Sdílet prostřednictvím

Zásady přístupu na základě rizika

  • Článek

Zásady řízení přístupu je možné použít k ochraně organizací, když se zjistí riziko přihlášení nebo uživatele. Takové zásady se nazývají zásady založené na rizicích.

Diagram znázorňující koncepční zásady podmíněného přístupu založené na rizicích

Podmíněný přístup Microsoft Entra nabízí dvě rizikové podmínky založené na signálech microsoft Entra ID Protection: riziko přihlášení a riziko uživatele. Organizace můžou vytvářet zásady podmíněného přístupu na základě rizika tak, že nakonfigurují tyto dvě rizikové podmínky a zvolí metodu řízení přístupu. Během každého přihlášení služba ID Protection odesílá zjištěné úrovně rizika do podmíněného přístupu a zásady na základě rizik se použijí, pokud jsou splněné podmínky zásad.

Vícefaktorové ověřování můžete vyžadovat, pokud je úroveň rizika přihlášení střední nebo vysoká, zobrazí se uživatelům výzva pouze na této úrovni.

Diagram znázorňující koncepční zásady podmíněného přístupu založené na riziku pomocí samoobslužné nápravy

Předchozí příklad také ukazuje hlavní výhodu zásady založené na riziku: automatická náprava rizik. Když uživatel úspěšně dokončí požadované řízení přístupu, jako je například změna zabezpečeného hesla, riziko se opraví. Tato přihlašovací relace a uživatelský účet nejsou ohroženy a správce nevyžaduje žádnou akci.

Když uživatelům umožníte samoobslužnou nápravu pomocí tohoto procesu, výrazně snížíte riziko šetření a nápravu na správce a současně chráníte organizace před ohrožením zabezpečení. Další informace o nápravě rizik najdete v článku, nápravě rizik a odblokováníuživatelůch

Zásady podmíněného přístupu na základě rizik přihlašování

Během každého přihlášení služba ID Protection analyzuje stovky signálů v reálném čase a vypočítá úroveň rizika přihlášení, která představuje pravděpodobnost, že daná žádost o ověření není autorizovaná. Tato úroveň rizika se pak odešle do podmíněného přístupu, kde se vyhodnocují nakonfigurované zásady organizace. Správci můžou nakonfigurovat zásady podmíněného přístupu na základě rizik přihlašování tak, aby vynucovali řízení přístupu na základě rizika přihlašování, včetně požadavků, jako jsou:

  • Blokování přístupu
  • Povolit přístup
  • Vyžadovat vícefaktorové ověřování

Pokud se při přihlašování zjistí rizika, můžou uživatelé provádět požadované řízení přístupu, jako je vícefaktorové ověřování, aby se automaticky opravili a zavřeli rizikovou událost přihlášení, aby se zabránilo zbytečnému šumu pro správce.

Snímek obrazovky se zásadami podmíněného přístupu na základě rizik přihlašování

Poznámka:

Uživatelé musí mít před aktivací zásad rizik přihlašování dříve zaregistrované vícefaktorové ověřování Microsoft Entra.

Zásady podmíněného přístupu na základě rizik uživatelů

Id Protection analyzuje signály o uživatelských účtech a vypočítá rizikové skóre na základě pravděpodobnosti ohrožení zabezpečení uživatele. Pokud má uživatel rizikové chování při přihlašování nebo únik přihlašovacích údajů, použije ochrana ID tyto signály k výpočtu úrovně rizika uživatele. Správci můžou nakonfigurovat zásady podmíněného přístupu na základě rizik uživatelů tak, aby vynucovali řízení přístupu na základě rizika uživatelů, včetně požadavků, jako jsou:

  • Blokovat přístup.
  • Povolit přístup, ale vyžadovat bezpečnou změnu hesla

Zabezpečená změna hesla opravuje riziko uživatele a zavře rizikovou událost uživatele, aby se zabránilo zbytečnému šumu pro správce.

Migrace zásad rizik ochrany ID do podmíněného přístupu

Pokud máte starší zásady rizik uživatelů nebo zásady rizik přihlašování povolené ve službě ID Protection (dříve Identity Protection), měli byste je migrovat do podmíněného přístupu.

Upozorňující

Starší zásady rizik nakonfigurované ve službě Microsoft Entra ID Protection budou vyřazeny 1. října 2026.

Konfigurace zásad rizik v podmíněném přístupu poskytuje výhody, jako je možnost:

  • Správa zásad přístupu v jednom umístění
  • Používejte pouze režim sestavy a rozhraní Graph API.
  • Vynucujte frekvenci přihlašování, aby se pokaždé vyžadovalo opětovné ověření.
  • Poskytněte podrobné řízení přístupu, které kombinuje riziko s jinými podmínkami, jako je umístění.
  • Zvyšte zabezpečení pomocí několika zásad založených na rizicích, které cílí na různé skupiny uživatelů nebo úrovně rizika.
  • Vylepšete prostředí diagnostiky s podrobnostmi o tom, které zásady založené na rizicích se použily v protokolech přihlašování.
  • Podpora systému ověřování zálohování.

Zásady registrace vícefaktorového ověřování Microsoft Entra

Ochrana ID může organizacím pomoct zavést vícefaktorové ověřování Microsoft Entra pomocí zásad vyžadujících registraci při přihlášení. Povolení této zásady je skvělý způsob, jak zajistit, aby se noví uživatelé ve vaší organizaci zaregistrovali k vícefaktorovým ověřováním během prvního dne. Vícefaktorové ověřování je jednou z metod samoobslužné nápravy rizikových událostí v rámci služby ID Protection. Samoobslužná náprava umožňuje uživatelům provádět vlastní akce, aby snížili objem hovorů helpdesku.

Další informace o vícefaktorovém ověřování Microsoft Entra najdete v článku Jak to funguje: Vícefaktorové ověřování Microsoft Entra.

Související obsah