Konfiguracja i włączenie zasad ryzyka

  • Artykuł

Jak dowiedzieliśmy się w poprzednim artykule, zasady dostępu oparte na ryzyku, istnieją dwa typy zasad ryzyka w usłudze Microsoft Entra Dostęp warunkowy, które można skonfigurować. Za pomocą tych zasad można zautomatyzować reagowanie na zagrożenia, co pozwala użytkownikom na samodzielne korygowanie w przypadku wykrycia ryzyka:

  • Zasady ryzyka związanego z logowaniem
  • Zasady ryzyka związanego z użytkownikiem

Screenshot of a Conditional Access policy showing risk as conditions.

Wybieranie dopuszczalnych poziomów ryzyka

Organizacje muszą zdecydować, jaki poziom ryzyka chce wymagać kontroli dostępu w zakresie równoważenia środowiska użytkownika i stanu zabezpieczeń.

Wybór zastosowania kontroli dostępu na poziomie Wysokiego ryzyka zmniejsza liczbę wyzwalanych zasad i minimalizuje tarcie dla użytkowników. Jednak wyklucza ona niskie i średnie zagrożenia z zasad, które mogą nie blokować osobie atakującej wykorzystania naruszonej tożsamości. Wybranie niskiego poziomu ryzyka w celu wymagania kontroli dostępu powoduje wprowadzenie większej liczby przerwań użytkownika.

Skonfigurowane zaufane lokalizacje sieciowe są używane przez usługę Identity Protection w niektórych wykryciach ryzyka w celu zmniejszenia liczby wyników fałszywie dodatnich.

Konfiguracje zasad, które są zgodne z instrukcjami, obejmują kontrolkę sesji częstotliwości logowania, która wymaga ponownego uwierzytelnienia dla ryzykownych użytkowników i logujących się.

Korygowanie ryzyka

Organizacje mogą blokować dostęp po wykryciu ryzyka. Blokowanie czasami uniemożliwia uzasadnionym użytkownikom wykonywanie tego, co muszą. Lepszym rozwiązaniem jest umożliwienie samodzielnego korygowania przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft i bezpiecznej zmiany hasła.

Ostrzeżenie

Użytkownicy muszą zarejestrować się w celu uwierzytelniania wieloskładnikowego firmy Microsoft, zanim napotkają sytuację wymagającą korygowania. W przypadku użytkowników hybrydowych synchronizowanych ze środowiska lokalnego do chmury należy włączyć funkcję zapisywania zwrotnego haseł. Użytkownicy, którzy nie są zarejestrowani, są blokowani i wymagają interwencji administratora.

Zmiana hasła (znam moje hasło i chcę zmienić je na coś nowego) poza ryzykowny przepływ korygowania zasad użytkownika nie spełnia wymagań dotyczących bezpiecznej zmiany hasła.

Zalecenie firmy Microsoft

Firma Microsoft zaleca następujące konfiguracje zasad ryzyka w celu ochrony organizacji:

  • Zasady ryzyka związanego z użytkownikiem
    • Wymagaj bezpiecznej zmiany hasła, gdy poziom ryzyka użytkownika jest wysoki. Firma Microsoft Entra uwierzytelnianie wieloskładnikowe jest wymagane, zanim użytkownik będzie mógł utworzyć nowe hasło z zapisywaniem zwrotnym haseł w celu skorygowania ryzyka.
  • Zasady ryzyka logowania
    • Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft, gdy poziom ryzyka logowania jest średni lub wysoki, co pozwala użytkownikom udowodnić, że jest to przy użyciu jednej z zarejestrowanych metod uwierzytelniania, korygując ryzyko logowania.

Wymaganie kontroli dostępu, gdy poziom ryzyka jest niski, wprowadza większe tarcie i przerwy użytkownika niż średnie lub wysokie. Wybranie opcji blokowania dostępu zamiast zezwalania na opcje samodzielnego korygowania, takie jak bezpieczna zmiana hasła i uwierzytelnianie wieloskładnikowe, mają wpływ na użytkowników i administratorów jeszcze bardziej. Rozważ te opcje podczas konfigurowania zasad.

Wykluczenia

Zasady umożliwiają wykluczanie użytkowników, takich jak dostęp awaryjny lub konta administratora ze szkła awaryjnego. Organizacje mogą wymagać wykluczenia innych kont z określonych zasad na podstawie sposobu korzystania z kont. Należy regularnie przeglądać wykluczenia, aby sprawdzić, czy nadal mają zastosowanie.

Włączanie zasad

Organizacje mogą zdecydować się na wdrożenie zasad opartych na ryzyku w dostępie warunkowym, wykonując następujące kroki lub korzystając z szablonów dostępu warunkowego.

Zanim organizacje włączą zasady korygowania, powinny zbadać i skorygować wszelkie aktywne zagrożenia.

Zasady ryzyka użytkownika w dostępie warunkowym

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
    1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. (Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji)
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel.
    1. Wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj zmiany hasła.
    2. Wybierz pozycję Wybierz.
  9. W obszarze Sesja.
    1. Wybierz pozycję Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz pozycję Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Zasady ryzyka logowania w dostępie warunkowym

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady. (Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji)
    1. Wybierz pozycję Wysoki i Średni.
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel.
    1. Wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego.
    2. Wybierz pozycję Wybierz.
  9. W obszarze Sesja.
    1. Wybierz pozycję Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz pozycję Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Migrowanie zasad ryzyka do dostępu warunkowego

Ostrzeżenie

Starsze zasady ryzyka skonfigurowane w Ochrona tożsamości Microsoft Entra zostaną wycofane 1 października 2026 r.

Jeśli masz włączone zasady ryzyka w usłudze Microsoft Entra ID, należy zaplanować ich migrację do dostępu warunkowego:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Migrowanie do dostępu warunkowego

  1. Utwórz równoważnezasady oparte na ryzyku użytkownika i oparte na ryzyku logowania w trybie dostęp warunkowy w trybie tylko do raportu. Zasady można utworzyć przy użyciu poprzednich kroków lub użyć szablonów dostępu warunkowego na podstawie zaleceń firmy Microsoft i wymagań organizacji.
    1. Upewnij się, że nowe zasady ryzyka dostępu warunkowego działają zgodnie z oczekiwaniami, testując je w trybie tylko do raportu.
  2. Włącz nowe zasady ryzyka dostępu warunkowego. Możesz wybrać, że obie zasady działają obok siebie, aby potwierdzić, że nowe zasady działają zgodnie z oczekiwaniami przed wyłączeniem zasad ryzyka ochrony identyfikatorów.
    1. Wróć do strony Ochrona>dostępu warunkowego.
    2. Wybierz te nowe zasady, aby je edytować.
    3. Ustaw opcję Włącz zasady na Włączone , aby włączyć zasady
  3. Wyłącz stare zasady ryzyka w usłudze ID Protection.
    1. Przejdź do pozycji Ochrona tożsamości Protection>> Wybierz zasady ryzyka związanego z użytkownikiem lub ryzyko związane z logowaniem.
    2. Ustaw opcję Wymuszaj zasady na wyłączone
  4. W razie potrzeby utwórz inne zasady ryzyka w obszarze Dostęp warunkowy.

Następne kroki