規劃 Identity Protection 部署

Microsoft Entra ID Protection 會偵測身分識別型風險、報告風險，並允許系統管理員調查並補救這些風險，以確保組織的安全。 風險可以進一步饋送至條件式存取之類的工具，以做出存取決策，或送回安全性資訊和事件管理 （SIEM） 工具，以進行進一步調查。

此部署計畫延伸條件式存取部署計畫中 引進 的概念。

必要條件

• 具有 Microsoft Entra ID P2 或啟用試用版授權的工作 Microsoft Entra 租使用者。 如有需要， 請免費 建立一個。
  • 需要 Microsoft Entra ID P2，才能在條件式存取原則中包含 Identity Protection 風險。
• 與 Identity Protection 互動的管理員角色指派必須視他們執行的工作而定，擁有下列一或多個角色指派。 若要遵循 最低許可權 零信任原則，請考慮使用 Privileged Identity Management （PIM） 來即時啟用特殊許可權角色指派。
  • 讀取 Identity Protection 和條件式存取原則和設定
    • 安全性讀取者
    • 全域讀取器
  • 管理 Identity Protection
    • 安全性操作員
    • 安全性系統管理員
  • 建立或修改條件式存取原則
    • 條件式存取系統管理員
    • 安全性系統管理員
• 測試使用者（非系統管理員）可讓您在部署到真實使用者之前，確認原則如預期般運作。 如果您需要建立使用者，請參閱 快速入門：將新使用者新增至 Microsoft Entra ID 。
• 非管理員使用者所屬的群組。 如果您需要建立群組，請參閱 在 Microsoft Entra ID 中建立群組和新增成員。

包含正確的專案關係人

當技術專案失敗時，通常會因為對影響、結果和責任的預期不相符而這麼做。 若要避免這些陷阱，請藉由記錄專案關係人、其專案投入和責任，確定您參與專案的正確專案關係人，以及專案中的專案關係人角色已充分瞭解。

通訊變更

通訊對於任何新功能的成功至關重要。 您應該主動與使用者溝通其 體驗 變更方式、變更時，以及如何在遇到問題時取得支援。

步驟 1：檢閱現有的報告

請務必先檢閱 Identity Protection 報告 ， 再部署以風險為基礎的條件式存取原則。 此檢閱可讓您調查您可能錯過的現有可疑行為，並在您判斷這些使用者沒有風險時將其關閉或確認為安全。

• 調查風險偵測
• 補救風險並將使用者解除封鎖
• 使用 Microsoft Graph PowerShell 進行大量變更

為了提高效率，建議您允許使用者透過步驟 3 中 討論的原則進行自我補救。

步驟 2：規劃條件式存取風險原則

Identity Protection 會將風險訊號傳送至條件式存取，以做出決策並強制執行組織原則，例如要求多重要素驗證或密碼變更。 在建立原則之前，組織應該規劃數個專案。

原則排除專案

條件式存取原則是功能強大的工具，建議您從您的原則中排除下列帳戶：

• 緊急存取或急用帳戶，以防止整個租用戶帳戶鎖定。 在不太可能的情況下，所有系統管理員都會鎖定您的租使用者，您的緊急存取系統管理帳戶可用來登入租使用者，以採取復原存取權的步驟。
  • 如需詳細資訊，請參閱管理 Microsoft Entra ID 中的緊急存取帳戶一文 。
• [服務帳戶] 和 [服務主體]，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未系結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們，允許以程式設計方式存取應用程式，但也可用來登入系統以進行系統管理。 請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶，暫時解決此問題。

多重要素驗證

不過，若要讓使用者自行補救風險，他們必須先註冊 Microsoft Entra 多重要素驗證，才能變得有風險。 如需詳細資訊，請參閱規劃 Microsoft Entra 多重要素驗證部署 一文 。

已知網路位置

請務必在條件式存取中設定具名位置，並將 VPN 範圍新增至 適用於雲端的 Defender Apps 。 來自具名位置的登入，標示為受信任或已知，可改善 Microsoft Entra ID Protection 風險計算的正確性。 當使用者從標示為受信任或已知的位置進行驗證時，這些登入會降低使用者的風險。 這種做法可減少環境中某些偵測的誤判。

僅限報表模式

僅限報表模式 是條件式存取原則狀態，可讓系統管理員先評估條件式存取原則的效果，再在其環境中強制執行它們。

步驟 3：設定您的原則

Identity Protection MFA 註冊原則

使用 Identity Protection 多重要素驗證註冊原則，協助您的使用者在需要使用 Microsoft Entra 多重要素驗證之前先註冊。 請遵循如何：設定 Microsoft Entra 多重要素驗證註冊原則 一文 中的步驟來啟用此原則。

條件式存取原則

登入風險 - 大部分的使用者都有可追蹤的正常行為，當他們超出此規範時，允許他們只登入可能會有風險。 您可能想要封鎖該使用者，或可能只是要求他們執行多重要素驗證，以證明他們確實是他們所說的人。 您可能只想將這些原則範圍限定為系統管理員。

使用者風險 - Microsoft 與研究人員、執法部門、Microsoft 的各種安全性小組合作，以及其他受信任的來源，以尋找洩露的使用者名稱和密碼組。 偵測到這些易受攻擊的使用者時，建議您要求使用者執行多重要素驗證，然後重設其密碼。

設定和啟用風險原則 一文 提供建立條件式存取原則以解決這些風險的指引。

步驟 4：監視和持續作業需求

電子郵件通知

啟用通知 ，以便在使用者標示為有風險時回應，以便立即開始調查。 您也可以設定每週摘要電子郵件，讓您瞭解該周的風險概觀。

監視和調查

Identity Protection 活 頁簿 可協助監視和尋找租使用者中的模式。 監視此活頁簿是否有趨勢，以及條件式存取報表模式結果，以查看是否需要進行任何變更，例如，新增至具名位置。

適用於雲端的 Microsoft Defender Apps 提供調查架構組織可作為起點。 如需詳細資訊，請參閱如何調查異常偵測警示 一文 。

您也可以使用 Identity Protection API 將 風險資訊 匯出至其他工具，讓安全性小組可以監視和警示風險事件。

在測試期間，您可能會想要 模擬一些威脅 來測試調查程式。

下一步

什麼是風險？ (機器翻譯)