設定及啟用風險原則

您可以在 Microsoft Entra 條件式存取中設定兩種類型的風險原則。 您可以使用這些原則將風險的回應自動化，讓使用者在偵測到風險時進行自我補救：

• 使用者風險原則
• 登入風險原則

警告

不要在同一條件存取政策中同時列出登入風險與使用者風險條件。 為每種風險狀況制定獨立保單。

先決條件

• 需要Microsoft Entra ID P2 或 Microsoft Entra Suite 授權，才能完整存取 Microsoft Entra ID Protection 功能。
  • 如需每個授權層功能的詳細清單，請參閱 什麼是 Microsoft Entra ID Protection。
• 條件式存取系統管理員角色是建立或編輯條件式存取原則所需的最低特殊許可權角色。

選擇可接受的風險層級

組織必須決定希望要求存取控制的風險等級，同時在安全態勢與使用者生產力間取得平衡。

選擇在存取控制上套用 [高] 風險層級可減少觸發原則的次數，並將對使用者的阻礙降至最低。 然而，該政策排除低和中度風險，這可能無法阻止攻擊者利用遭到盜用的身份識別。 選擇 中等 及/或 低 風險等級通常會引入更多使用者中斷。

在某些風險偵測中，Microsoft Entra ID Protection 會使用設定的受信任網路位置，以減少誤報。

風險補救

組織可以選擇在偵測到風險時封鎖存取。 封鎖有時會阻止合法的使用者執行所需的工作。 更好的解決方案是設定使用者和登入風險型條件式存取原則，以允許使用者進行自我補救。

警告

使用者必須在面臨需要補救的情況之前，先註冊 Microsoft Entra 多重要素驗證。 若為從內部部署同步的混合式使用者，則必須啟用密碼回寫。 未註冊的使用者會遭到封鎖，且需要管理員介入。

密碼變更（我知道我的密碼，而且想要將其變更為新的密碼），在有風險的用戶原則補救流程之外，不符合安全密碼變更的需求。

Microsoft 建議

Microsoft 建議使用下列風險原則設定來保護貴組織：

使用者風險政策

當使用者風險等級為高時，組織應選擇「要求風險修復」。 對於無密碼使用者，Microsoft Entra 會撤銷使用者的會話，因此必須重新驗證。 對於有密碼的使用者，在成功完成 Microsoft Entra 多重驗證後，會被提示完成安全密碼更改。

當選擇 「需要風險修復」 時，會自動套用兩個設定：

• 「要求認證強度 」會自動被選為授權控制。
• 登入頻率 - 每次 都會自動應用為會話控制。

登入風險原則

當登入風險等級為 中 等或 高時，要求 Microsoft Entra 多重驗證。 此配置允許使用者透過使用註冊的認證方式證明身份，從而解決登入風險。

我們也建議加入 登入頻率會話控制 功能，要求對風險較高的登入重新認證。成功的「強認證」通常是透過多重驗證或無密碼驗證，是自我修復登入風險的唯一途徑，無論風險等級如何。

啟用政策

組織可以選擇使用下列步驟來部署條件式存取中的風險型原則，或使用條件式存取範本。

在組織啟用這些原則之前，應採取行動來調查並補救任何作用中的風險。

保單排除條款

條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶：

• 緊急存取 或 緊急破解 帳戶，以防止因政策設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下，您的緊急存取系統管理帳戶可用來登入和復原存取權。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳號和服務主體帳號，例如 Microsoft Entra Connect 的同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式，但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請將其取代 為受控識別。

條件式存取中的使用者風險政策

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 Entra ID>條件式存取。
3. 選取 新增政策。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 中，選取 [所有使用者]。
   2. 在 排除 下，選取 使用者和群組，然後選擇您組織的緊急存取或急用帳號。
   3. 選取完成。
6. 在 [目標資源>包含] 底下，選取 [所有資源] （先前稱為 [所有雲端應用程式] 。
7. 在 [條件]> [使用者風險] 底下，將 [設定] 設為 [是]。
   1. 在 [設定原則強制執行所需的使用者風險等級] 下，選取 [高]。 本指引是以 Microsoft 建議為基礎，且各組織適用狀況可能有所不同
   2. 選取完成。
8. 在 [存取控制]>[授權] 下，選取 [授權存取]。
   1. 選擇 「需要風險修復」。 「 要求認證強度 許可權控管會自動被選取。」 選擇適合您組織的強度。
   2. 選擇選擇。
9. 在 會話中，登入頻率：每次 都會自動套用為會話控制，且必須強制執行。
10. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
11. 選取 [ 建立 ] 以建立您的原則。

使用 原則影響或僅限報告模式確認您的設定之後，請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。

條件式存取中的登入風險原則

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 Entra ID>條件式存取。
3. 選取 新增政策。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 中，選取 [所有使用者]。
   2. 在 排除 下，選取 使用者和群組，然後選擇您組織的緊急存取或急用帳號。
   3. 選取完成。
6. 在 雲端應用程式或動作包括 下，選取 所有資源（先前稱為『所有雲端應用程式』）。
7. 在 [條件]> [登入風險] 底下，將 [設定] 設為 [是]。
   1. 在 [選取此原則將套用的登入風險層級] 下方，選取 [高] 和 [中]。 本指引是以 Microsoft 建議為基礎，且各組織適用狀況可能有所不同
   2. 選取完成。
8. 在 [存取控制]>[授權] 下，選取 [授權存取]。
   1. 選取 [需要驗證強度]，然後從清單中選取內 建的多重要素驗證 驗證強度。
   2. 選擇選擇。
9. 在 [工作階段] 下。
   1. 選取 [登入頻率]。
   2. 確定已選取 [每次]。
   3. 選擇選擇。
10. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
11. 選取建立以建立並啟用您的原則。

使用 原則影響或僅限報告模式確認您的設定之後，請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。

無密碼案例

對於採用 無密碼驗證方法 的組織，請進行下列變更：

更新無密碼登入風險原則

1. 在使用者底下：
   1. 包括，選取 [ 使用者和群組 ]，並鎖定無密碼用戶。
   2. 在 排除 下，選取 使用者和群組，然後選擇您組織的緊急存取或急用帳號。
   3. 選取完成。
2. 在 [雲端應用程式或動作>包含] 中，選取 [所有資源]（先前稱為「所有雲端應用程式」）。
3. 在 [條件]> [登入風險] 底下，將 [設定] 設為 [是]。
   1. 在 [選取此原則將套用的登入風險層級] 下方，選取 [高] 和 [中]。 如需風險層級的詳細資訊，請參閱 選擇可接受的風險層級。
   2. 選取完成。
4. 在 [存取控制]>[授權] 下，選取 [授權存取]。
   1. 選取 驗證強度，然後根據目標使用者擁有的方法，選取內建的 無密碼 MFA 或 防詐騙 MFA。
   2. 選擇選擇。
5. 在 會話下：
   1. 選取 [登入頻率]。
   2. 確定已選取 [每次]。
   3. 選擇選擇。

將風險原則移轉至條件式存取

如果您在 Microsoft Entra ID Protection 中啟用了舊版風險原則，則應計劃將其移轉至條件式存取：

警告

Microsoft Entra ID Protection 中設定的舊版風險原則將於 2026 年 10 月 1 日淘汰。

移轉至條件式存取

1. 在報告專用模式的條件式存取中，建立等效的使用者風險為基礎和登入風險為基礎的原則。 您可以根據 Microsoft 的建議和組織需求，透過前述步驟或使用條件式存取範本來建立原則。
   1. 管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
2. [停用] ID Protection 中的舊風險原則。
   1. 流覽至 ID 保護>儀錶板> 選取 用戶風險 或 登入風險 策略。
   2. 將 [強制執行原則] 設為 [已停用]。
3. 如有需要，請在條件式存取中建立其他風險原則。

相關內容

• 啟用 Microsoft Entra 多重要素驗證註冊原則
• 什麼是風險
• 調查風險偵測
• 模擬風險偵測