Udostępnij za pośrednictwem

Samouczek: używanie detekcji ryzyka dla logowania użytkowników, aby wywołać uwierzytelnianie wieloskładnikowe lub zmiany haseł Microsoft Entra

  • Artykuł

Aby chronić użytkowników, możesz skonfigurować oparte na ryzyku zasady dostępu warunkowego firmy Microsoft Entra, które automatycznie reagują na ryzykowne zachowania. Te zasady mogą automatycznie blokować próbę logowania lub wymagać dodatkowej akcji, takiej jak wymaganie bezpiecznej zmiany hasła lub monitowanie o uwierzytelnianie wieloskładnikowe firmy Microsoft. Te zasady działają z istniejącymi zasadami dostępu warunkowego firmy Microsoft Entra jako dodatkową warstwą ochrony dla organizacji. Użytkownicy mogą nigdy nie wyzwalać ryzykownego zachowania w jednej z tych zasad, ale Twoja organizacja jest chroniona, jeśli zostanie podjęta próba naruszenia bezpieczeństwa.

Ważne

W tym samouczku przedstawiono administratorowi sposób włączania uwierzytelniania wieloskładnikowego opartego na ryzyku (MFA).

Jeśli twój zespół IT nie włączył możliwości korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft lub masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Omówienie dostępnych zasad
  • Włącz rejestrację uwierzytelniania wieloskładnikowego Microsoft Entra
  • Włączanie zmiany haseł opartej na ryzykach
  • Włączanie uwierzytelniania wieloskładnikowego opartego na ryzyku
  • Testowanie zasad opartych na ryzyku dla prób logowania użytkowników

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Działająca dzierżawa Microsoft Entra z co najmniej włączoną licencją Microsoft Entra ID P2 lub z włączoną wersją próbną.
  • Konto z uprawnieniami administratora zabezpieczeń.
  • Microsoft Entra ID skonfigurowany do samoobsługowego resetowania haseł i uwierzytelniania wieloskładnikowego w Microsoft Entra.

Omówienie Ochrona tożsamości Microsoft Entra

Każdego dnia firma Microsoft zbiera i analizuje biliony anonimowych sygnałów w ramach prób logowania użytkowników. Te sygnały pomagają tworzyć wzorce dobrego zachowania logowania użytkownika i identyfikować potencjalne ryzykowne próby logowania. Ochrona tożsamości Microsoft Entra może przejrzeć próby logowania użytkownika i podjąć dodatkowe działania, jeśli występują podejrzane zachowania:

Niektóre z następujących działań mogą wyzwalać wykrywanie ryzyka przez Ochronę tożsamości Microsoft Entra.

  • Użytkownicy z ujawnionymi poświadczeniami.
  • Logowania z anonimowych adresów IP.
  • Niemożliwa podróż do nietypowych lokalizacji.
  • Logowania z zainfekowanych urządzeń.
  • Logowania z adresów IP z podejrzanymi działaniami.
  • Logowania z nieznanych lokalizacji.

Ten artykuł przeprowadzi Cię przez proces włączania trzech zasad w celu ochrony użytkowników i automatyzowania odpowiedzi na podejrzane działania.

  • Zasady rejestracji uwierzytelniania wieloskładnikowego
    • Upewnij się, że użytkownicy są zarejestrowani na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli zasady ryzyka logowania monitują o uwierzytelnianie wieloskładnikowe, użytkownik musi być już zarejestrowany do Microsoft Entra uwierzytelniania wieloskładnikowego.
  • Zasady ryzyka związanego z użytkownikiem
    • Identyfikuje i automatyzuje odpowiedź na konta użytkowników, które mogą mieć naruszone poświadczenia. Może monitować użytkownika o utworzenie nowego hasła.
  • Zasady związane z ryzykiem logowania
    • Identyfikuje i automatyzuje odpowiedź na podejrzane próby logowania. Może monitować użytkownika o podanie dodatkowych form weryfikacji przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

Po włączeniu zasad opartych na ryzyku można również wybrać próg dla poziomu ryzyka — niski, średni lub wysoki. Ta elastyczność pozwala zdecydować, jak agresywne ma być egzekwowanie jakichkolwiek mechanizmów kontroli dla podejrzanych zdarzeń logowania. Firma Microsoft zaleca następujące konfiguracje zasad.

Aby uzyskać więcej informacji na temat Ochrona tożsamości Microsoft Entra, zobacz Co to jest Ochrona tożsamości Microsoft Entra?

Włącz zasady dotyczące rejestrowania uwierzytelniania wieloskładnikowego

Ochrona tożsamości Microsoft Entra zawiera domyślne zasady, które mogą ułatwić użytkownikom zarejestrowanie się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli używasz innych zasad chroniących zdarzenia logowania, użytkownicy muszą być już zarejestrowani w MFA. Po włączeniu tych zasad nie wymaga to od użytkowników przeprowadzania uwierzytelniania wieloskładnikowego podczas każdego zdarzenia logowania. Polityka sprawdza tylko stan rejestracji użytkownika i prosi o zarejestrowanie się wstępnie w razie potrzeby.

Zaleca się włączenie tych zasad rejestracji dla użytkowników korzystających z uwierzytelniania wieloskładnikowego. Aby włączyć te zasady, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
  2. Przejdź do Ochrona>Ochrona tożsamości>Zasady rejestracji uwierzytelniania wieloskładnikowego.
  3. Domyślnie zasady dotyczą wszystkich użytkowników. W razie potrzeby wybierz pozycję Przypisania, a następnie wybierz użytkowników lub grupy, dla których mają być stosowane zasady.
  4. W obszarze Kontrolki wybierz pozycję Dostęp. Upewnij się, że opcja Wymagaj rejestracji uwierzytelniania wieloskładnikowego Microsoft Entra jest zaznaczona, a następnie wybierz Wybierz.
  5. Ustaw opcję Wymuszaj zasady na Włączone, a następnie wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający sposób, w jaki użytkownicy muszą zarejestrować się w usłudze MFA.

Włącz zasady ryzyka użytkownika do zmiany hasła

Firma Microsoft współpracuje z naukowcami, organami ścigania, różnymi zespołami ds. zabezpieczeń w firmie Microsoft i innymi zaufanymi źródłami w celu wyszukiwania par „nazwa użytkownika i hasło”. Jeśli jedna z tych par pasuje do konta w twoim środowisku, można zażądać zmiany hasła opartego na ryzyku. Te zasady i działania wymagają, aby użytkownik zaktualizował swoje hasło, zanim będzie mógł się zalogować, aby upewnić się, że wszystkie wcześniej uwidocznione poświadczenia nie będą już działać.

Aby włączyć te zasady, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeniowe.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz awaryjne konta z uprawnieniami przełamania zabezpieczeń w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
  7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
    1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola dostępu>Udziel, wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
    2. Wybierz pozycję Wymagaj zmiany hasła.
    3. Wybierz Wybierz.
  9. W obszarze Sesja.
    1. Wybierz Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz Wybierz.
  10. Potwierdź ustawienia i ustaw Włącz politykę na tylko do raportowania.
  11. Wybierz Utwórz, aby włączyć swoje zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko raportowym, mogą przenieść przełącznik Włącz politykę z pozycji Tylko raportowanie do pozycji Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka użytkowników bez hasła

  1. W obszarze Użytkownicy:
    1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i wybierz swoich użytkowników bez hasła.
  2. W obszarze Kontrole dostępu>blokuj dostęp dla użytkowników korzystających z logowania bez hasła.

Napiwek

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

  • Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
  • Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Rozwiązywanie i odblokowywanie ryzyka związanego z użytkownikami bez hasła

  1. Wymagaj działań administratora w zakresie badania i usuwania każdego ryzyka.
  2. Odblokuj użytkownika.

Włącz zasady ryzyka logowania przy użyciu uwierzytelniania wieloskładnikowego

Większość użytkowników ma normalne zachowanie, które można śledzić. Gdy wykraczają poza tę normę, może być ryzykownie pozwolić im się zalogować. Zamiast tego możesz zablokować tego użytkownika lub poprosić go o przeprowadzenie uwierzytelniania wieloskładnikowego. Jeśli użytkownik pomyślnie ukończy wyzwanie uwierzytelniania wieloskładnikowego, możesz rozważyć prawidłową próbę logowania i udzielić dostępu do aplikacji lub usługi.

Aby włączyć te zasady, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążenia.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W sekcji Wyklucz wybierz Użytkownicy i grupy i wybierz konta awaryjne lub konta z dostępem awaryjnym w organizacji.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
  7. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
    1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrole dostępu>Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
    2. Wybierz Wybierz.
  9. W obszarze Sesja.
    1. Wybierz Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz Wybierz.
  10. Potwierdź ustawienia i ustaw opcję Włącz politykę na tylko do raportowania.
  11. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu przez administratorów ustawień w trybie raportowania, mogą przenieść przełącznik Włącz zasady z Raportowanie na Włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka logowania bez hasła

  1. W obszarze Użytkownicy:
    1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj swoich użytkowników bez hasła.
    2. W sekcji Wyklucz wybierz Użytkownicy i grupy, a następnie wskaż konta awaryjne lub konta o specjalnym dostępie w organizacji.
    3. Wybierz pozycję Gotowe.
  2. W polu Aplikacje w chmurze lub akcje>Uwzględnij, wybierz Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze").
  3. W obszarze Warunki>Ryzyko logowania ustaw opcję Konfiguruj na Wartość Tak.
    1. W obszarze Wybierz poziom ryzyka logowania, do których będą stosowane te zasady, wybierz pozycję Wysoki i Średni. Aby uzyskać więcej informacji na temat poziomów ryzyka, zobacz Wybieranie akceptowalnych poziomów ryzyka.
    2. Wybierz pozycję Gotowe.
  4. W obszarze Kontrole dostępu>Udzielanie dostępu, wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj poziomu zabezpieczeń uwierzytelnienia, a następnie wybierz wbudowane uwierzytelnianie wieloskładnikowe bez użycia hasła lub odporne na wyłudzanie informacji uwierzytelnianie wieloskładnikowe, w zależności od metody dostępnej dla użytkowników docelowych.
    2. Wybierz Wybierz.
  5. Podczas sesji :
    1. Wybierz Częstotliwość logowania.
    2. Upewnij się, że za każdym razem jest zaznaczone.
    3. Wybierz Wybierz.

Testowanie ryzykownych znaków zdarzeń

Większość zdarzeń logowania użytkownika nie wyzwala zasad opartych na ryzyku skonfigurowanych w poprzednich krokach. Użytkownik może nigdy nie zobaczyć monitu o uwierzytelnianie wieloskładnikowe lub zresetować hasło. Jeśli ich poświadczenia pozostaną bezpieczne, a ich zachowanie będzie spójne, zdarzenia logowania zakończyłyby się pomyślnie.

Aby przetestować zasady ochrony tożsamości w Microsoft Entra utworzone w poprzednich krokach, musisz znaleźć sposób na zasymulowanie ryzykownego zachowania lub potencjalnych ataków. Kroki do wykonania tych testów różnią się w zależności od zasad Microsoft Entra ID Protection, które chcesz zweryfikować. Aby uzyskać więcej informacji na temat scenariuszy i kroków, zobacz Symulowanie wykrywania ryzyka w Microsoft Entra ID Protection.

Czyszczenie zasobów

Jeśli ukończysz testowanie i nie chcesz już mieć włączonych zasad opartych na ryzyku, wróć do każdej zasady, które chcesz wyłączyć i ustawić ustawienie Włącz zasady na Wyłączone lub usuń.

Następne kroki

W tym samouczku włączono zasady użytkowników oparte na ocenie ryzyka dla Microsoft Entra ID Protection. Nauczyłeś się, jak:

  • Zrozum dostępne zasady dla ochrony tożsamości Microsoft Entra
  • Włącz rejestrację uwierzytelniania wieloskładnikowego Microsoft Entra
  • Włączanie zmiany haseł opartej na ryzykach
  • Włączanie uwierzytelniania wieloskładnikowego opartego na ryzyku
  • Testowanie zasad opartych na ryzyku dla prób logowania użytkowników

Dowiedz się więcej o Ochrona tożsamości Microsoft Entra