設定及啟用風險原則

  • 發行項

如上一篇文章所瞭解, 風險型存取原則中,您可以設定的 Microsoft Entra 條件式存取中有兩種類型的風險原則。 您可以使用這些原則,將風險的回應自動化,讓使用者在偵測到風險時進行自我補救:

  • 登入風險原則
  • 使用者風險原則

Screenshot of a Conditional Access policy showing risk as conditions.

選擇可接受的風險層級

組織必須決定他們想要要求訪問控制以平衡用戶體驗和安全性狀態的風險層級。

選擇在高風險層級套用訪問控制可減少觸發原則的次數,並將使用者的摩擦降到最低。 不過,它會排除 原則中的低中風險 ,這可能不會阻止攻擊者利用遭入侵的身分識別。 選取 [低風險層級] 以要求訪問控制引進更多用戶中斷。

Identity Protection 會在某些風險偵測中使用已 設定的信任網路位置 ,以減少誤判。

下列原則設定包括 登入頻率會話控件 ,需要對有風險的使用者和登入進行重新驗證。

風險補救

組織可以選擇在偵測到風險時封鎖存取。 封鎖有時會阻止合法使用者執行所需的動作。 更好的解決方案是使用 Microsoft Entra 多重要素驗證和安全密碼變更允許自我補救。

警告

用戶必須先註冊 Microsoft Entra 多重要素驗證,才能面對需要補救的情況。 針對從內部部署同步至雲端的混合式使用者,密碼回寫必須已啟用。 未註冊的使用者會遭到封鎖,而且需要系統管理員介入。

密碼變更(我知道我的密碼,並想要將其變更為新的密碼),在有風險的用戶原則補救流程之外,不符合安全密碼變更的需求。

Microsoft 的建議

Microsoft 建議下列風險原則設定來保護貴組織:

  • 用戶風險原則
    • 當用戶風險層級為 [高] 時,需要安全密碼變更。 用戶必須先進行 Microsoft Entra 多重要素驗證,才能建立具有密碼回寫的新密碼,以補救其風險。
  • 登入風險原則
    • 登入風險層級為 度或 時,需要 Microsoft Entra 多重要素驗證,讓使用者使用其中一種已註冊的驗證方法來證明其身分,並補救登入風險。

當風險等級較低時,要求訪問控制會產生比中或高更多的摩擦和用戶中斷。 選擇封鎖存取,而不是允許自我補救選項,例如安全密碼變更和多重要素驗證,更會影響您的使用者和系統管理員。 設定原則時,權衡這些選擇。

排除項目

原則允許排除使用者,例如您的 緊急存取權或斷層系統管理員帳戶。 組織可能需要根據帳戶的使用方式,從特定原則中排除其他帳戶。 應定期檢閱排除專案,以查看其是否仍然適用。

啟用原則

組織可以選擇使用下列步驟或使用 條件式存取範本,在條件式存取中部署風險型原則。

在組織啟用補救原則之前,他們應該 調查補救 任何作用中的風險。

條件式存取中的用戶風險原則

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取 [新增原則]
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
    3. 選取完成
  6. 在 [雲端應用程式或動作]>[包含] 下,選取 [所有雲端應用程式]
  7. 在 [條件>用戶風險],將 [設定] 設定為 [是]。
    1. 在 [ 設定強制執行原則所需的用戶風險等級] 下,選取 [ ]。 (本指南是以 Microsoft 建議為基礎,且可能針對每個組織而言可能不同)
    2. 選取完成
  8. 在 [訪問控制>授與] 底下。
    1. 選取 [ 授與存取權]、 [需要多重要素驗證 ] 和 [需要密碼變更]。
    2. 選取選取
  9. 在 [工作階段] 底下
    1. 選取 [登入頻率]。
    2. 確定 每次 都已選取。
    3. 選取選取
  10. 確認您的設定,並將 [啟用原則] 設定[僅報告]。
  11. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。

條件式存取中的登入風險原則

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取 [新增原則]
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
    3. 選取完成
  6. 在 [雲端應用程式或動作]>[包含] 下,選取 [所有雲端應用程式]
  7. 在 [條件>登入風險] 下,將 [設定] 設定為 [是]。 在 [選取登入風險層級] 底 下,此原則將套用至此原則。 (本指南是以 Microsoft 建議為基礎,且可能針對每個組織而言可能不同)
    1. 選取 [高] 和 []。
    2. 選取完成
  8. 在 [訪問控制>授與] 底下。
    1. 選取 [ 授與存取權], [需要多重要素驗證]。
    2. 選取選取
  9. 在 [工作階段] 底下
    1. 選取 [登入頻率]。
    2. 確定 每次 都已選取。
    3. 選取選取
  10. 確認您的設定,並將 [啟用原則] 設定[僅報告]。
  11. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。

將風險原則遷移至條件式存取

警告

Microsoft Entra ID Protection 中設定的舊版風險原則將於 2026 年 10 月 1 日淘汰。

如果您在 Microsoft Entra ID 中啟用風險原則,您應該計劃將其遷移至條件式存取:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

移轉至條件式存取

  1. 在僅限報表模式的條件式存取中,建立對等的用戶風險型以風險為基礎的 原則。 您可以使用先前的步驟建立原則,或根據 Microsoft 的建議和組織需求使用 條件式存取範本
    1. 請確定新的條件式存取風險原則會如預期般運作,方法是在僅限報表模式測試。
  2. 啟用 新的條件式存取風險原則。 您可以選擇讓這兩個原則並存執行,以確認新原則如預期般運作,再關閉標識符保護風險原則。
    1. 流覽回 [保護>條件式存取]。
    2. 選取此新原則加以編輯。
    3. 將 [啟用原則] 設定[開啟] 以啟用原則
  3. 停用 標識碼保護中的舊風險原則。
    1. 流覽至 [保護身分識別保護>>] 選取 [用戶風險] 或 [登入風險原則]。
    2. 將 [強制執行原則] 設定[已停用]
  4. 如有需要,請在條件式存取建立其他風險原則。

下一步