大多數用戶都有可以跟踪的正常行為。 當他們的行為超出此規範時,讓他們登錄可能會有風險。 您可能想要封鎖使用者,或要求他們完成多重要素驗證以確認其身分識別。
登入風險代表驗證要求不是來自身分識別擁有者的可能性。 具有 Microsoft Entra ID P2 授權的組織可以建立包含 Microsoft Entra ID Protection 登入風險偵測 的條件存取原則。
以登入風險為基礎的原則可防止使用者在有風險的工作階段期間註冊 MFA。 如果使用者未註冊 MFA,則會封鎖其有風險的登入,並收到AADSTS53004錯誤。
使用者排除
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取 或 破窗帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
-
服務帳戶 和 服務主體,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。
範本部署
組織可以遵循下列步驟,或使用 條件式存取範本來部署此原則。
透過條件存取政策啟用
- 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取。
- 選取 新增政策。
- 請為您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選擇 [使用者和群組],然後選擇您組織的緊急存取帳戶或應急帳戶。
- 選取完成。
- 在 雲端應用程式或動作>中的「包含」,選取 所有資源(以前稱為「所有雲端應用程式」)。
- 在 [條件]> [登入風險] 底下,將 [設定] 設為 [是]。
- 在 [選取此原則將套用的登入風險層級] 下方,選取 [高] 和 [中]。 本指引是以 Microsoft 建議為基礎,且各組織適用狀況可能有所不同
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 [需要驗證強度],然後從清單中選取內 建的多重要素驗證 驗證強度。
- 選擇選擇。
- 在 [工作階段] 下。
- 選取 [登入頻率]。
- 確認選取的是 每次。
- 選擇選擇。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
無密碼案例
對於採用 無密碼驗證方法 的組織,請進行下列變更:
更新無密碼登入風險原則
- 在 使用者 底下:
- 包括,選取 [ 使用者和群組 ],然後鎖定無密碼用戶。
- 在 [排除] 下,選擇 [使用者和群組],然後選擇您組織的緊急存取帳戶或應急帳戶。
- 選取完成。
- 在 [雲端應用程式或動作>包含] 中,選取 [所有資源](先前稱為「所有雲端應用程式」)。
- 在 [條件]> [登入風險] 底下,將 [設定] 設為 [是]。
- 在 [選取此原則將套用的登入風險層級] 下方,選取 [高] 和 [中]。 如需風險層級的詳細資訊,請參閱 選擇可接受的風險層級。
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 驗證強度,然後根據目標使用者擁有的方法,選取內建的 無密碼 MFA 或 防詐騙 MFA。
- 選擇選擇。
- 在 會話下:
- 選取 [登入頻率]。
- 確認選取的是 每次。
- 選擇選擇。