Konfiguracja i włączenie zasad ryzyka

W programie Microsoft Entra Conditional Access można skonfigurować dwa typy zasad ryzyka. Za pomocą tych zasad można zautomatyzować reagowanie na zagrożenia, co pozwala użytkownikom na samodzielne korygowanie w przypadku wykrycia ryzyka:

• Zasady ryzyka związanego z logowaniem
• Zasady ryzyka związanego z użytkownikiem

Wybieranie dopuszczalnych poziomów ryzyka

Organizacje muszą zdecydować, jaki poziom ryzyka chce wymagać kontroli dostępu w zakresie równoważenia środowiska użytkownika i stanu zabezpieczeń.

Wybór zastosowania kontroli dostępu na poziomie Wysokiego ryzyka zmniejsza liczbę wyzwalanych zasad i minimalizuje tarcie dla użytkowników. Jednak wyklucza ona niskie i średnie zagrożenia z zasad, które mogą nie blokować osobie atakującej wykorzystania naruszonej tożsamości. Wybranie niskiego poziomu ryzyka w celu wymagania kontroli dostępu powoduje wprowadzenie większej liczby przerwań użytkownika.

Skonfigurowane zaufane lokalizacje sieciowe są używane przez Ochrona tożsamości Microsoft Entra w niektórych wykryciach ryzyka w celu zmniejszenia liczby wyników fałszywie dodatnich.

Konfiguracje zasad, które są zgodne z instrukcjami, obejmują kontrolkę sesji częstotliwości logowania, która wymaga ponownego uwierzytelnienia dla ryzykownych użytkowników i logujących się.

Zalecenie firmy Microsoft

Firma Microsoft zaleca następujące konfiguracje zasad ryzyka w celu ochrony organizacji:

• Zasady ryzyka związanego z użytkownikiem
  • Wymagaj bezpiecznej zmiany hasła, gdy poziom ryzyka użytkownika jest wysoki. Firma Microsoft Entra uwierzytelnianie wieloskładnikowe jest wymagane, zanim użytkownik będzie mógł utworzyć nowe hasło z zapisywaniem zwrotnym haseł w celu skorygowania ryzyka.
  • Bezpieczna zmiana hasła przy użyciu samoobsługowego resetowania hasła jest jedynym sposobem samodzielnego korygowania ryzyka użytkownika, niezależnie od poziomu ryzyka.
• Zasady ryzyka logowania
  • Wymagaj uwierzytelniania wieloskładnikowego firmy Microsoft, gdy poziom ryzyka logowania jest średni lub wysoki, co pozwala użytkownikom udowodnić, że jest to przy użyciu jednej z zarejestrowanych metod uwierzytelniania, korygując ryzyko logowania.
  • Pomyślne uwierzytelnianie wieloskładnikowe to jedyny sposób samodzielnego korygowania ryzyka logowania, niezależnie od poziomu ryzyka.

Wymaganie kontroli dostępu, gdy poziom ryzyka jest niski, wprowadza większe tarcie i przerwy użytkownika niż średnie lub wysokie. Wybranie opcji blokowania dostępu zamiast zezwalania na opcje samodzielnego korygowania, takie jak bezpieczna zmiana hasła i uwierzytelnianie wieloskładnikowe, mają wpływ na użytkowników i administratorów jeszcze bardziej. Rozważ te opcje podczas konfigurowania zasad.

Korygowanie ryzyka

Organizacje mogą blokować dostęp po wykryciu ryzyka. Blokowanie czasami uniemożliwia uzasadnionym użytkownikom wykonywanie tego, co muszą. Lepszym rozwiązaniem jest skonfigurowanie zasad dostępu warunkowego opartego na ryzyku ilogowania , które umożliwiają użytkownikom samodzielne korygowanie.

Ostrzeżenie

Użytkownicy muszą zarejestrować się w celu uwierzytelniania wieloskładnikowego firmy Microsoft, zanim napotkają sytuację wymagającą korygowania. W przypadku użytkowników hybrydowych synchronizowanych ze środowiska lokalnego należy włączyć funkcję zapisywania zwrotnego haseł. Użytkownicy, którzy nie są zarejestrowani, są blokowani i wymagają interwencji administratora.

Zmiana hasła (znam moje hasło i chcę zmienić je na coś nowego) poza ryzykowny przepływ korygowania zasad użytkownika nie spełnia wymagań dotyczących bezpiecznej zmiany hasła.

Włączanie zasad

Organizacje mogą zdecydować się na wdrożenie zasad opartych na ryzyku w dostępie warunkowym, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Zanim organizacje włączą te zasady, powinny podjąć działania w celu zbadania i skorygowania wszelkich aktywnych zagrożeń.

Wykluczenia zasad

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Zasady ryzyka użytkownika w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>dostępu warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
   1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz pozycję Wymagaj zmiany hasła.
   3. Wybierz pozycję Wybierz.
9. W obszarze Sesja.
   1. Wybierz pozycję Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz pozycję Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka użytkowników bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skierować użytkowników bez hasła.
2. W obszarze Kontrola>dostępu Blokuj dostęp dla użytkowników bez hasła.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

• Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
• Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Korygowanie i odblokowywanie ryzyka użytkownika bez hasła

1. Wymagaj badania administratora i korygowania dowolnego ryzyka.
2. Odblokuj użytkownika.

Zasady ryzyka logowania w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>dostępu warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz pozycję Wybierz.
9. W obszarze Sesja.
   1. Wybierz pozycję Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz pozycję Wybierz.
10. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skierować użytkowników bez hasła.
2. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki.
3. W obszarze Kontrola>dostępu Blokuj dostęp dla użytkowników bez hasła.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

• Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
• Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Korygowanie i odblokowywanie ryzyka związanego z logowaniem bez hasła

1. Wymagaj badania administratora i korygowania dowolnego ryzyka.
2. Odblokuj użytkownika.

Migrowanie zasad ryzyka do dostępu warunkowego

Jeśli w Ochrona tożsamości Microsoft Entra włączono starsze zasady ryzyka, należy zaplanować ich migrację do dostępu warunkowego:

Ostrzeżenie

Starsze zasady ryzyka skonfigurowane w Ochrona tożsamości Microsoft Entra zostaną wycofane 1 października 2026 r.

Migrowanie do dostępu warunkowego

1. Utwórz równoważnezasady oparte na ryzyku użytkownika i oparte na ryzyku w trybie dostępu warunkowego w trybie tylko do raportu. Zasady można utworzyć przy użyciu poprzednich kroków lub użyć szablonów dostępu warunkowego na podstawie zaleceń firmy Microsoft i wymagań organizacji.
   1. Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.
2. Wyłącz stare zasady ryzyka w usłudze ID Protection.
   1. Przejdź do pozycji > Wybierz zasady ryzyka związanego z użytkownikiem lub ryzyko związane z logowaniem.
   2. Ustaw opcję Wymuszaj zasady na Wyłączone.
3. W razie potrzeby utwórz inne zasady ryzyka w obszarze Dostęp warunkowy.

Powiązana zawartość

• Włączanie zasad rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft Entra
• Co to jest ryzyko
• Badanie wykryć ryzyka
• Symulowanie wykrywania ryzyka