Dela via


Riskbaserade åtkomstprinciper

Riskbaserade principer för åtkomstkontroll kan tillämpas för att skydda organisationer när en inloggning eller användare identifieras vara i riskzonen.

Diagram som visar en konceptuell riskbaserad princip för villkorsstyrd åtkomst.

Villkorsstyrd åtkomst i Microsoft Entra erbjuder två användarspecifika riskvillkor som drivs av Microsoft Entra ID Protection-signaler: Inloggningsrisk och Användarrisk. Organisationer kan skapa riskbaserade principer för villkorsstyrd åtkomst genom att konfigurera dessa två riskvillkor och välja en metod för åtkomstkontroll. Under varje inloggning skickar ID Protection de identifierade risknivåerna till villkorsstyrd åtkomst och de riskbaserade principerna gäller om principvillkoren uppfylls.

Du kan behöva multifaktorautentisering när inloggningsrisknivån är medelhög eller hög. Användare uppmanas endast på den nivån.

Diagram som visar en konceptuell riskbaserad princip för villkorsstyrd åtkomst med självreparation.

I föregående exempel visas också en stor fördel med en riskbaserad princip: automatisk riskreparation. När en användare har slutfört den nödvändiga åtkomstkontrollen, till exempel en säker lösenordsändring, åtgärdas risken. Inloggningssessionen och användarkontot är inte i fara och ingen åtgärd krävs från administratören.

Att tillåta användare att självreparera med den här processen minskar avsevärt riskutredningen och reparationsbördan för administratörer samtidigt som din organisation skyddas från säkerhetskompromisser. Mer information om riskreparation finns i artikeln Åtgärda risker och avblockera användare.

Villkorsstyrd åtkomstpolicy baserad på inloggningsrisk

Under varje inloggning analyserar ID Protection hundratals signaler i realtid och beräknar en risknivå för inloggning som representerar sannolikheten för att den angivna autentiseringsbegäran inte är auktoriserad. Den här risknivån skickas sedan till villkorlig åtkomst, där organisationens konfigurerade principer utvärderas. Administratörer kan konfigurera inloggningsriskbaserade principer för villkorsstyrd åtkomst för att framtvinga åtkomstkontroller baserat på inloggningsrisk, inklusive krav som:

  • Blockera åtkomst
  • Tillåt åtkomst
  • Kräv multifaktorautentisering

Om risker identifieras vid en inloggning kan användarna utföra den åtkomstkontroll som krävs, till exempel multifaktorautentisering, för att självreparera och stänga den riskfyllda inloggningshändelsen för att förhindra onödigt brus för administratörer.

Skärmbild av en riskbaserad princip för inloggning med villkorsstyrd åtkomst.

Anteckning

Användare måste ha registrerat sig för multifaktorautentisering för Microsoft Entra innan de utlöser en riskpolicy för inloggning.

Användarriskbaserad princip för villkorsstyrd åtkomst

ID Protection analyserar signaler om användarkonton och beräknar en riskpoäng baserat på sannolikheten att användaren komprometteras. Om en användare har riskfyllt inloggningsbeteende eller om deras autentiseringsuppgifter läcker använder ID Protection dessa signaler för att beräkna användarrisknivån. Administratörer kan konfigurera användarriskbaserade principer för villkorsstyrd åtkomst för att framtvinga åtkomstkontroller baserat på användarrisk, inklusive krav som:

  • Blockera åtkomst.
  • Tillåt åtkomst men kräver en säker lösenordsändring.

En säker lösenordsändring åtgärdar användarrisken och stänger den riskfyllda användarhändelsen för att förhindra onödigt brus för administratörer.

Migrera ID Protection-riskprinciper till villkorsstyrd åtkomst

Om du har den äldre användarriskprincipen eller inloggningsriskprincip aktiverad i ID Protection (tidigare Identity Protection), migrera dem till villkorlig åtkomst.

Varning

De äldre riskprinciperna som konfigurerats i Microsoft Entra ID Protection dras tillbaka den 1 oktober 2026.

Att konfigurera riskprinciper i villkorsstyrd åtkomst ger fördelar som möjligheten att:

  • Hantera åtkomstprinciper på en plats.
  • Använd endast rapportläge och Graph-API:er.
  • Framtvinga inloggningsfrekvens för att kräva omautentisering varje gång.
  • Ge detaljerad åtkomstkontroll som kombinerar risker med andra villkor som plats.
  • Förbättra säkerheten med flera riskbaserade principer som riktar sig till olika användargrupper eller risknivåer.
  • Förbättra diagnostikupplevelsen med information om vilken riskbaserad princip som tillämpas i inloggningsloggar.
  • Stöd för säkerhetskopieringsautentiseringssystemet.

Registreringsprincip för Microsoft Entra-multifaktorautentisering

ID Protection hjälper organisationer att distribuera Microsoft Entra multifaktorautentisering med hjälp av en princip som kräver registrering vid inloggning. Om du aktiverar den här principen ser du till att nya användare i organisationen registrerar sig för MFA första dagen. Multifaktorautentisering är en av självreparationsmetoderna för riskhändelser i ID Protection. Med självreparation kan användarna vidta åtgärder på egen hand för att minska samtalsvolymen för supportavdelningen.

Läs mer om Microsoft Entra multifaktorautentisering i artikeln Hur det fungerar: Microsoft Entra multifaktorautentisering.