实现和管理用户风险策略
在目录中,可以启用以下两个风险策略:
登录风险策略:登录风险策略可检测在登录过程中发生的可疑操作。 它关注的是登录活动本身,并分析登录由用户以外的其他人执行的概率。
用户风险策略:用户风险策略通过检测非典型用户行为的风险事件,检测用户帐户被泄露的概率。
这两个策略都可用于自动响应环境中的风险检测,让用户可以在检测到风险时自行修正。
观看视频
在此视频中了解如何在组织内配置基于风险的策略(用户风险和登录风险)以部署 Microsoft Entra Identity Protection。 你还将了解有关如何在组织中逐步推出这些策略和 MFA 注册的最佳做法。
先决条件
如果你的组织想让用户在检测到风险时能够自行修正,则用户必须同时注册自助式密码重置和多重身份验证。 我们建议启用组合式安全信息注册体验。 允许用户自行修正,可以让他们更快地恢复高效状态,而无需管理员干预。 管理员仍可以看到这些事件并进行事后调查。
选择可接受的风险级别
组织必须确定他们愿意接受的风险级别,在用户体验和安全状况之间取得平衡。
Microsoft 建议将用户风险策略阈值设置为“高”,将登录风险策略设置为“中等及以上”。
选择“高”阈值可减少触发策略的次数,最大程度地降低对用户的考查。 但它会从策略中排除标记为“低”和“中等”的风险检测,这样就不能阻止攻击者利用遭到泄露的标识。 选择“低”阈值会使用户遇到额外的中断,但可增强安全性。
排除项
所有策略都允许排除部分用户(如应急访问或紧急情况管理员帐户)。 组织根据帐户的使用方式确定何时需要将其他帐户排除在特定策略之外。 应定期检查所有排除项,查看它们是否仍然适用。
在某些风险检测中,标识保护使用已配置的受信任网络位置来减少误报。