigurera riskprinciper.

  • Lösenordsautentisering: Riskfylld användare har en aktiv riskidentifiering, till exempel en läckt autentiseringsuppgift, lösenordsspray eller sessionshistorik som involverar ett komprometterat lösenord. Användaren uppmanas att utföra en säker lösenordsändring och när de har slutförts återkallas deras tidigare sessioner.
  • Lösenordsfri autentisering: Riskfyllda användare har en aktiv riskidentifiering, men det innebär inte ett komprometterat lösenord. Möjliga riskidentifieringar omfattar avvikande token, omöjlig resa eller okända inloggningsegenskaper. Användarens sessioner återkallas och de uppmanas att logga in igen.

Särskilda överväganden

  • Microsoft Entra ID P2 krävs för att använda den Microsoft-hanterade korrigeringsprincipen.
  • Inställningen Kräv riskreparation åtgärdar användarrisken, inte inloggningsrisken.
  • Om en användare tilldelas både en princip med Kräv riskreparation och en annan princip med Kräv lösenordsändring eller Blockera uppstår en konflikt, vilket gör att användaren tvingas igenom alla principer eller blockeras. Se till att varje användare tilldelas endast en policy åt gången.
  • Kräv autentiseringsstyrka och inloggningsfrekvens – Varje gång tillämpas automatiskt på principen av två skäl:
    • Användare måste uppmanas att autentisera igen när deras sessioner har återkallats.
    • Att kräva autentiseringsstyrka säkerställer att lösenordsbaserade och lösenordslösa användare omfattas av principen.
  • Riskabelt arbetsbelastnings-ID stöds inte.
  • Externa användare och gästanvändare måste fortsätta att självreparera via säker lösenordsåterställning eftersom Microsoft Entra-ID inte stöder sessionsåterkallelse för externa användare och gästanvändare.
  • Beviljandekontrollen "Kräv riskreparation" är nu tillgänglig i Azure för amerikanska myndigheter.

Villkorsstyrd åtkomstpolicy baserad på inloggningsrisk

Under varje inloggning analyserar ID Protection hundratals signaler i realtid och beräknar en risknivå för inloggning som representerar sannolikheten för att den angivna autentiseringsbegäran inte är auktoriserad. Den här risknivån skickas sedan till villkorlig åtkomst, där organisationens konfigurerade principer utvärderas. Administratörer kan konfigurera inloggningsriskbaserade principer för villkorsstyrd åtkomst för att framtvinga åtkomstkontroller baserat på inloggningsrisk, inklusive krav som:

  • Blockera åtkomst
  • Tillåt åtkomst
  • Kräv multifaktorautentisering
  • Kräv återautentisering (inloggningsfrekvens)

Om risker identifieras vid en inloggning kan användarna utföra den åtkomstkontroll som krävs, till exempel multifaktorautentisering, för att självreparera och stänga den riskfyllda inloggningshändelsen för att förhindra onödigt brus för administratörer.

Skärmbild av en riskbaserad princip för inloggning med villkorsstyrd åtkomst.

Anteckning

Användare måste ha registrerat en autentiseringsmetod som kan uppfylla Microsoft Entra multifaktorautentisering innan de utlöser en inloggningsriskprincip.

Migrera ID Protection-riskprinciper till villkorsstyrd åtkomst

Om du har den äldre användarriskprincipen eller inloggningsriskprincip aktiverad i ID Protection (tidigare Identity Protection), migrera dem till villkorlig åtkomst.

Varning

De äldre riskprinciperna som konfigurerats i Microsoft Entra ID Protection dras tillbaka den 1 oktober 2026.

Att konfigurera riskprinciper i villkorsstyrd åtkomst ger fördelar som möjligheten att:

  • Hantera åtkomstprinciper på en plats.
  • Använd endast rapportläge och Graph-API:er.
  • Framtvinga inloggningsfrekvens för att kräva omautentisering varje gång.
  • Ge detaljerad åtkomstkontroll som kombinerar risker med andra villkor som plats.
  • Förbättra säkerheten med flera riskbaserade principer som riktar sig till olika användargrupper eller risknivåer.
  • Förbättra diagnostikupplevelsen med information om vilken riskbaserad princip som tillämpas i inloggningsloggar.
  • Stöd för säkerhetskopieringsautentiseringssystemet.

Registreringsprincip för Microsoft Entra-multifaktorautentisering

ID Protection hjälper organisationer att distribuera Microsoft Entra multifaktorautentisering med hjälp av en princip som kräver registrering vid inloggning. Om du aktiverar den här principen ser du till att nya användare i organisationen registrerar sig för MFA första dagen. Multifaktorautentisering är en av självreparationsmetoderna för riskhändelser i ID Protection. Med självreparation kan användarna vidta åtgärder på egen hand för att minska samtalsvolymen för supportavdelningen.

Läs mer om Microsoft Entra multifaktorautentisering i artikeln Hur det fungerar: Microsoft Entra multifaktorautentisering.

Relaterat innehåll

  • Last updated on