分享方式:


需要多重要素驗證,以提升登入風險

大部分使用者都有可追蹤的正常行為,而當他們超出此標準範圍時,光是允許他們登入就可能會有風險。 您可以封鎖該使用者,或是要求他們執行多重要素驗證以證明其宣稱的真實身分。

登入風險表示指定的驗證要求不是身分識別擁有者的機率。 具有 Microsoft Entra ID P2 授權的組織可以建立條件式存取原則,以納入 Microsoft Entra ID Protection 登入風險偵測 (部分機器翻譯)。

登入風險型原則可避免使用者在具風險的工作階段中註冊 MFA。 如果使用者未註冊 MFA,則其有風險的登入將會遭到封鎖,且會出現 AADSTS53004 錯誤。

使用者排除

條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:

  • 緊急存取中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 服務帳戶 和服務 主體,例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別

範本部署

組織可以選擇使用下面所述的步驟來部署此原則,或使用條件式存取範本 (部分機器翻譯)。

透過條件式存取原則啟用

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[條件式存取]
  3. 選取 [新增原則]
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
    3. 選取完成
  6. 在 [雲端應用程式或動作>包含] 下,選取 [所有資源] (先前稱為 [所有雲端應用程式] 。
  7. 在 [條件] > [登入風險] 底下,將 [設定] 設為 [是]
    1. 在 [選取此原則將套用的登入風險層級] 下方,選取 [高] 和 [中]本指引是以 Microsoft 建議為基礎,且各組織適用狀況可能有所不同
    2. 選取完成
  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]
    1. 選取 [需要驗證強度],然後從清單中選取內 建的多重要素驗證 驗證強度。
    2. 選取選取
  9. 在 [工作階段] 下。
    1. 選取 [登入頻率]。
    2. 確定已選取 [每次]
    3. 選取選取
  10. 確認您的設定,並將 [啟用原則] 設為 [報告專用]
  11. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]

無密碼案例

對於採用 無密碼驗證方法 的組織,請進行下列變更:

更新無密碼登入風險原則

  1. 在 [使用者] 底下
    1. 包括,選取 [ 使用者和群組 ],並以您的無密碼用戶為目標。
  2. 在 [選取要套用此原則的登入風險層級] 下,選取 []。
  3. 在 [存取>] 底下[封鎖無密碼使用者的存取]。

提示

部署無密碼方法時,您可能需要有兩個原則一段時間。

  • 一個允許自我補救那些不使用無密碼方法的人。
  • 另一個封鎖高風險無密碼使用者。

補救和解除封鎖無密碼登入風險

  1. 需要系統管理員 調查和補救 任何風險。
  2. 解除封鎖使用者。