Требовать многофакторную проверку подлинности для повышенного риска входа

Большинство пользователей имеют обычное поведение, которое можно отследить, а когда оно выходит за пределы этой нормы, может быть рискованно позволять им войти в систему. Возможно, вы хотите заблокировать этого пользователя или, возможно, попросите их выполнить многофакторную проверку подлинности, чтобы доказать, что они действительно те, кто они говорят, что они.

Риск входа представляет вероятность того, что заданный запрос проверки подлинности не является владельцем удостоверения. Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включая обнаружение рисков входа Защита идентификации Microsoft Entra.

Политика на основе рисков входа защищает пользователей от регистрации MFA в рискованных сеансах. Если пользователи не зарегистрированы для многофакторной проверки подлинности, их рискованные входы будут заблокированы и возникнет ошибка AADSTS53004.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Реализация с помощью политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе >выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
7. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
   1. В разделе "Выбор уровня риска входа" эта политика будет применяться, выберите "Высокий " и "Средний". Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите Выбрать.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновление политики риска без пароля

1. В разделе "Пользователи":
   1. Включите, выберите Пользователи и группы и выберите всех пользователей. Убедитесь, что все пользователи могут удовлетворить многофакторную проверку подлинности.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
2. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
   1. В разделе "Выбор уровня риска входа" эта политика будет применяться, выберите "Высокий " и "Средний". Дополнительные сведения о уровнях риска см. в разделе Выбор допустимых уровней риска.
   2. Нажмите кнопку Готово.
3. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите Требовать уровень аутентификации, затем выберите встроенную многофакторную аутентификацию или нужный уровень аутентификации из списка.
   2. Выберите Выбрать.
4. В разделе сеанс:
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.

Исправление и разблокирование риска входа без пароля

1. Требовать исследования администратора и исправления любого риска.
2. Разблокируйте пользователя.

Связанный контент

• Постоянное требование повторной проверки подлинности
• Устранение рисков и разблокирование пользователей
• Распространенные политики условного доступа
• Условный доступ на основе рисков пользователей
• Определение эффекта с помощью режима только для отчета условного доступа
• Использование режима только для отчета для условного доступа для определения результатов новых решений политики