Udostępnij za pośrednictwem


Samouczek: używanie wykrywania ryzyka dla logowania użytkowników w celu wyzwolenia uwierzytelniania wieloskładnikowego lub zmian haseł firmy Microsoft

Aby chronić użytkowników, możesz skonfigurować oparte na ryzyku zasady dostępu warunkowego firmy Microsoft Entra, które automatycznie reagują na ryzykowne zachowania. Te zasady mogą automatycznie blokować próbę logowania lub wymagać dodatkowej akcji, takiej jak wymaganie bezpiecznej zmiany hasła lub monitowanie o uwierzytelnianie wieloskładnikowe firmy Microsoft. Te zasady działają z istniejącymi zasadami dostępu warunkowego firmy Microsoft Entra jako dodatkową warstwą ochrony dla organizacji. Użytkownicy mogą nigdy nie wyzwalać ryzykownego zachowania w jednej z tych zasad, ale Twoja organizacja jest chroniona, jeśli zostanie podjęta próba naruszenia bezpieczeństwa.

Ważne

W tym samouczku przedstawiono administratorowi sposób włączania uwierzytelniania wieloskładnikowego opartego na ryzyku (MFA).

Jeśli twój zespół IT nie włączył możliwości korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft lub masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Omówienie dostępnych zasad
  • Włączanie rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft
  • Włączanie zmiany haseł opartej na ryzykach
  • Włączanie uwierzytelniania wieloskładnikowego opartego na ryzyku
  • Testowanie zasad opartych na ryzyku dla prób logowania użytkowników

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

Omówienie Ochrona tożsamości Microsoft Entra

Każdego dnia firma Microsoft zbiera i analizuje biliony anonimowych sygnałów w ramach prób logowania użytkowników. Te sygnały pomagają tworzyć wzorce dobrego zachowania logowania użytkownika i identyfikować potencjalne ryzykowne próby logowania. Ochrona tożsamości Microsoft Entra może przejrzeć próby logowania użytkownika i podjąć dodatkowe działania, jeśli występują podejrzane zachowania:

Niektóre z następujących akcji mogą wyzwalać Ochrona tożsamości Microsoft Entra wykrywania ryzyka:

  • Użytkownicy z ujawnionymi poświadczeniami.
  • Logowania z anonimowych adresów IP.
  • Niemożliwa podróż do nietypowych lokalizacji.
  • Logowania z zainfekowanych urządzeń.
  • Logowania z adresów IP z podejrzanymi działaniami.
  • Logowania z nieznanych lokalizacji.

Ten artykuł przeprowadzi Cię przez proces włączania trzech zasad w celu ochrony użytkowników i automatyzowania odpowiedzi na podejrzane działania.

  • Zasady rejestracji uwierzytelniania wieloskładnikowego
    • Upewnij się, że użytkownicy są zarejestrowani na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli zasady ryzyka logowania monituje o uwierzytelnianie wieloskładnikowe, użytkownik musi być już zarejestrowany na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.
  • Zasady ryzyka związanego z użytkownikiem
    • Identyfikuje i automatyzuje odpowiedź na konta użytkowników, które mogą mieć naruszone poświadczenia. Może monitować użytkownika o utworzenie nowego hasła.
  • Zasady związane z ryzykiem logowania
    • Identyfikuje i automatyzuje odpowiedź na podejrzane próby logowania. Może monitować użytkownika o podanie dodatkowych form weryfikacji przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

Po włączeniu zasad opartych na ryzyku można również wybrać próg dla poziomu ryzyka — niski, średni lub wysoki. Ta elastyczność pozwala zdecydować, jak agresywny ma być wymuszanie wszelkich mechanizmów kontroli podejrzanych zdarzeń logowania. Firma Microsoft zaleca następujące konfiguracje zasad.

Aby uzyskać więcej informacji na temat Ochrona tożsamości Microsoft Entra, zobacz Co to jest Ochrona tożsamości Microsoft Entra?

Włączanie zasad rejestracji uwierzytelniania wieloskładnikowego

Ochrona tożsamości Microsoft Entra zawiera domyślne zasady, które mogą ułatwić użytkownikom zarejestrowanie się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli używasz innych zasad do ochrony zdarzeń logowania, użytkownicy będą musieli już zarejestrować się w usłudze MFA. Po włączeniu tych zasad nie wymaga to od użytkowników przeprowadzania uwierzytelniania wieloskładnikowego podczas każdego zdarzenia logowania. Zasady sprawdzają tylko stan rejestracji użytkownika i proszą o wstępne wyrejestrowanie w razie potrzeby.

Zaleca się włączenie tych zasad rejestracji dla użytkowników korzystających z uwierzytelniania wieloskładnikowego. Aby włączyć te zasady, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
  2. Przejdź do sekcji Ochrona zasad> rejestracji uwierzytelniania wieloskładnikowego usługi Identity Protection.>
  3. Domyślnie zasady dotyczą wszystkich użytkowników. W razie potrzeby wybierz pozycję Przypisania, a następnie wybierz użytkowników lub grupy, dla których mają być stosowane zasady.
  4. W obszarze Kontrolki wybierz pozycję Dostęp. Upewnij się, że opcja Wymagaj rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft jest zaznaczona, a następnie wybierz pozycję Wybierz.
  5. Ustaw opcję Wymuszaj zasady na Włączone, a następnie wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający sposób, w jaki użytkownicy muszą zarejestrować się w usłudze MFA.

Włączanie zasad ryzyka związanego z użytkownikiem na potrzeby zmiany hasła

Firma Microsoft współpracuje z naukowcami, organami ścigania, różnymi zespołami ds. zabezpieczeń w firmie Microsoft i innymi zaufanymi źródłami w celu wyszukiwania par „nazwa użytkownika i hasło”. Jeśli jedna z tych par pasuje do konta w twoim środowisku, można zażądać zmiany hasła opartego na ryzyku. Te zasady i działania wymagają, aby użytkownik zaktualizował swoje hasło, zanim będzie mógł się zalogować, aby upewnić się, że wszystkie wcześniej uwidocznione poświadczenia nie będą już działać.

Aby włączyć te zasady, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
  7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
    1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
    2. Wybierz pozycję Wymagaj zmiany hasła.
    3. Wybierz pozycję Wybierz.
  9. W obszarze Sesja.
    1. Wybierz pozycję Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz pozycję Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka użytkowników bez hasła

  1. W obszarze Użytkownicy:
    1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skierować użytkowników bez hasła.
  2. W obszarze Kontrola>dostępu Blokuj dostęp dla użytkowników bez hasła.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

  • Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
  • Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Korygowanie i odblokowywanie ryzyka użytkownika bez hasła

  1. Wymagaj badania administratora i korygowania dowolnego ryzyka.
  2. Odblokuj użytkownika.

Włączanie zasad ryzyka logowania dla uwierzytelniania wieloskładnikowego

Większość użytkowników ma normalne zachowanie, które można śledzić. Gdy wykraczają poza tę normę, może to być ryzykowne, aby umożliwić im pomyślne zalogowanie się. Zamiast tego możesz zablokować tego użytkownika lub poprosić go o przeprowadzenie uwierzytelniania wieloskładnikowego. Jeśli użytkownik pomyślnie ukończy wyzwanie uwierzytelniania wieloskładnikowego, możesz rozważyć prawidłową próbę logowania i udzielić dostępu do aplikacji lub usługi.

Aby włączyć te zasady, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
  7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
    1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
    2. Wybierz pozycję Wybierz.
  9. W obszarze Sesja.
    1. Wybierz pozycję Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz pozycję Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
  11. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

  1. W obszarze Użytkownicy:
    1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skierować użytkowników bez hasła.
  2. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki.
  3. W obszarze Kontrola>dostępu Blokuj dostęp dla użytkowników bez hasła.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

  • Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
  • Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Korygowanie i odblokowywanie ryzyka związanego z logowaniem bez hasła

  1. Wymagaj badania administratora i korygowania dowolnego ryzyka.
  2. Odblokuj użytkownika.

Testowanie ryzykownych zdarzeń podpisywania

Większość zdarzeń logowania użytkownika nie wyzwala zasad opartych na ryzyku skonfigurowanych w poprzednich krokach. Użytkownik może nigdy nie zobaczyć monitu o uwierzytelnianie wieloskładnikowe lub zresetować hasło. Jeśli ich poświadczenia pozostaną bezpieczne, a ich zachowanie będzie spójne, zdarzenia logowania zakończyłyby się pomyślnie.

Aby przetestować zasady Ochrona tożsamości Microsoft Entra utworzone w poprzednich krokach, musisz zasymulować ryzykowne zachowanie lub potencjalne ataki. Kroki do wykonania tych testów różnią się w zależności od zasad Ochrona tożsamości Microsoft Entra, które chcesz zweryfikować. Aby uzyskać więcej informacji na temat scenariuszy i kroków, zobacz Symulowanie wykrywania ryzyka w Ochrona tożsamości Microsoft Entra.

Czyszczenie zasobów

Jeśli ukończysz testowanie i nie chcesz już mieć włączonych zasad opartych na ryzyku, wróć do każdej zasady, które chcesz wyłączyć i ustawić ustawienie Włącz zasady na Wyłączone lub usuń.

Następne kroki

W tym samouczku włączono zasady użytkowników oparte na ryzyku dla Ochrona tożsamości Microsoft Entra. W tym samouczku omówiono:

  • Omówienie dostępnych zasad dla Ochrona tożsamości Microsoft Entra
  • Włączanie rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft
  • Włączanie zmiany haseł opartej na ryzykach
  • Włączanie uwierzytelniania wieloskładnikowego opartego na ryzyku
  • Testowanie zasad opartych na ryzyku dla prób logowania użytkowników