Microsoft Entra ID Protection 和條件式存取的自我補救體驗
使用 Microsoft Entra ID Protection 和條件式存取,您可以:
- 要求用戶註冊 Microsoft Entra 多重要素驗證
- 自動補救有風險的登入和遭入侵的使用者
- 在特定情況下封鎖使用者。
整合使用者和登入風險的條件式存取原則會影響使用者的登入體驗。 允許用戶註冊及使用 Microsoft Entra 多重要素驗證和自助式密碼重設等工具,可能會降低影響。 這些工具以及適當的原則選擇可在使用者需要時提供自我補救選項,同時仍強制執行強式安全性控制。
多重要素驗證註冊
當系統管理員啟用需要 Microsoft Entra 多重要素驗證註冊的 Identity Protection 原則時,可確保用戶未來可以使用 Microsoft Entra 多重要素驗證進行自我補救。 設定此原則可為您的使用者提供 14 天的期間,讓他們可以選擇註冊,並在最後強制註冊。
註冊中斷
在登入任何 Microsoft Entra 整合式應用程式時,使用者會收到設定多重要素驗證帳戶之需求的相關通知。 對於具有新裝置的新使用者,也會在 Windows 全新體驗中觸發此原則。
完成註冊 Microsoft Entra 多重要素驗證並完成登入的引導式步驟。
風險自我補救
當系統管理員設定風險型條件式存取原則時,受影響的使用者會在達到設定的風險層級時中斷。 如果系統管理員允許使用多重要素驗證進行自我補救,此程式會以一般多重要素驗證提示的形式向用戶顯示。
如果用戶能夠完成多重要素驗證,則會補救其風險,而且可以登入。
如果使用者面臨風險,不只是登入,系統管理員還可以在條件式存取中設定用戶風險原則,除了執行多重要素驗證之外,還需要變更密碼。 在此情況下,使用者會看到下列額外畫面。
具風險的登入系統管理員解除封鎖
管理員 istrators 可能會根據用戶的風險層級選擇在登入時封鎖使用者。 若要解除封鎖,終端用戶必須連絡其IT人員,或者他們可以嘗試從熟悉的位置或裝置登入。 在此情況下,自我補救不是選項。
IT 人員可以遵循解除封鎖使用者一節中的指示,讓使用者重新登入。
高風險技術人員
如果您的組織有委派存取權給另一個租用戶的使用者,而且他們觸發高風險,他們可能會遭到封鎖而無法登入這些其他租使用者。 例如:
- 組織具有受控服務提供者(MSP)或雲端解決方案提供者(CSP),負責設定其雲端環境。
- 其中一個 MSP 技術人員認證會外洩,並觸發高風險。 該技術人員無法登入其他租使用者。
- 如果主租使用者啟用適當原則,需要對高風險用戶進行密碼變更,或針對有風險的用戶進行 MFA,技術人員可以自行修復並登入。
- 如果主租使用者未啟用自我補救原則,則技術人員主租使用者中的系統管理員必須 補救風險。