以風險為基礎的存取原則
當偵測到登入或使用者有風險時,可以套用存取控制原則來保護組織。 這類原則稱為風險型原則。
Microsoft Entra 條件式存取提供兩種由 Microsoft Entra ID Protection 訊號提供的風險條件:登入風險和使用者風險。 組織可以藉由設定這兩個風險條件和選擇存取控制方法,來建立風險型條件式存取原則。 在每次登入期間,ID Protection 會將偵測到的風險層級傳送至條件式存取,如果滿足原則條件,則會套用風險型原則。
在登入風險層級為中或高的情況下,您可能需要使用多重要素驗證,使用者只有在達到該層級時才會收到提示。
上述範例也會示範風險型原則的主要優點:自動風險補救。 當使用者成功完成必要的存取控制時,例如安全密碼變更,就可補救其風險。 該登入工作階段和使用者帳戶不會有風險,而且管理員不需採取任何動作。
允許使用者使用此流程進行自我補救,可大幅降低系統管理員的風險調查和補救負擔,同時保護您的組織免於受到安全性危害。 如需風險補救的詳細資訊,請參閱補救風險和解除封鎖使用者一文。
登入風險型條件式存取原則
在每次登入期間,ID Protection 會即時分析數百個訊號,並計算登入風險層級,其代表指定驗證要求未獲授權的機率。 然後,此風險層級會傳送至條件式存取,其中會評估組織的已設定原則。 系統管理員可以設定登入風險型條件式存取原則,以根據登入風險強制執行存取控制,包括下列需求:
- 封鎖存取
- 允許存取
- 需要多重要素驗證
如果在登入時偵測到風險,使用者可以執行必要的存取控制,例如多重要素驗證來自行補救並關閉有風險的登入事件,以防止為管理員帶來不必要的雜訊。
注意
使用者必須先註冊 Microsoft Entra 多重要素驗證,才能觸發登入風險原則。
使用者風險型條件式存取原則
ID Protection 會分析有關使用者帳戶的訊號,並根據使用者遭入侵的可能性來計算風險分數。 如果使用者有風險性登入行為,或其認證外洩,ID Protection 會使用這些訊號來計算使用者風險層級。 系統管理員可以設定使用者風險型條件式存取原則,以根據使用者風險強制執行存取控制,包括下列需求:
- 封鎖存取。
- 允許存取,但是需要安全密碼變更。
安全密碼變更可補救使用者風險,並關閉風險性使用者事件,以防止為管理員帶來不必要的雜訊。
將 ID Protection 風險原則移轉至條件式存取
如果已在 ID Protection 中啟用舊版使用者風險原則或登入風險原則 (先前稱為 Identity Protection),您應該將其移轉至條件式存取。
警告
Microsoft Entra ID Protection 中設定的舊版風險原則將於 2026 年 10 月 1 日淘汰。
在條件式存取中設定風險原則提供下列優點:
- 在一個位置管理存取原則。
- 使用報告專用模式和圖形 API。
- 強制執行登入頻率,以要求每次都重新進行驗證。
- 提供細微存取控制,將風險與其他條件 (例如位置) 結合在一起。
- 使用以不同使用者群組或風險層級為目標的多個風險型原則來增強安全性。
- 改善診斷體驗,詳細說明登入記錄中套用了哪個風險型原則。
- 支援備份驗證系統。
Microsoft Entra 多重要素驗證註冊原則
ID Protection 可協助組織使用在登入時需要註冊的原則,推出 Microsoft Entra 多重要素驗證。 啟用此原則,是確保組織中的新使用者在一開始就註冊 MFA 的絕佳方式。 多重要素驗證是 ID Protection 內的風險事件適用的自我補救方法之一。 自我補救可讓您的使用者自行採取行動,以減少服務台的通話量。
如需 Microsoft Entra 多重要素驗證的詳細資訊,請參閱運作方式:Microsoft Entra 多重要素驗證一文。