Konfiguracja i włączenie zasad ryzyka

W programie Microsoft Entra Conditional Access można skonfigurować dwa typy zasad ryzyka. Za pomocą tych zasad można zautomatyzować reagowanie na zagrożenia, co pozwala użytkownikom na samodzielne korygowanie w przypadku wykrycia ryzyka:

• Zasady ryzyka związanego z logowaniem
• Zasady ryzyka związanego z użytkownikiem

Wybieranie dopuszczalnych poziomów ryzyka

Organizacje muszą zdecydować, jaki poziom ryzyka chce wymagać kontroli dostępu w zakresie równoważenia środowiska użytkownika i stanu zabezpieczeń.

Wybór zastosowania kontroli dostępu przy wysokim poziomie ryzyka zmniejsza liczbę przypadków wyzwolenia zasad i minimalizuje trudności dla użytkowników. Jednak wyklucza niskie i średnie ryzyka z polisy, co mogłaby nie zablokować atakera przed wykorzystaniem naruszonej tożsamości. Wybranie niskiego poziomu ryzyka w celu wymagania kontroli dostępu skutkuje większą liczbą interakcji z użytkownikiem.

Skonfigurowane zaufane lokalizacje sieciowe są używane przez Microsoft Entra ID Protection w niektórych wykryciach ryzyka w celu zmniejszenia liczby wyników fałszywie dodatnich.

Konfiguracje zasad, które wymieniono poniżej, obejmują kontrolę częstotliwości logowania wymaganą do ponownego uwierzytelnienia dla ryzykownych użytkowników i prób logowania.

Zalecenie firmy Microsoft

Firma Microsoft zaleca następujące konfiguracje zasad ryzyka w celu ochrony organizacji:

• Zasady ryzyka związanego z użytkownikiem
  • Wymagaj bezpiecznej zmiany hasła, gdy poziom ryzyka użytkownika jest wysoki. Microsoft Entra uwierzytelnianie wieloskładnikowe jest wymagane, zanim użytkownik będzie mógł utworzyć nowe hasło z odwróconym zapisem haseł, aby ograniczyć ich ryzyko.
  • Bezpieczna zmiana hasła przy użyciu samoobsługowego resetowania hasła jest jedynym sposobem samodzielnego korygowania ryzyka użytkownika, niezależnie od poziomu ryzyka.
• Zasady ryzyka logowania
  • Wymagaj wieloskładnikowego uwierzytelniania Microsoft Entra, gdy poziom ryzyka logowania jest średni lub wysoki, co pozwala użytkownikom potwierdzić swoją tożsamość za pomocą jednej z zarejestrowanych metod uwierzytelniania, zmniejszając ryzyko logowania.
  • Pomyślne uwierzytelnianie wieloskładnikowe to jedyny sposób samodzielnego korygowania ryzyka logowania, niezależnie od poziomu ryzyka.

Wymaganie kontroli dostępu, gdy poziom ryzyka jest niski, wprowadza więcej przeszkód i zakłóceń dla użytkownika niż przy średnim lub wysokim poziomie. Wybranie opcji blokowania dostępu zamiast zezwalania na opcje samodzielnego korygowania, takie jak bezpieczna zmiana hasła i uwierzytelnianie wieloskładnikowe, mają wpływ na użytkowników i administratorów jeszcze bardziej. Rozważ te opcje podczas konfigurowania zasad.

Korygowanie ryzyka

Organizacje mogą blokować dostęp po wykryciu ryzyka. Blokowanie czasami uniemożliwia uzasadnionym użytkownikom wykonywanie tego, co muszą. Lepszym rozwiązaniem jest skonfigurowanie zasad dostępu warunkowego opartego na ryzyku ilogowania , które umożliwiają użytkownikom samodzielne korygowanie.

Ostrzeżenie

Użytkownicy muszą zarejestrować się do usługi Microsoft Entra do uwierzytelniania wieloskładnikowego, zanim napotkają sytuację wymagającą działań naprawczych. W przypadku użytkowników hybrydowych synchronizowanych ze środowiska lokalnego należy włączyć funkcję zapisywania zwrotnego haseł. Użytkownicy, którzy nie są zarejestrowani, są blokowani i wymagają interwencji administratora.

Zmiana hasła (znam swoje hasło i chcę zmienić je na coś nowego) poza przepływem naprawczym dla użytkowników oznaczanych jako ryzykowni nie spełnia wymagań dotyczących bezpiecznej zmiany hasła.

Włącz zasady

Organizacje mogą zdecydować się na wdrożenie zasad opartych na ryzyku w dostępie warunkowym, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Zanim organizacje włączą te zasady, powinny podjąć działania w celu zbadania i skorygowania wszelkich aktywnych zagrożeń.

Wykluczenia w polisie

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne typu break-glass, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i zasady usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Zasady ryzyka użytkownika w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W części Przypisania wybierz Użytkownicy lub tożsamości obciążeń roboczych.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta awaryjnego dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
   1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrola dostępu>Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz pozycję Wymagaj zmiany hasła.
   3. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i ustaw Włącz zasady na tylko raportowanie.
11. Wybierz Utwórz, aby włączyć swoje zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko raportowania, mogą przenieść przełącznik Włącz politykę z Tylko raport na Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka użytkowników bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj działania na użytkowników bez hasła.
2. Zablokuj dostęp użytkownikom korzystającym z systemów bezhasłowych w sekcji Kontrola dostępu.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

• Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
• Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Korygowanie i odblokowywanie ryzyka użytkownika bez hasła

1. Wymagaj od administratora przeprowadzenia dochodzenia i naprawy każdego ryzyka.
2. Odblokuj użytkownika.

Zasady ryzyka logowania w dostępie warunkowym

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości związane z obciążeniami.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz awaryjne konta uprzywilejowane swojej organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel dostępu wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i przełącz opcję Włącz zasady na Tylko do raportowania.
11. Wybierz Utwórz, aby włączyć swoje zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko raportowania mogą przenieść przełącznik Włącz politykę z pozycji Tylko raport do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz Użytkownicy i grupy i skieruj użytkowników bez hasła.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz awaryjne konta dostępu w organizacji.
   3. Wybierz pozycję Gotowe.
2. W polu Aplikacje w chmurze lub akcje>Uwzględnij, wybierz Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze").
3. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
   1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Aby uzyskać więcej informacji na temat poziomów ryzyka, zobacz Wybieranie akceptowalnych poziomów ryzyka.
   2. Wybierz pozycję Gotowe.
4. W obszarze Kontrola dostępu>Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz opcję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowane bezhasłowe MFA lub odporne na phishing MFA, w zależności od metody dostępnej dla użytkowników docelowych.
   2. Wybierz Wybierz.
5. Podczas sesji :
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.

Migrowanie zasad ryzyka do dostępu warunkowego

Jeśli w Ochrona tożsamości Microsoft Entra włączono starsze zasady ryzyka, należy zaplanować ich migrację do dostępu warunkowego:

Ostrzeżenie

Starsze zasady ryzyka skonfigurowane w Microsoft Entra ID Protection zostaną wycofane 1 października 2026 r.

Migrowanie do dostępu warunkowego

1. Utwórz równoważnezasady oparte na ryzyku użytkownika i zasady oparte na ryzyku logowania w trybie dostępu warunkowego wyłącznie do raportowania. Zasady można utworzyć przy użyciu poprzednich kroków lub użyć szablonów dostępu warunkowego na podstawie zaleceń firmy Microsoft i wymagań organizacji.
   1. Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportowania, mogą przenieść przełącznik Włącz politykę z tylko do raportowania na Włączone.
2. Wyłącz stare zasady ryzyka w usłudze ID Protection.
   1. Przejdź do Ochrona>Ochrona tożsamości> Wybierz zasady dotyczące ryzyka użytkownika lub ryzyka logowania.
   2. Ustaw opcję Wymuszaj zasady na Wyłączone.
3. W razie potrzeby utwórz inne zasady ryzyka w ramach dostępu warunkowego.

Powiązana zawartość

• Włącz zasadę rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft Entra
• Co to jest ryzyko
• Analizowanie wykryć ryzyka
• Symulowanie wykrywania ryzyka