Поделиться через

Настройка и включение политик риска

  • Статья

В условном доступе Microsoft Entra можно настроить два типа политик риска. Эти политики можно использовать для автоматизации реагирования на риски, позволяющие пользователям самостоятельно устранять риски при обнаружении риска:

Снимок экрана: политика условного доступа, показывающая риск в качестве условий.

Выбор приемлемых уровней риска

Организации должны определить уровень риска, на который они готовы пойти, устанавливая контроль доступа для балансирования между удобством пользователя и уровнем безопасности.

При выборе применения контроля доступа на уровне высокого риска снижается количество срабатываний политики и минимизация трений для пользователей. Однако он исключает из политики низкие и средние риски, которые могут не блокировать злоумышленника от использования скомпрометированного удостоверения. Выбор низкого уровня риска для осуществления контроля доступа вызывает больше прерываний для пользователей.

Настроенные надежные сетевые расположения используются Microsoft Entra ID Protection в некоторых обнаружениях рисков, чтобы уменьшить количество ложных срабатываний.

Следующие конфигурации политики включают контроль частоты сеансов входа, требующий повторной проверки подлинности для рискованных пользователей и входов в систему.

Рекомендация Майкрософт

Корпорация Майкрософт рекомендует использовать следующие конфигурации политик риска для защиты организации:

  • Политика риска пользователей
    • Требовать изменения безопасного пароля, если уровень риска пользователя является высоким. Многофакторная проверка подлинности Microsoft Entra требуется, прежде чем пользователь сможет создать новый пароль с возможностью обратной записи, для снижения уровня риска.
    • Безопасное изменение пароля с помощью самостоятельного сброса пароля — единственный способ самостоятельного устранения риска пользователей независимо от уровня риска.
  • Политика риска входа
    • Требовать многофакторную проверку подлинности Microsoft Entra, если уровень риска входа — средний или высокий, что позволяет пользователям доказать, что это они с помощью одного из зарегистрированных методов проверки подлинности, исправляя риск входа.
    • Успешная многофакторная проверка подлинности — единственный способ самостоятельного устранения риска входа независимо от уровня риска.

Требование контроля доступа при низком уровне риска вызывает больше помех и прерываний для пользователей, чем при среднем или высоком уровне риска. Выбор блокировки доступа, а не разрешение параметров самостоятельного исправления, таких как безопасное изменение пароля и многофакторная проверка подлинности, влияет на пользователей и администраторов еще больше. Взвесьте эти варианты при настройке политик.

Исправление риска

Организации могут предпочесть блокировку доступа при обнаружении риска. Блокировка иногда запрещает полномочным пользователям выполнять нужные им действия. Лучшее решение — настроить политики условного доступа на основе рисков, связанных с пользователем и входом, которые позволяют пользователям самостоятельно устранять проблемы.

Предупреждение

Пользователи должны зарегистрировать многофакторную проверку подлинности Microsoft Entra, прежде чем столкнуться с ситуацией, требующей исправления. Для гибридных пользователей, синхронизированных из локальной среды, необходимо включить обратную запись паролей. Незарегистрированные пользователи будут заблокированы. Для них потребуется вмешательство администратора.

Изменение пароля (я знаю свой пароль и хочу изменить его на что-то новое) за пределами потока исправления политики рискованного пользователя не соответствует требованию для безопасного изменения пароля.

Включение политик

Организации могут развертывать политики на основе рисков в условном доступе, выполнив следующие действия или использовать шаблоны условного доступа.

Перед включением этих политик организациями следует принять меры по изучению и устранению любых активных рисков.

Исключения в полисах

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или экстренные учетные записи, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаций рабочих нагрузок, чтобы определить политики, нацеленные на представители службы.

Политика риска пользователей в условном доступе

  1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве администратора условного доступа.
  2. Перейдите к защите>условному доступу.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Облачные приложения или действия>, включите Все ресурсы (прежнее название — «Все облачные приложения»).
  7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
    1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
    2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Выберите " Требовать изменение пароля".
    3. Выберите Выберите.
  9. В разделе Сеанс.
    1. Выберите Частота входа.
    2. Убедитесь, что выбрано Каждый раз.
    3. Выберите Выбрать.
  10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновление политики риска пользователей без пароля

  1. В разделе "Пользователи":
    1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
  2. В разделе "Элементы управления доступом" блокировка> доступа для пользователей без пароля.

Совет

Вам может понадобиться иметь две политики на некоторое время при развертывании методов аутентификации без паролей.

  • Тот, который позволяет самостоятельное устранение для тех, кто не использует беспарольные методы.
  • Другой, который блокирует пользователей с высоким риском без пароля.

Исправление и разблокировка риска пользователя без пароля

  1. Требовать, чтобы администратор провел расследование и исправление любого риска.
  2. Разблокируйте пользователя.

Политика риска входа в условном доступе

  1. Войдите в Центр администрирования Microsoft Entra, имея по крайней мере роль Администратора условного доступа.
  2. Перейдите к Защита>Условному доступу.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе "Облачные приложения или действия">Включить выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
  7. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
    1. В разделе Выберите уровень риска входа, к которому будет применяться эта политика, выберите Высокий и Средний. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
    2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Выберите Выберите.
  9. В разделе Сеанс.
    1. Выберите Частота входа.
    2. Убедитесь, что выбрано Каждый раз.
    3. Выберите Выберите.
  10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновите политику риска бесконтактного входа в систему

  1. В разделе "Пользователи":
    1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
    2. В разделе Исключить выберите Пользователей и группы и укажите учетные записи аварийного доступа или обхода системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  2. В разделе Облачные приложения или действия>включите, выберите Все ресурсы (ранее — "Все облачные приложения").
  3. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
    1. В разделе Выберите уровень риска входа, к которому будет применяться данная политика, выберите Высокий и Средний. Дополнительные сведения о уровнях риска см. в разделе Выбор допустимых уровней риска.
    2. Нажмите кнопку Готово.
  4. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите требование к надежности аутентификации, а затем выберите встроенные MFA без пароля или фишингоустойчивые MFA в зависимости от метода, используемого целевыми пользователями.
    2. Выберите Выберите.
  5. В подразделе сессия:
    1. Выберите Частота входа.
    2. Убедитесь, что выбрано Каждый раз.
    3. Выберите Выберите.

Перенос политик риска в условный доступ

Если в Защита идентификации Microsoft Entra включены устаревшие политики рисков, необходимо запланировать их перенос в условный доступ:

Предупреждение

Устаревшие политики рисков, настроенные в Защита идентификации Microsoft Entra, будут прекращены 1 октября 2026 года.

Переход на условный доступ

  1. Создайте эквивалентныеполитики на основе риска для пользователей и на основе риска входа в Условном Доступе в режиме только для отчетов. Вы можете создать политику с помощью предыдущих шагов или использовать шаблоны условного доступа на основе рекомендаций Майкрософт и требований организации.
    1. После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
  2. Отключите старые политики риска в защите идентификаторов.
    1. Перейдите к разделу Защита>Защита идентификации> Выберите политику Риск пользователя или Риск входа.
    2. Установите значение Применение политики на Отключено.
  3. При необходимости создайте другие политики риска в условном доступе.

Связанный контент