教學課程：利用使用者登入的風險偵測來觸發 Microsoft Entra 多重要素驗證或密碼變更

若要保護您的使用者，您可以設定會自動因應風險行為的風險型 Microsoft Entra 條件式存取原則。 這些原則可以自動封鎖登入嘗試或要求額外的動作，例如要求安全密碼變更或提示進行 Microsoft Entra 多重要素驗證。 這些原則適用於現有的 Microsoft Entra 條件式存取原則，可作為組織的額外保護層。 使用者雖然不太可能觸發這類原則中的風險行為，但若有人試圖危害您的安全性，組織將會受到保護。

重要

此教學課程將說明系統管理員如何啟用風險型多重要素驗證 (MFA)。

如果您的 IT 小組尚未啟用使用 Microsoft Entra 多重要素驗證的功能，或您在進行單一登入時遇到問題，請與您的技術服務人員聯繫以取得其他協助。

在本教學課程中，您會了解如何：

• 瞭解可用的原則
• 啟用 Microsoft Entra 多重要素驗證註冊
• 啟用風險型密碼變更
• 啟用風險型多重要素驗證
• 測試使用者登入嘗試的風險型原則

必要條件

若要完成本教學課程，您需要下列資源和權限：

• 具有至少已啟用 Microsoft Entra ID P2 或試用版授權的運作中 Microsoft Entra 租用戶。
  • 如有需要，請建立免費帳戶。
• 具有「安全性系統管理員」權限的帳戶。
• 已設定用於自助式密碼重設和 Microsoft Entra 多重要素驗證的 Microsoft Entra ID
  • 如有需要，請完成教學課程以啟用 Microsoft Entra SSPR。
  • 如有需要，請完成教學課程以啟用 Microsoft Entra 多重要素驗證。

Microsoft Entra ID Protection 概觀

Microsoft 每天皆會收集並分析數以兆計的使用者登入嘗試匿名訊號。 這些訊號有助於建置良好使用者登入行為的模式，以及識別可能有風險的登入嘗試。 Microsoft Entra ID Protection 可以檢閱使用者登入嘗試，並在發現可疑行為時採取進一步的動作：

下列某些動作可能會觸發 Microsoft Entra ID Protection 進行風險偵測：

• 認證外洩的使用者。
• 從匿名 IP 位址登入。
• 到達非慣用位置的不可能移動。
• 從受感染的裝置登入。
• 從具有可疑活動的 IP 位址登入。
• 從不熟悉的位置登入。

本文會引導您啟用三個原則來保護使用者，並將對可疑活動的回應自動化。

• 多重要素驗證註冊原則
  • 確定使用者已註冊 Microsoft Entra 多重要素驗證。 如果登入風險原則提示 MFA，使用者必須已註冊 Microsoft Entra 多重要素驗證。
• 使用者風險原則
  • 識別可能已洩露認證的使用者帳戶，並自動回應。 可提示使用者建立新密碼。
• 登入風險原則
  • 識別可疑的登入嘗試，並自動回應。 可提示使用者使用 Microsoft Entra 多重要素驗證提供其他形式的驗證。

當您啟用風險型原則時，您也可以選擇風險層級的閾值 - 低、中或高。 面對可疑的登入事件採取控制，這種彈性可讓您決定因應的積極程度。 Microsoft 建議採用下列原則設定。

如需 Microsoft Entra ID Protection 的詳細資訊，請參閱什麼是 Microsoft Entra ID Protection？

啟用多重要素驗證註冊原則

Microsoft Entra ID Protection 包含預設原則，可協助使用者進行 Microsoft Entra 多重要素驗證註冊。 如果您使用其他原則來保護登入事件，您的使用者必須已註冊 MFA。 此原則啟用時並不會要求使用者在每次登入時執行 MFA。 此原則只會檢查使用者的註冊狀態，並要求他們在必要時預先註冊。

建議針對使用多重要素驗證的使用者啟用此註冊原則。 若要啟用此原則，請完成下列步驟：

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[身分識別保護]>[多重要素驗證註冊原則]。
3. 根據預設，原則會套用至 所有使用者。 如有需要，請選取 [指派]，然後選擇要套用原則的使用者或群組。
4. 在 [控制項] 底下，選取 [存取]。 請確定已核取 [需要 Microsoft Entra 多重要素驗證註冊] 的選項，然後選擇 [選取]。
5. 將 [強制執行原則] 設定為 [開啟]，然後選取 [儲存]。

啟用密碼變更的使用者風險原則

Microsoft 與研究人員、執法機關，Microsoft 的各個安全性小組和其他受信任的來源合作，以找出使用者名稱和密碼的配對。 當其中一個配對符合您環境中的帳戶時，就可以要求進行風險型密碼變更。 此原則和動作會要求使用者必須先更新其密碼才能登入，以確保任何先前公開的認證都不再有效。

若要啟用此原則，請完成下列步驟：

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或急用帳戶。
   3. 選取完成。
6. 在 [雲端應用程式或動作>包含] 下，選取 [所有資源] （先前稱為 [所有雲端應用程式] 。
7. 在 [條件] > [使用者風險] 底下，將 [設定] 設為 [是]。
   1. 在 [設定原則強制執行所需的使用者風險等級] 下，選取 [高]。 本指引是以 Microsoft 建議為基礎，且各組織適用狀況可能有所不同
   2. 選取完成。
8. 在 [存取控制]>[授與] 下，選取 [授與存取權]。
   1. 選取 [需要驗證強度]，然後從清單中選取內 建的多重要素驗證 驗證強度。
   2. 選取 [ 需要變更密碼]。
   3. 選取選取。
9. 在 [工作階段] 下。
   1. 選取 [登入頻率]。
   2. 確定已選取 [每次]。
   3. 選取選取。
10. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
11. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

無密碼案例

對於採用 無密碼驗證方法 的組織，請進行下列變更：

更新無密碼用戶風險原則

1. 在 [使用者] 底下：
   1. 包括，選取 [ 使用者和群組 ]，並以您的無密碼用戶為目標。
2. 在 [存取>] 底下[封鎖無密碼使用者的存取]。

提示

部署無密碼方法時，您可能需要有兩個原則一段時間。

• 一個允許自我補救那些不使用無密碼方法的人。
• 另一個封鎖高風險無密碼使用者。

補救和解除封鎖無密碼的用戶風險

1. 需要系統管理員 調查和補救 任何風險。
2. 解除封鎖使用者。

針對 MFA 啟用登入風險原則

大部分的使用者都會有可追蹤的正常行為。 當其行為與以往不同時，允許他們順利登入可能會有風險。 此時，您可以封鎖該使用者，或要求他們執行多重要素驗證。 如果使用者成功完成 MFA 挑戰，您即可將其視為有效的登入嘗試，並為其授與應用程式或服務的存取權。

若要啟用此原則，請完成下列步驟：

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或急用帳戶。
   3. 選取完成。
6. 在 [雲端應用程式或動作>包含] 下，選取 [所有資源] （先前稱為 [所有雲端應用程式] 。
7. 在 [條件] > [登入風險] 底下，將 [設定] 設為 [是]。
   1. 在 [選取此原則將套用的登入風險層級] 下方，選取 [高] 和 [中]。 本指引是以 Microsoft 建議為基礎，且各組織適用狀況可能有所不同
   2. 選取完成。
8. 在 [存取控制]>[授與] 下，選取 [授與存取權]。
   1. 選取 [需要驗證強度]，然後從清單中選取內 建的多重要素驗證 驗證強度。
   2. 選取選取。
9. 在 [工作階段] 下。
   1. 選取 [登入頻率]。
   2. 確定已選取 [每次]。
   3. 選取選取。
10. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
11. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

無密碼案例

對於採用 無密碼驗證方法 的組織，請進行下列變更：

更新無密碼登入風險原則

1. 在 [使用者] 底下：
   1. 包括，選取 [ 使用者和群組 ]，並以您的無密碼用戶為目標。
2. 在 [選取要套用此原則的登入風險層級] 下，選取 [高]。
3. 在 [存取>] 底下[封鎖無密碼使用者的存取]。

提示

部署無密碼方法時，您可能需要有兩個原則一段時間。

• 一個允許自我補救那些不使用無密碼方法的人。
• 另一個封鎖高風險無密碼使用者。

補救和解除封鎖無密碼登入風險

1. 需要系統管理員 調查和補救 任何風險。
2. 解除封鎖使用者。

測試有風險的登入事件

大部分的使用者登入事件並不會觸發先前的步驟中所設定的風險型原則。 使用者可能永遠不會看到執行 MFA 或重設密碼的提示。 如果其認證保有安全性，且其行為一致，其登入事件就會成功。

若要測試在先前的步驟中建立的 Microsoft Entra ID Protection 原則，您必須能夠模擬有風險的行為或潛在的攻擊。 執行這些測試的步驟，會根據您要驗證的 Microsoft Entra ID Protection 原則而有所不同。 如需案例和步驟的詳細資訊，請參閱模擬 Microsoft Entra ID Protection 中的風險偵測。

清除資源

如果您已完成測試，且不再需要啟用風險型原則，請回到您要停用的每個原則，並將 [啟用原則] 設定為 [關閉]，或者將其刪除。

下一步

在本教學課程中，您已針對 Microsoft Entra ID Protection 啟用風險型使用者原則。 您已了解如何︰

• 瞭解 Microsoft Entra ID Protection 的可用原則
• 啟用 Microsoft Entra 多重要素驗證註冊
• 啟用風險型密碼變更
• 啟用風險型多重要素驗證
• 測試使用者登入嘗試的風險型原則

深入瞭解 Microsoft Entra ID Protection