Typowe zasady dostępu warunkowego: uwierzytelnianie wieloskładnikowe oparte na ryzyku

Większości użytkowników dotyczy zachowanie normalne, które można śledzić. Gdy ta norma zostanie przekroczona, zezwolenie tym użytkownikom na zwykłe logowanie się może stanowić ryzyko. Możesz zablokować tego użytkownika, a może po prostu poprosić ich o przeprowadzenie uwierzytelniania wieloskładnikowego, aby udowodnić, że są naprawdę tym, kim są.

Ryzyko logowania oznacza prawdopodobieństwo, że dane żądanie uwierzytelniania nie zostało autoryzowane przez właściciela tożsamości. Organizacje z licencjami microsoft Entra ID P2 mogą tworzyć zasady dostępu warunkowego obejmujące Ochrona tożsamości Microsoft Entra wykrywania ryzyka logowania.

Istnieją dwie lokalizacje, w których można skonfigurować te zasady, dostęp warunkowy i Ochrona tożsamości Microsoft Entra. Konfiguracja przy użyciu zasad dostępu warunkowego jest preferowaną metodą zapewniającą większy kontekst, w tym rozszerzone dane diagnostyczne, integrację tylko raportów, obsługę interfejsu API programu Graph i możliwość korzystania z innych atrybutów dostępu warunkowego, takich jak częstotliwość logowania w zasadach.

Zasady oparte na ryzyku logowania chroni użytkowników przed zarejestrowaniem uwierzytelniania wieloskładnikowego w ryzykownych sesjach. Jeśli użytkownicy nie są zarejestrowani w usłudze MFA, ich ryzykowne logowania są blokowane i widzą błąd AADSTS53004.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Włączanie przy użyciu zasad dostępu warunkowego

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>dostępu warunkowego.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady.
   1. Wybierz pozycję Wysoki i Średni.
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrola>dostępu Udziel.
   1. Wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego.
   2. Wybierz pozycję Wybierz.
9. W obszarze Sesja.
   1. Wybierz pozycję Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz pozycję Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Następne kroki

• Wymagaj ponownego uwierzytelniania za każdym razem
• Korygowanie zagrożeń i odblokowywanie użytkowników
• Typowe zasady dostępu warunkowego
• Dostęp warunkowy oparty na ryzyku użytkownika
• Określanie efektu przy użyciu trybu tylko do uzyskiwania dostępu warunkowego
• Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.
• Co to jest Ochrona usługi Microsoft Entra ID?