登入風險型多重要素驗證 - Microsoft Entra ID

大部分的使用者都有可追蹤的正常行為，當他們超出此規範時，允許他們只登入可能會有風險。您可能想要封鎖該使用者，或可能要求他們執行多重要素驗證，以證明他們真的是他們所說的身分。

登入風險代表指定的驗證要求不是身分識別擁有者的機率。具有 Microsoft Entra ID P2 授權的組織可以建立條件式存取原則，併入 Microsoft Entra ID Protection 登入風險偵測。

登入風險型原則可保護使用者在具風險的會話中註冊 MFA。如果使用者未註冊 MFA，則會封鎖其具風險的登入，並看到AADSTS53004錯誤。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

緊急存取或急用帳戶，以防止整個租用戶帳戶鎖定。雖然不太可能發生，但如果所有管理員都遭到鎖定而無法使用租用戶，緊急存取系統管理帳戶就可以用來登入租用戶，以採取存取權復原步驟。
- 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
[服務帳戶] 和 [服務主體]，例如 Microsoft Entra Connect 同步帳戶。服務帳戶是未與任何特定使用者繫結的非互動式帳戶。後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。您可以在基準原則中排除這些特定帳戶，暫時解決此問題。

組織可以選擇使用下列步驟或使用條件式存取範本來部署此原則。

至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[條件式存取]。
選取 [新增原則]。
為您的原則命名。建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
1. 在 [包含] 下，選取 [所有使用者]。
2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或急用帳戶。
3. 選取完成。
在 [雲端應用程式或動作]>[包含] 下，選取 [所有雲端應用程式]。
在 [條件>登入風險] 下，將 [設定] 設定為 [是]。
1. 在 [選取此原則將套用的登入風險層級] 下方，選取 [高] 和 [中]。本指導方針是以 Microsoft 建議為基礎，且可能針對每個組織不同
2. 選取完成。
在 [存取控制]>[授與] 底下。
1. 選取 [ 授與存取權]， [需要多重要素驗證]。
2. 選取選取。
在 [工作階段] 底下。
1. 選取 [登入頻率]。
2. 確定每次都已選取。
3. 選取選取。
確認您的設定，並將 [啟用原則] 設為 [報告專用]。
選取 [建立] 以建立並啟用您的原則。

系統管理員使用僅限報表模式確認設定之後，可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。