Настройка и включение политик риска

  • Статья

Как мы узнали в предыдущей статье, политики доступа на основе рисков существуют два типа политик риска в условном доступе Microsoft Entra, которые можно настроить. Эти политики можно использовать для автоматизации реагирования на риски, позволяющие пользователям самостоятельно устранять риски при обнаружении риска:

  • Политика риска входа
  • Политика риска пользователя

Screenshot of a Conditional Access policy showing risk as conditions.

Выбор приемлемых уровней риска

Организации должны решить уровень риска, который они хотят требовать контроля доступа для балансировки взаимодействия с пользователем и безопасности.

При выборе применения контроля доступа на уровне высокого риска снижается количество срабатываний политики и минимизация трений для пользователей. Однако он исключает из политики низкие и средние риски, которые могут не блокировать злоумышленника от использования скомпрометированного удостоверения. Выбор уровня низкого риска, чтобы требовать контроля доступа, вводит больше прерываний пользователей.

Настроенные доверенные расположения в сети используются Защитой идентификации при обнаружении некоторых рисков для сокращения числа ложноположительных результатов.

Следующие конфигурации политики включают управление сеансом частоты входа, требующее повторной проверки подлинности для рискованных пользователей и входа.

Исправление риска

Организации могут предпочесть блокировку доступа при обнаружении риска. Блокировка иногда запрещает полномочным пользователям выполнять нужные им действия. Лучше всего разрешить самостоятельное исправление с помощью многофакторной проверки подлинности Microsoft Entra и безопасного изменения пароля.

Предупреждение

Пользователи должны зарегистрировать многофакторную проверку подлинности Microsoft Entra, прежде чем столкнуться с ситуацией, требующей исправления. Для гибридных пользователей, которые синхронизируются из локальной среды в облако, в них должна быть включена обратная запись паролей. Незарегистрированные пользователи будут заблокированы. Для них потребуется вмешательство администратора.

Изменение пароля (я знаю свой пароль и хочу изменить его на что-то новое) за пределами потока исправления политик пользователей рискованного пользователя не соответствует требованию для безопасного изменения пароля.

Рекомендация Майкрософт

Корпорация Майкрософт рекомендует использовать следующие конфигурации политик риска для защиты организации:

  • Политика риска пользователей
    • Требовать изменения безопасного пароля, если уровень риска пользователя является высоким. Многофакторная проверка подлинности Microsoft Entra требуется, прежде чем пользователь сможет создать новый пароль с обратной записью паролей, чтобы устранить их риск.
  • Политика риска входа
    • Требовать многофакторную проверку подлинности Microsoft Entra, если уровень риска входа — средний или высокий, что позволяет пользователям доказать, что это они с помощью одного из зарегистрированных методов проверки подлинности, исправляя риск входа.

Требование контроля доступа при низком уровне риска вызывает больше трений и прерываний пользователей, чем средний или высокий. Выбор блокировки доступа, а не разрешение параметров самостоятельного исправления, таких как безопасное изменение пароля и многофакторная проверка подлинности, влияет на пользователей и администраторов еще больше. Взвесьте эти варианты при настройке политик.

Исключения

Политики позволяют исключать пользователей, например учетные записи администратора для аварийного доступа. Организациям может потребоваться исключить другие учетные записи из определенных политик в зависимости от способа использования учетных записей. Все исключения следует регулярно проверять на предмет применимости.

Включение политик

Организации могут развертывать политики на основе рисков в условном доступе, выполнив следующие действия или с помощью шаблонов условного доступа.

Прежде чем организации разрешают политики исправления, они должны исследовать и устранять все активные риски.

Политика риска пользователей в условном доступе

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
  2. Перейдите к условному доступу к защите>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
  7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
    1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. (Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации)
    2. Нажмите кнопку Готово.
  8. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите "Предоставить доступ", "Требовать многофакторную проверку подлинности " и "Требовать изменение пароля".
    2. Выберите Выбрать.
  9. В разделе Сеанс.
    1. Выберите Частота входа.
    2. Убедитесь, что выбрано Каждый раз.
    3. Выберите Выбрать.
  10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Политика риска входа в условном доступе

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
  2. Перейдите к условному доступу к защите>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
  7. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да. В разделе Выберите уровень угрозы, связанной с входом, на который будет распространяться эта политика. (Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации)
    1. выберите Высокий и Средний.
    2. Нажмите кнопку Готово.
  8. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите Разрешить доступ с параметром Требовать многофакторной проверки подлинности.
    2. Выберите Выбрать.
  9. В разделе Сеанс.
    1. Выберите Частота входа.
    2. Убедитесь, что выбрано Каждый раз.
    3. Выберите Выбрать.
  10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Перенос политик риска в условный доступ

Предупреждение

Устаревшие политики рисков, настроенные в Защита идентификации Microsoft Entra, будут прекращены 1 октября 2026 года.

Если у вас есть политики риска, включенные в идентификаторе Microsoft Entra, необходимо запланировать их перенос в условный доступ:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Перенос на условный доступ

  1. Создайте эквивалентнуюполитику на основе рисков пользователя и войдите в режим условного доступа в режиме только для отчетов. Вы можете создать политику с помощью предыдущих шагов или использовать шаблоны условного доступа на основе рекомендаций Майкрософт и требований организации.
    1. Убедитесь, что новая политика риска условного доступа работает должным образом, проверив ее в режиме только для отчетов.
  2. Включите новую политику риска условного доступа. Вы можете выбрать, чтобы обе политики работали параллельно, чтобы убедиться, что новые политики работают должным образом, прежде чем отключить политики риска защиты идентификаторов.
    1. Вернитесь к условному доступу защиты>.
    2. Выберите эту новую политику, чтобы изменить ее.
    3. Настройка включения политики включенодля включения политики
  3. Отключите старые политики риска в защите идентификаторов.
    1. Перейдите к разделу "Защита идентификации защиты> идентификации">выберите политику риска пользователя или входа.
    2. Установите для политики принудительного применения значение "Отключено"
  4. При необходимости создайте другие политики риска в условном доступе.

Следующие шаги