Doświadczenie samodzielnego zarządzania z Ochroną tożsamości Microsoft Entra i dostępem warunkowym.
Korzystając z Microsoft Entra ID Protection i Dostępu Warunkowego, możesz:
- Wymaganie od użytkowników rejestracji do uwierzytelniania wieloskładnikowego Microsoft Entra
- Automatyzacja naprawy ryzykownych logowań i kompromitowanych użytkowników
- Blokuj użytkowników w określonych przypadkach.
Zasady dostępu warunkowego, które integrują użytkownika i ryzyko logowania, mają wpływ na środowisko logowania dla użytkowników. Umożliwienie użytkownikom korzystania z narzędzi, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft i samoobsługowe resetowanie haseł, może zmniejszyć wpływ. Te narzędzia, wraz z odpowiednimi wyborami zasad, zapewniają użytkownikom opcję samodzielnego korygowania, gdy ich potrzebują, jednocześnie wymuszając silne mechanizmy kontroli zabezpieczeń.
Rejestracja uwierzytelniania wieloskładnikowego
Gdy administrator włączy zasady ochrony identyfikatorów wymagające rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft, użytkownicy mogą użyć uwierzytelniania wieloskładnikowego firmy Microsoft do samodzielnego korygowania. Skonfigurowanie tych zasad daje użytkownikom 14-dniowy okres rejestracji, po którym są zmuszeni do zarejestrowania.
Przerwanie rejestracji
Po zalogowaniu się do dowolnej zintegrowanej aplikacji firmy Microsoft entra użytkownik otrzymuje powiadomienie o konieczności skonfigurowania konta na potrzeby uwierzytelniania wieloskładnikowego. Te zasady są również wyzwalane w środowisku Windows Out of Box Experience dla nowych użytkowników z nowym urządzeniem.
Wykonaj kroki z przewodnikiem, aby zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i zalogować się.
Samodzielne korygowanie ryzyka
Gdy administrator konfiguruje zasady dostępu warunkowego opartego na ryzyku, użytkownicy, których to dotyczy, są przerywani po osiągnięciu skonfigurowanego poziomu ryzyka. Jeśli administratorzy zezwalają na samodzielne korygowanie przy użyciu uwierzytelniania wieloskładnikowego, ten proces jest wyświetlany użytkownikowi jako zwykły monit uwierzytelniania wieloskładnikowego.
Jeśli użytkownik ukończy uwierzytelnianie wieloskładnikowe, jego ryzyko zostanie skorygowane i może się zalogować.
Jeśli użytkownik jest zagrożony, a nie tylko logowanie, administratorzy mogą skonfigurować zasady ryzyka użytkownika w dostępie warunkowym, aby wymagać zmiany hasła oprócz uwierzytelniania wieloskładnikowego. W takim przypadku użytkownik zobaczy następujący dodatkowy ekran.
Ryzykowny administrator logowania odblokuj
Administratorzy mogą blokować użytkowników po zalogowaniu się w zależności od poziomu ryzyka. Aby odblokować, użytkownicy muszą skontaktować się ze swoimi pracownikami IT lub spróbować zalogować się ze znanej lokalizacji lub urządzenia. Samodzielne korygowanie nie jest w tym przypadku opcją.
Pracownicy IT mogą postępować zgodnie z instrukcjami w Odblokowywanie użytkowników, aby umożliwić użytkownikom ponowne logowanie się.
Technik wysokiego ryzyka
Jeśli dzierżawa domowa nie włączyła zasad samodzielnego korygowania, administrator w dzierżawie domowej technika musi skorygować ryzyko. Na przykład:
- Organizacja ma dostawcę usług zarządzanych (MSP) lub dostawcę rozwiązań w chmurze (CSP), który zajmuje się konfigurowaniem środowiska chmury.
- Jedna z danych uwierzytelniających techników dostawców usług zarządzanych wyciekła i wywołuje wysokie ryzyko. Ten technik jest zablokowany przed logowaniem się do innych dzierżawców.
- Technik może samodzielnie zaradzić problemom i zalogować się, jeśli dzierżawa domowa włączyła odpowiednie zasady wymagające zmiany hasła dla użytkowników wysokiego ryzyka lub uwierzytelniania wieloskładnikowego dla ryzykownych użytkowników.
- Jeśli dzierżawca domowy nie włączył zasad samodzielnego korygowania, administrator w macierzystej dzierżawie technika musi skorygować ryzyko.