Microsoft Entra ID Protection 和條件式存取的自我補救體驗

  • 發行項

使用 Microsoft Entra ID Protection 和條件式存取,您可以:

  • 要求用戶註冊 Microsoft Entra 多重要素驗證
  • 自動補救有風險的登入和遭入侵的使用者
  • 在特定情況下封鎖使用者。

整合使用者和登入風險的條件式存取原則會影響使用者的登入體驗。 允許用戶註冊及使用 Microsoft Entra 多重要素驗證和自助式密碼重設等工具,可能會降低影響。 這些工具以及適當的原則選擇可在使用者需要時提供自我補救選項,同時仍強制執行強式安全性控制。

多重要素驗證註冊

當系統管理員啟用需要 Microsoft Entra 多重要素驗證註冊的 Identity Protection 原則時,可確保用戶未來可以使用 Microsoft Entra 多重要素驗證進行自我補救。 設定此原則可為您的使用者提供 14 天的期間,讓他們可以選擇註冊,並在最後強制註冊。

註冊中斷

  1. 在登入任何 Microsoft Entra 整合式應用程式時,使用者會收到設定多重要素驗證帳戶之需求的相關通知。 對於具有新裝置的新使用者,也會在 Windows 全新體驗中觸發此原則。

    A screenshot showing the more information required prompt in a browser window.

  2. 完成註冊 Microsoft Entra 多重要素驗證並完成登入的引導式步驟。

風險自我補救

當系統管理員設定風險型條件式存取原則時,受影響的使用者會在達到設定的風險層級時中斷。 如果系統管理員允許使用多重要素驗證進行自我補救,此程式會以一般多重要素驗證提示的形式向用戶顯示。

如果用戶能夠完成多重要素驗證,則會補救其風險,而且可以登入。

A screenshot showing a multifactor authentication prompt at sign in.

如果使用者面臨風險,不只是登入,系統管理員還可以在條件式存取中設定用戶風險原則,除了執行多重要素驗證之外,還需要變更密碼。 在此情況下,使用者會看到下列額外畫面。

A screenshot showing the password change is required prompt when user risk is detected.

具風險的登入系統管理員解除封鎖

管理員 istrators 可能會根據用戶的風險層級選擇在登入時封鎖使用者。 若要解除封鎖,終端用戶必須連絡其IT人員,或者他們可以嘗試從熟悉的位置或裝置登入。 在此情況下,自我補救不是選項。

A screenshot showing your account is blocked screen.

IT 人員可以遵循解除封鎖使用者一節中的指示,讓使用者重新登入。

高風險技術人員

如果您的組織有委派存取權給另一個租用戶的使用者,而且他們觸發高風險,他們可能會遭到封鎖而無法登入這些其他租使用者。 例如:

  1. 組織具有受控服務提供者(MSP)或雲端解決方案提供者(CSP),負責設定其雲端環境。
  2. 其中一個 MSP 技術人員認證會外洩,並觸發高風險。 該技術人員無法登入其他租使用者。
  3. 如果主租使用者啟用適當原則,需要對高風險用戶進行密碼變更,或針對有風險的用戶進行 MFA,技術人員可以自行修復並登入。
    1. 如果主租使用者未啟用自我補救原則,則技術人員主租使用者中的系統管理員必須 補救風險

另請參閱