Требовать безопасное изменение пароля для повышенного риска пользователя

Майкрософт сотрудничает с исследователями, правоохранительными органами, различными группами безопасности Майкрософт и другими доверенными источниками для поиска пар "имя пользователя и пароль". Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включающие обнаружение рисков пользователей с помощью защиты идентификации Microsoft Entra ID.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи экстренного доступа для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и служебные принципалы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные сервисными принципалами, не блокируются политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Включение с помощью политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к Защите>Условному доступу.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе Облачные приложения или действия>Включить выберите Все ресурсы (прежнее название — "Все облачные приложения").
7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
   1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите " Требовать изменение пароля".
   3. Выберите Выберите.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновление политики риска пользователей без пароля

1. В разделе "Пользователи":
   1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
2. В разделе "Элементы управления доступом" блокировка> доступа для пользователей без пароля.

Совет

В течение некоторого времени может потребоваться иметь две политики при развертывании методов без паролей.

• Такая возможность самостоятельного исправления для тех, кто не использует методы без пароля.
• Другой вариант, который блокирует пользователей без паролей с высоким риском.

Устранение и разблокировка пользовательского риска в системе безпарольной аутентификации

1. Требовать от администратора расследования и исправления любого риска.
2. Разблокируйте пользователя.

Связанный контент

• Постоянное требование повторной проверки подлинности
• Устранение рисков и разблокирование пользователей
• Распространенные политики условного доступа
• Условный доступ на основе риска при авторизации
• Определите эффект, используя режим отчетов только для условного доступа
• Используйте режим только отчетов для условного доступа, чтобы определить результаты новых политических решений