規劃 ID Protection 部署

Microsoft Entra ID Protection 會偵測身分識別型風險、報告風險，並讓系統管理員調查並補救這些風險，以確保組織安全且受到保護。 風險資料可進一步輸入至條件式存取等工具以做出存取決策，或輸入至安全性資訊與事件管理 (SIEM) 工具以進行深入分析與調查。

此部署計劃擴展了條件式存取部署計劃中引進的概念。

必要條件

• 已啟用 Microsoft Entra ID P2 或試用版授權的運作中 Microsoft Entra 租用戶。 如有需要，請建立免費帳戶。
• 與 ID Protection 互動的系統管理員必須具有下列一或多個角色指派，視其執行的工作而定。 若要遵循最低權限的零信任準則，請考慮使用 Privileged Identity Management (PIM) 來啟用 Just-In-Time 特殊權限角色指派。
  • 讀取 ID Protection 與條件式存取原則和設定
    • 安全性讀取者
    • 全域讀取者
  • 管理 ID Protection
    • 安全性操作員
    • 安全性系統管理員
  • 建立或修改條件式存取原則
    • 條件式存取系統管理員
    • 安全性系統管理員
• 測試使用者 (非系統管理員) 用於在部署至實際使用者前，先確認原則的運作符合預期。 若要建立使用者，請參閱快速入門：將新使用者新增至 Microsoft Entra ID。
• 使用者所屬的群組。 若要建立群組，請參閱在 Microsoft Entra ID 中建立群組和新增成員。

包含正確的專案關係人

若技術專案失敗，通常是因為人員對影響、結果與責任抱持不相符的預期而造成。 若要避免這些錯誤，請務必包含正確的專案關係人，並透過記錄專案關係人、其專案投入和責任，使該專案關係人清楚了解其在專案中的角色。

溝通變更

溝通是成功運用所有新功能的關鍵要素。 您應該主動與使用者溝通其體驗的變更方式、變更時間，以及遇到問題時如何取得支援。

步驟 1：檢閱現有的報告

請務必先檢閱《ID Protection 報告》，再部署風險型條件式存取原則。 此檢閱提供調查任何現有可疑行為的機會。 如果您判定這些使用者無危險性，您可以選擇關閉風險，或確認其是否安全。

• 調查風險偵測
• 補救風險並將使用者解除封鎖
• 使用 Microsoft Graph PowerShell 進行大量變更

為了提高效率，建議您允許使用者透過步驟 3 中討論的原則進行自我補救。

步驟 2：規劃條件式存取風險原則

ID Protection 向條件式存取傳送風險訊號、做出決策和強制執行組織原則。 這些原則可能需要使用者執行多重要素驗證或安全密碼變更。 在建立原則之前，組織應該規劃幾個項目。

原則排除項目

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取 或 中斷帳戶 ，以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳戶 和服務 主體，例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

多重要素驗證

為了讓使用者能夠自我補救風險，使用者必須在變成具風險之前，先註冊 Microsoft Entra 多重要素驗證。 如需詳細資訊，請參閱規劃 Microsoft Entra 多重要素驗證部署一文。

已知網路位置

請務必在條件式存取中設定具名位置，並將 VPN 範圍新增至適用於雲端應用程式的 Defender。 來自具名位置 (標示為受信任或已知) 的登入可提高 ID Protection 風險計算的正確性。 在使用者從標示為受信任或已知的位置進行驗證時，這些登入會降低使用者的風險。 這種做法可減少環境中某些偵測的誤判。

報告專用模式

報告專用模式是一種條件式存取原則狀態，可讓系統管理員先評估條件式存取原則的影響，再於環境中強制執行。

步驟 3：設定您的原則

ID Protection MFA 註冊原則

使用 ID Protection 多重要素驗證註冊原則，可協助使用者在需要使用 Microsoft Entra 多重要素驗證之前進行註冊。 請遵循操作說明：設定 Microsoft Entra 多重要素驗證註冊原則一文中的步驟來啟用此原則。

條件式存取原則

登入風險：大部分使用者都有可追蹤的正常行為，若他們超出此標準範圍，光是允許他們登入就可能會有風險。 您可以封鎖該使用者，或要求他們執行多重要素驗證以證明其宣稱的真實身分。 首先，將這些原則的範圍設定為使用者的子集。

使用者風險：Microsoft 與研究人員、執法機關、Microsoft 的各個安全性小組和其他受信任的來源合作，以找出外洩的使用者名稱和密碼配對。 偵測到這些易受攻擊的使用者時，建議您要求使用者執行多重要素驗證，然後重設其密碼。

設定和啟用風險原則一文提供建立條件式存取原則以解決這些風險的指引。

步驟 4：監視和持續作業需求

電子郵件通知

啟用通知，以便在使用者標幟出有風險時做出回應。 這些通知可讓您立即開始調查。 還可以設定每週摘要電子郵件，讓您大致了解該週的風險。

監視和調查

風險型存取原則活頁簿的影響分析可助於系統管理員先瞭解使用者影響，再建立風險型條件式存取原則。

ID Protection 活頁簿可協助監視和尋找租用戶中的模式。 請監視此活頁簿的趨勢，以及條件式存取報告專用模式結果，以查看是否需要進行任何變更，例如，新增至具名位置。

Microsoft Defender for Cloud Apps 提供了組織可用來作為起點的調查架構。 如需詳細資訊，請參閱如何調查異常偵測警示一文。

您也可以使用 ID Protection API 將風險資訊匯出至其他工具，讓安全性小組可以監視風險事件並發出警示。

在測試期間，您可能會想要模擬一些威脅來測試調查流程。

下一步

什麼是風險？ (機器翻譯)