共用方式為


規劃 Identity Protection 部署

Microsoft Entra ID Protection 會偵測身分識別型風險、報告風險,並允許系統管理員調查並補救這些風險,以確保組織的安全。 風險可以進一步饋送至條件式存取之類的工具,以做出存取決策,或送回安全性資訊和事件管理 (SIEM) 工具,以進行進一步調查。

Screenshot showing the Identity Protection Overview page showing some risky users and sign-ins.

此部署計畫延伸條件式存取部署計畫中 引進 的概念。

必要條件

包含正確的專案關係人

當技術專案失敗時,通常會因為對影響、結果和責任的預期不相符而這麼做。 若要避免這些陷阱,請藉由記錄專案關係人、其專案投入和責任,確定您參與專案的正確專案關係人,以及專案中的專案關係人角色已充分瞭解。

通訊變更

通訊對於任何新功能的成功至關重要。 您應該主動與使用者溝通其 體驗 變更方式、變更時,以及如何在遇到問題時取得支援。

步驟 1:檢閱現有的報告

請務必先檢閱 Identity Protection 報告 再部署以風險為基礎的條件式存取原則。 此檢閱可讓您調查您可能錯過的現有可疑行為,並在您判斷這些使用者沒有風險時將其關閉或確認為安全。

為了提高效率,建議您允許使用者透過步驟 3 討論的原則進行自我補救。

步驟 2:規劃條件式存取風險原則

Identity Protection 會將風險訊號傳送至條件式存取,以做出決策並強制執行組織原則,例如要求多重要素驗證或密碼變更。 在建立原則之前,組織應該規劃數個專案。

原則排除專案

條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:

  • 緊急存取急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
  • [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未系結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們,允許以程式設計方式存取應用程式,但也可用來登入系統以進行系統管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。

多重要素驗證

不過,若要讓使用者自行補救風險,他們必須先註冊 Microsoft Entra 多重要素驗證,才能變得有風險。 如需詳細資訊,請參閱規劃 Microsoft Entra 多重要素驗證部署 一文

已知網路位置

請務必在條件式存取中設定具名位置,並將 VPN 範圍新增至 適用於雲端的 Defender Apps 。 來自具名位置的登入,標示為受信任或已知,可改善 Microsoft Entra ID Protection 風險計算的正確性。 當使用者從標示為受信任或已知的位置進行驗證時,這些登入會降低使用者的風險。 這種做法可減少環境中某些偵測的誤判。

僅限報表模式

僅限報表模式 是條件式存取原則狀態,可讓系統管理員先評估條件式存取原則的效果,再在其環境中強制執行它們。

步驟 3:設定您的原則

Identity Protection MFA 註冊原則

使用 Identity Protection 多重要素驗證註冊原則,協助您的使用者在需要使用 Microsoft Entra 多重要素驗證之前先註冊。 請遵循如何:設定 Microsoft Entra 多重要素驗證註冊原則 一文 中的步驟來啟用此原則。

條件式存取原則

登入風險 - 大部分的使用者都有可追蹤的正常行為,當他們超出此規範時,允許他們只登入可能會有風險。 您可能想要封鎖該使用者,或可能只是要求他們執行多重要素驗證,以證明他們確實是他們所說的人。 您可能只想將這些原則範圍限定為系統管理員。

使用者風險 - Microsoft 與研究人員、執法部門、Microsoft 的各種安全性小組合作,以及其他受信任的來源,以尋找洩露的使用者名稱和密碼組。 偵測到這些易受攻擊的使用者時,建議您要求使用者執行多重要素驗證,然後重設其密碼。

設定和啟用風險原則 一文 提供建立條件式存取原則以解決這些風險的指引。

步驟 4:監視和持續作業需求

電子郵件通知

啟用通知 ,以便在使用者標示為有風險時回應,以便立即開始調查。 您也可以設定每週摘要電子郵件,讓您瞭解該周的風險概觀。

監視和調查

Identity Protection 活 頁簿 可協助監視和尋找租使用者中的模式。 監視此活頁簿是否有趨勢,以及條件式存取報表模式結果,以查看是否需要進行任何變更,例如,新增至具名位置。

適用於雲端的 Microsoft Defender Apps 提供調查架構組織可作為起點。 如需詳細資訊,請參閱如何調查異常偵測警示 一文

您也可以使用 Identity Protection API 將 風險資訊 匯出至其他工具,讓安全性小組可以監視和警示風險事件。

在測試期間,您可能會想要 模擬一些威脅 來測試調查程式。

下一步

什麼是風險? (機器翻譯)