Microsoft Entra ID Protection 和條件式存取的自我補救體驗
透過 Microsoft Entra ID Protection 和條件式存取,您可以執行下列動作:
- 要求使用者註冊 Microsoft Entra 多重要素驗證
- 自動補救風險性登入和遭到入侵的使用者
- 在特定情況下封鎖使用者。
整合使用者和登入風險的條件式存取原則會影響使用者的登入體驗。 若允許使用者註冊及使用 Microsoft Entra 多重要素驗證和自助式密碼重設等工具,可減輕影響。 這些工具和適當的原則選項可在使用者需要時提供自我補救選項,同時仍然施行嚴密的安全性控制。
多重要素驗證註冊
若系統管理員啟用需要 Microsoft Entra 多重要素驗證註冊的 ID Protection 原則,可確保使用者未來可以使用 Microsoft Entra 多重要素驗證進行自我補救。 設定此原則可讓您的使用者有 14 天的時間,在這段期間內,使用者可以選擇註冊,並在時間結束時強制註冊。
註冊中斷
登入任何 Microsoft Entra 整合的應用程式時,使用者會收到關於設定帳戶以進行多重要素驗證的需求通知。 使用新裝置的新使用者在 Windows 全新體驗中也會觸發這項原則。
完成引導式步驟以註冊 Microsoft Entra 多重要素驗證並完成登入。
風險自我補救
若系統管理員設定風險型條件式存取原則,受影響的使用者會在達到設定的風險層級時遭到中斷。 如果系統管理員允許使用多重要素驗證進行自我補救,此流程會以一般多重要素驗證提示的形式向使用者顯示。
如果使用者能夠完成多重要素驗證,則會補救其風險,而且可以登入。
如果使用者面臨的風險不僅僅是登入風險,系統管理員可以在條件式存取中設定使用者風險原則,要求除了執行多重要素驗證之外,還需要變更密碼。 在此情況下,使用者會看到以下額外畫面。
風險性登入系統管理員解除封鎖
系統管理員可選擇根據使用者的風險層級,在登入時封鎖使用者。 若要解除封鎖,使用者必須聯絡 IT 人員,或嘗試從熟悉的位置或裝置登入。 在此情況下,無法進行自我補救。
IT 人員可以依照解除封鎖使用者一節中的指示,讓使用者重新登入。
高風險技術人員
如果您組織中的使用者受委派存取另一個租用戶,而且這些使用者觸發了高風險事件,那麼他們可能會遭到封鎖,無法登入其他的租用戶。 例如:
- 一個組織擁有受控服務提供者 (MSP) 或雲端解決方案提供者 (CSP) 負責設定組織的雲端環境。
- 其中一個 MSP 技術人員的認證發生外洩,並觸發了高風險事件。 於是該技術人員遭到封鎖,無法登入其他租用戶。
- 如果主租用戶已啟用需要高風險使用者變更密碼或針對風險性使用者的 MFA 等適當原則,那麼技術人員便能進行自我補救並登入。
- 如果主租用戶未啟用自我補救原則,則必須由技術人員主租用戶的系統管理員來補救風險。