規劃標識碼保護部署

Microsoft Entra ID Protection 會偵測身分識別型風險、報告風險，並讓系統管理員調查並補救這些風險，以保護組織的安全。 風險可以進一步饋送至條件式存取之類的工具，以做出存取決策，或送回安全性資訊和事件管理 （SIEM） 工具，以進行進一步調查。

此部署計劃延伸條件式存取部署計劃中引進的概念。

必要條件

• 具有 Microsoft Entra ID P2 或啟用試用版授權的工作Microsoft Entra 租使用者。 如有需要，請建立免費帳戶。
• 與 Identity Protection 互動的系統管理員必須有下列一或多個角色指派，視他們執行的工作而定。 若要遵循最低許可權 零信任 原則，請考慮使用 Privileged Identity Management （PIM） 來即時啟用特殊許可權角色指派。
  • 讀取 Identity Protection 和條件式存取原則和設定
    • 安全性讀取者
    • 全域讀取者
  • 管理 Identity Protection
    • 安全性操作員
    • 安全性系統管理員
  • 建立或修改條件式存取原則
    • 條件式存取系統管理員
    • 安全性系統管理員
• 不是系統管理員的測試使用者，在部署到真實使用者之前，確認原則如預期般運作。 如果您需要建立使用者，請參閱快速入門：將新使用者新增至 Microsoft Entra ID。
• 使用者所屬的群組。 如果您需要建立群組，請參閱 建立群組，並在 entra ID Microsoft新增成員。

包含正確的專案關係人

當技術項目失敗時，通常會因為對影響、結果和責任的預期不相符而這麼做。 若要避免這些陷阱，請藉由記錄項目關係人、其專案投入和責任，確定您參與專案的正確項目關係人，以及專案中的項目關係人角色已充分瞭解。

通訊變更

通訊對於任何新功能的成功至關重要。 您應該主動與使用者溝通其 體驗 變更方式、變更時，以及如何在遇到問題時取得支援。

步驟 1：檢閱現有的報告

請務必先檢閱 Identity Protection 報告，再部署以風險為基礎的條件式存取原則。 此檢閱可讓您調查任何現有的可疑行為。 如果您選擇關閉風險，或確認這些使用者是否安全，如果您判斷這些用戶沒有風險。

• 調查風險偵測
• 補救風險並將使用者解除封鎖
• 使用 Microsoft Graph PowerShell 進行大量變更

為了提高效率，建議您允許使用者透過步驟 3 中討論的原則進行自我補救。

步驟 2：規劃條件式存取風險原則

Identity Protection 會將風險訊號傳送至條件式存取，以做出決策並強制執行組織原則，例如要求多重要素驗證或密碼變更。 在建立原則之前，組織應該規劃數個專案。

原則排除專案

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取或急用帳戶，以防止整個租用戶帳戶鎖定。 雖然不太可能發生，但如果所有管理員都遭到鎖定而無法使用租用戶，緊急存取系統管理帳戶就可以用來登入租用戶，以採取存取權復原步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
• [服務帳戶] 和 [服務主體]，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶，暫時解決此問題。

多重要素驗證

不過，若要讓使用者自行補救風險，他們必須先註冊Microsoft Entra 多重要素驗證，才能變得有風險。 如需詳細資訊，請參閱規劃Microsoft Entra 多重要素驗證部署一文。

已知網路位置

請務必在條件式存取中設定具名位置，並將 VPN 範圍新增至 適用於雲端的 Defender Apps。 來自具名位置的登入，標示為受信任或已知，可改善Microsoft Entra ID Protection 風險計算的正確性。 當使用者從標示為受信任或已知的位置進行驗證時，這些登入會降低用戶的風險。 這種做法可減少環境中某些偵測的誤判。

僅限報表模式

僅限報表模式 是條件式存取原則狀態，可讓系統管理員先評估條件式存取原則的效果，再在其環境中強制執行它們。

步驟 3：設定您的原則

Identity Protection MFA 註冊原則

使用 Identity Protection 多重要素驗證註冊原則，協助您的使用者先註冊Microsoft Entra 多重要素驗證，再使用。 請遵循如何：設定Microsoft Entra 多重要素驗證註冊原則一文中的步驟來啟用此原則。

條件式存取原則

登入風險 - 大部分的使用者都有可追蹤的正常行為，當他們超出此規範時，允許他們只登入可能會有風險。 您可能想要封鎖該使用者，或要求他們執行多重要素驗證，以證明他們真的是他們所說的身分。 首先，將這些原則的範圍設定為使用者的子集。

用戶風險 - Microsoft與研究人員、執法部門、Microsoft的各種安全性小組合作，以及其他受信任的來源，以尋找洩露的使用者名稱和密碼組。 偵測到這些易受攻擊的使用者時，建議您要求使用者執行多重要素驗證，然後重設其密碼。

設定和啟用風險原則一文提供建立條件式存取原則以解決這些風險的指引。

步驟 4：監視和持續作業需求

電子郵件通知

啟用通知 ，以便在用戶標示為有風險時回應，以便立即開始調查。 您也可以設定每周摘要電子郵件，讓您了解該周的風險概觀。

監視和調查

Identity Protection 活 頁簿 可協助監視和尋找租使用者中的模式。 監視此活頁簿是否有趨勢，以及條件式存取報表模式結果，以查看是否需要進行任何變更，例如，新增至具名位置。

適用於雲端的 Microsoft Defender Apps 提供調查架構組織可作為起點。 如需詳細資訊，請參閱如何調查異常偵測警示一文。

您也可以使用 Identity Protection API 將 風險資訊 匯出至其他工具，讓安全性小組可以監視和警示風險事件。

在測試期間，您可能會想要 模擬一些威脅 來測試調查程式。

下一步

什麼是風險？ (機器翻譯)