Опыт самостоятельного исправления с помощью Защиты идентификаций Microsoft Entra и Условного доступа
С помощью Microsoft Entra ID Protection и Условного доступа вы можете:
- Требовать, чтобы пользователи регистрируются для многофакторной проверки подлинности Microsoft Entra
- автоматизировать исправление последствий рискованных входов и взлома пользователей.
- Блокировать пользователей в определенных случаях.
Политики условного доступа, которые учитывают риск пользователя и риск входа, влияют на процесс входа для пользователей. Позволяя пользователям использовать такие средства, как многофакторная проверка подлинности Microsoft Entra и самостоятельный сброс пароля, может снизить влияние. Эти средства, а также соответствующие варианты политики, предоставляют пользователям возможность самостоятельного исправления, когда они нуждаются в ней, при этом применяя строгие элементы управления безопасностью.
Регистрация многофакторной проверки подлинности
Если администратор включает политику защиты идентификаторов, требующую регистрации многофакторной проверки подлинности Microsoft Entra, пользователи могут использовать многофакторную проверку подлинности Microsoft Entra для самостоятельного исправления. Настройка этой политики дает пользователям 14-дневный период регистрации, после которого они вынуждены регистрироваться.
Прерывание регистрации
При входе в любое интегрированное приложение Microsoft Entra пользователь получает уведомление о необходимости настройки учетной записи для многофакторной проверки подлинности. Эта политика также активируется в интерфейсе Windows Out of Box для новых пользователей с новым устройством.
Выполните инструкции по регистрации для многофакторной проверки подлинности Microsoft Entra и входа.
Самостоятельное исправление рисков
Когда администратор настраивает политики условного доступа на основе уровня риска, пользователи столкнутся с ограничениями при достижении настроенного уровня риска. Если администраторы разрешают самостоятельное исправление с помощью многофакторной проверки подлинности, этот процесс отображается пользователем как обычный запрос многофакторной проверки подлинности.
Если пользователь завершает многофакторную проверку подлинности, их риск устраняется, и он может войти.
Если пользователь находится под угрозой, а не только вход, администраторы могут настроить политику риска пользователей в условном доступе, чтобы требовать изменения пароля в дополнение к многофакторной проверке подлинности. В этом случае пользователь видит следующий дополнительный экран.
Разблокировка рискованного входа администратором
Администраторы могут блокировать пользователей при входе в зависимости от их уровня риска. Чтобы получить разблокировку, пользователи должны связаться со своим ИТ-персоналом или попытаться войти из знакомого расположения или устройства. Самостоятельное исправление не является вариантом в этом случае.
ИТ-сотрудники могут следовать инструкциям в разблокировки пользователей, чтобы разрешить пользователям войти обратно.
Технический специалист по высоким уровням риска
Если домашний клиент не включает политики самостоятельного исправления, администратор в домашнем клиенте технического специалиста должен исправить риск. Например:
- У организации есть управляемый поставщик услуг (MSP) или поставщик облачных решений (CSP), который осуществляет настройку облачной среды.
- Произошла утечка учетных данных одного из технических специалистов MSP, и с этим связан высокий риск. Этому специалисту заблокирован вход в другие арендаторы.
- Специалист может самостоятельно устранить проблему и войти в систему, если арендатор жилья включил соответствующие политики, требующие смены пароля для пользователей с высоким риском или многофакторной аутентификации для рискованных пользователей.
- Если домашний клиент не включил политики самостоятельного исправления, администратор в домашнем клиенте технического специалиста должен исправить риск.