通过

基于风险的访问策略

当检测到登录或检测到用户面临风险时,可以应用基于风险的访问控制策略来保护组织。

基于风险的条件访问策略概念示意图。

Microsoft Entra 条件访问提供由 Microsoft Entra ID 保护信号提供支持的两个特定于用户的风险条件: 登录风险用户风险。 组织可以通过配置这两种风险条件并选择一种访问控制方法来创建基于风险的条件访问策略。 在每次登录期间,ID 保护都会将检测到的风险级别发送到条件访问,如果满足策略条件,则将应用基于风险的策略。

登录风险级别中等或较高时,可能需要多重身份验证。 仅在此级别会提示用户。

展示带有自我修正功能的基于风险的条件访问策略概念图。

之前的示例还演示了基于风险的策略的主要优点:“自动风险修正”。 当用户成功完成所需的访问控制(如安全密码更改)时,将修正其风险。 该登录会话和用户帐户不再面临风险,管理员无需执行任何作。

允许用户使用此过程进行自我修正可显著减少管理员的风险调查和修正负担,同时保护组织免受安全威胁。 有关风险修正的详细信息,请参阅修正风险和解除阻止用户一文。

基于用户风险的条件访问策略

ID 保护将分析有关用户帐户的信号,并根据用户被盗用的概率计算风险分数。 如果用户有风险的用户登录行为或凭据泄露,ID 保护会使用这些信号来计算用户风险级别。 管理员可以配置基于风险的条件访问策略,以基于用户风险强制实施访问控制,包括以下要求:

  1. 需要风险缓解(预览):ID 保护管理所有身份验证方法的适当缓解流程。
  2. 需要密码更改:ID 保护会阻止访问,直到用户完成安全密码更改。
  3. 阻止访问:ID 保护会阻止用户,直到解决风险。

要求 #1 或 #2 的策略强制最终用户修正其用户风险并解除对自己的阻止。

要求使用由Microsoft管理的修复进行风险修复(预览版)

通过 Microsoft 管理的补救风险为基础的条件访问策略,可以编写一个风险策略,该策略适用于所有身份验证方法,包括基于密码和无密码的方法。 这意味着,在策略的授权控制中选择“需要风险修正”时,Microsoft Entra ID Protection 会根据观察到的威胁和用户的身份验证方法管理适当的修正流。 有关如何启用由Microsoft管理的修复的详细步骤,请参阅‘配置风险策略’

  • 密码身份验证:有风险的用户具有活动风险检测,例如泄露的凭据、密码喷射或涉及已泄露密码的会话历史记录。 系统会提示用户执行安全密码更改,完成后,将撤销其以前的会话。
  • 无密码身份验证:风险用户有一个活跃的风险检测,但该风险检测不涉及泄露的密码。 可能的风险检测包括异常令牌、不可能的旅行或不熟悉的登录属性。 将撤销用户的会话,并提示他们再次登录。

特殊注意事项

  • 要使用Microsoft管理的修正策略,需要具有Entra ID P2
  • “需要风险修正”设置可修正用户风险,而不是登录风险。
  • 如果将某个用户分配到 具有“需要风险修正 ”的策略和“ 需要密码更改 ”或 “阻止”的另一个策略,则会发生冲突,导致用户强制通过所有策略或被阻止。 确保每个用户一次只分配到一个此类策略。
  • 要求身份验证强度登录频率 - 每次 自动应用于策略,原因有两个:
    • 在撤销会话后,需要提示用户重新进行身份验证。
    • 要求身份验证强度可确保策略涵盖基于密码和无密码的用户。
  • 不支持高风险工作负荷ID。
  • 外部用户和来宾用户必须继续通过安全密码重置进行自我修正,因为Microsoft Entra ID 不支持外部用户和来宾用户的会话吊销。
  • “需要风险修正”授权控制现已在 Azure 中面向美国政府提供。

基于登录风险的条件访问策略

在每次登录期间,ID 保护都会实时分析数百个信号,并计算登录风险级别,该级别表示给定身份验证请求未获授权的概率。 此风险级别会被发送至条件访问,在此阶段将评估组织已配置的策略。 管理员可以配置基于登录风险的条件访问策略,以基于登录风险强制实施访问控制,包括以下要求:

  • 阻止访问
  • 允许访问
  • 要求多重身份验证
  • 需要重新身份验证(登录频率)

如果在登录时检测到风险,用户可以执行所需的访问控制(例如多重身份验证),以自我修正并关闭有风险的登录事件,从而避免给管理员带来不必要的麻烦。

基于登录风险的条件访问策略的屏幕截图。

注意

用户必须先注册一个身份验证方法,该方法才能满足 Microsoft Entra 多重身份验证,然后再触发登录风险策略。

将 ID 保护风险策略改为条件访问

如果在 ID 保护(以前为标识保护)中启用了旧 用户风险策略登录风险策略请将其迁移到条件访问

警告

Microsoft Entra ID Protection 中配置的旧风险策略将于 2026 年 10 月 1 日停用。

在条件访问中配置风险策略可提供多种优势,包括能够:

  • 在一个位置管理访问策略。
  • 使用仅报告模式和图形 API。
  • 强制实施登录频率,以要求每次重新进行身份验证。
  • 提供精细访问控制,将风险与其他条件(如位置)组合在一起。
  • 通过应用针对不同用户组或风险级别的多个基于风险的策略来增强安全性。
  • 改进诊断体验,在登录日志中详细说明应用了哪些基于风险的策略。
  • 支持备份身份验证系统。

Microsoft Entra 多重身份验证注册策略

ID 保护可帮助组织使用要求在登录时注册的策略推出 Microsoft Entra 多重身份验证。 启用此策略可确保组织中的新用户在其第一天注册 MFA。 在 ID 保护中,多重身份验证是针对风险事件的一种自我修正方法。 用户可以通过自我修复自行采取措施,以减少对帮助台的呼叫量。

在文章中详细了解 Microsoft Entra 多重身份验证, 其工作原理:Microsoft Entra 多重身份验证

相关内容

  • Last updated on