Sdílet prostřednictvím

Zásady přístupu na základě rizika

  • Článek

Zásady řízení přístupu na základě rizik se dají použít k ochraně organizací, když se zjistí, že přihlášení nebo uživatel je ohrožen.

Diagram znázorňující koncepční zásady podmíněného přístupu založené na rizicích

Podmíněný přístup Microsoft Entra nabízí dvě podmínky rizika specifické pro uživatele, které využívají signály ochrany Microsoft Entra ID Protection: riziko přihlášení a riziko uživatele. Organizace můžou vytvářet zásady podmíněného přístupu na základě rizika tak, že nakonfigurují tyto dvě rizikové podmínky a zvolí metodu řízení přístupu. Během každého přihlášení služba ID Protection odesílá zjištěné úrovně rizika do podmíněného přístupu a zásady na základě rizik se použijí, pokud jsou splněné podmínky zásad.

Vícefaktorové ověřování můžete vyžadovat, pokud je úroveň rizika přihlášení střední nebo vysoká. Uživatelům se zobrazí výzva pouze na této úrovni.

Diagram znázorňující koncepční zásady podmíněného přístupu založené na riziku s možností samostatné nápravy.

Předchozí příklad také ukazuje hlavní výhodu zásady založené na riziku: automatická náprava rizik. Když uživatel úspěšně dokončí požadované řízení přístupu, jako je například změna zabezpečeného hesla, riziko se opraví. Tato přihlašovací relace a uživatelský účet nejsou ohroženy a správce nevyžaduje žádnou akci.

Když uživatelům umožníte samoobslužnou nápravu pomocí tohoto procesu, výrazně to sníží zátěž správců ohledně šetření a nápravy rizik, zatímco bude chránit vaši organizaci před ohrožením zabezpečení. Další informace o nápravě rizik najdete v článku, nápravě rizik a odblokováníuživatelůch

Zásady podmíněného přístupu na základě rizika přihlášení

Během každého přihlášení služba ID Protection analyzuje stovky signálů v reálném čase a vypočítá úroveň rizika přihlášení, která představuje pravděpodobnost, že daná žádost o ověření není autorizovaná. Tato úroveň rizika je pak odeslána do Podmíněného Přístupu, kde se vyhodnocují nakonfigurované zásady organizace. Správci můžou nakonfigurovat zásady podmíněného přístupu na základě rizik přihlašování tak, aby vynucovali řízení přístupu na základě rizika přihlašování, včetně požadavků, jako jsou:

  • Blokování přístupu
  • Povolit přístup
  • Vyžadovat vícefaktorové ověřování

Pokud se při přihlašování zjistí rizika, můžou uživatelé provádět požadované řízení přístupu, jako je vícefaktorové ověřování, aby se automaticky opravili a zavřeli rizikovou událost přihlášení, aby se zabránilo zbytečnému šumu pro správce.

Snímek obrazovky se zásadami podmíněného přístupu na základě rizik přihlašování

Poznámka:

Uživatelé musí být zaregistrovaní k vícefaktorovému ověřování Microsoft Entra před aktivací zásad rizika přihlášení.

Zásady podmíněného přístupu na základě rizik uživatelů

Id Protection analyzuje signály o uživatelských účtech a vypočítá rizikové skóre na základě pravděpodobnosti ohrožení zabezpečení uživatele. Pokud má uživatel rizikové chování při přihlašování nebo únik přihlašovacích údajů, použije ochrana ID tyto signály k výpočtu úrovně rizika uživatele. Správci můžou nakonfigurovat zásady podmíněného přístupu na základě rizik uživatelů tak, aby vynucovali řízení přístupu na základě rizika uživatelů, včetně požadavků, jako jsou:

  • Blokovat přístup.
  • Povolit přístup, ale vyžadovat bezpečnou změnu hesla

Zabezpečená změna hesla snižuje riziko spojené s uživatelem a uzavírá rizikovou událost uživatele, čímž se zabrání zbytečnému zatížení pro správce.

Migrace zásad rizik ochrany ID do podmíněného přístupu

Pokud máte starší zásady rizik uživatelů nebo zásady rizik přihlašování povolené ve službě ID Protection (dříve Identity Protection), migrujte je do podmíněného přístupu.

Varování

Starší zásady rizik nakonfigurované ve službě Microsoft Entra ID Protection budou vyřazeny 1. října 2026.

Konfigurace zásad rizik v podmíněném přístupu poskytuje výhody, jako je možnost:

  • Správa zásad přístupu v jednom umístění
  • Používejte pouze režim sestavy a rozhraní Graph API.
  • Vynucujte frekvenci přihlašování, aby se pokaždé vyžadovalo opětovné ověření.
  • Poskytněte podrobné řízení přístupu, které kombinuje riziko s jinými podmínkami, jako je umístění.
  • Zvyšte zabezpečení pomocí několika zásad založených na rizicích, které cílí na různé skupiny uživatelů nebo úrovně rizika.
  • Zlepšete zážitek z diagnostiky poskytující podrobnosti o tom, které zásady založené na rizicích byly použity v záznamech přihlášení.
  • Podpora systému pro záložní ověřování.

Zásady registrace vícefaktorového ověřování Microsoft Entra

Ochrana ID pomáhá organizacím zavést vícefaktorové ověřování Microsoft Entra pomocí zásad vyžadujících registraci při přihlášení. Povolením této zásady zajistíte, že se noví uživatelé ve vaší organizaci zaregistrují pro vícefaktorové ověřování během prvního dne. Vícefaktorové ověřování je jednou z metod samoobslužné nápravy rizikových událostí v rámci služby ID Protection. Samoobslužná náprava umožňuje uživatelům provádět vlastní akce, aby snížili objem hovorů helpdesku.

Další informace o vícefaktorovém ověřování Microsoft Entra v článku Jak to funguje: Vícefaktorové ověřování Microsoft Entra.

Související obsah