常見的條件式存取原則：登入風險型多重要素驗證

大部分的使用者都有可追蹤的正常行為，當他們超出此規範時，允許他們只登入可能會有風險。 您可能想要封鎖該使用者，或可能只是要求他們執行多重要素驗證，以證明他們確實是他們所說的人。

登入風險表示特定的驗證要求未獲身分識別擁有者授權的可能性。 具有 Microsoft Entra ID P2 授權的組織可以建立條件式存取原則，併 入 Microsoft Entra ID Protection 登入風險偵測。

有兩個位置可以設定此原則：條件式存取和 Microsoft Entra ID Protection。 使用條件式存取原則的設定是慣用的方法，提供更多內容，包括增強的診斷數據、僅限報表模式整合、圖形 API 支援，以及利用原則中其他條件式存取屬性的能力，例如登入頻率。

登入風險型原則可保護使用者在具風險的會話中註冊 MFA。 如果使用者未註冊 MFA，則會封鎖其具風險的登入，並看到AADSTS53004錯誤。

範本部署

組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。

使用條件式存取原則啟用

1. 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 [保護>條件式存取]。
3. 選取 [ 建立新原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者或工作負載身分識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或急用帳戶。
6. 在 [目標資源>雲端應用程式>包含] 下，選取 [所有雲端應用程式]。
7. 在 [條件>登入風險] 下，將 [設定] 設定為 [是]。 在 [選取登入風險層級] 底 下，此原則將套用至此原則。
   1. 選取 [高] 和 [中]。
   2. 選取完成。
8. 在 [訪問控制>授與] 底下。
   1. 選取 [ 授與存取權]， [需要多重要素驗證]。
   2. 選取選取。
9. 在 [工作階段] 底下。
   1. 選取 [登入頻率]。
   2. 確定 每次 都已選取。
   3. 選取選取。
10. 確認您的設定，並將 [啟用原則] 設定為 [僅報告]。
11. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用僅限報表模式確認設定之後，可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。

下一步

• 每次都需要重新驗證
• 補救風險並將使用者解除封鎖
• 條件式存取一般原則
• 用戶風險型條件式存取
• 使用僅限條件式存取報表模式來判斷效果
• 使用條件式存取的僅限報表模式來判斷新原則決策的結果。
• 什麼是 Microsoft Entra ID Protection？