Требовать безопасное изменение пароля для повышенного риска пользователя
Майкрософт сотрудничает с исследователями, правоохранительными органами, различными группами безопасности Майкрософт и другими доверенными источниками для поиска пар "имя пользователя и пароль". Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включающие обнаружение рисков пользователей с помощью защиты идентификации Microsoft Entra ID.
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
-
Аварийный доступ или учетные записи экстренного доступа для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
-
Учетные записи служб и служебные принципалы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные сервисными принципалами, не блокируются политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.
Включение с помощью политики условного доступа
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к Защите>Условному доступу.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
- Нажмите кнопку Готово.
- В разделе Облачные приложения или действия>Включить выберите Все ресурсы (прежнее название — "Все облачные приложения").
- В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
- В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
- Нажмите кнопку Готово.
- В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
- Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
- Выберите " Требовать изменение пароля".
- Выберите Выберите.
- В разделе Сеанс.
- Выберите Частота входа.
- Убедитесь, что выбрано Каждый раз.
- Выберите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Сценарии без пароля
Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:
Обновление политики риска пользователей без пароля
- В разделе "Пользователи":
- Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
- В разделе "Элементы управления доступом" блокировка> доступа для пользователей без пароля.
Совет
В течение некоторого времени может потребоваться иметь две политики при развертывании методов без паролей.
- Такая возможность самостоятельного исправления для тех, кто не использует методы без пароля.
- Другой вариант, который блокирует пользователей без паролей с высоким риском.
Устранение и разблокировка пользовательского риска в системе безпарольной аутентификации
- Требовать от администратора расследования и исправления любого риска.
- Разблокируйте пользователя.
Связанный контент
- Постоянное требование повторной проверки подлинности
- Устранение рисков и разблокирование пользователей
- Распространенные политики условного доступа
- Условный доступ на основе риска при авторизации
- Определите эффект, используя режим отчетов только для условного доступа
- Используйте режим только отчетов для условного доступа, чтобы определить результаты новых политических решений