登入風險型多重要素驗證 - Microsoft Entra ID

大部分使用者都有可追蹤的正常行為，而當他們超出此標準範圍時，光是允許他們登入就可能會有風險。您可以封鎖該使用者，或是要求他們執行多重要素驗證以證明其宣稱的真實身分。

登入風險表示指定的驗證要求不是身分識別擁有者的機率。具有 Microsoft Entra ID P2 授權的組織可以建立包含 Microsoft Entra ID Protection 登入風險偵測的條件存取原則。

登入風險型原則可避免使用者在風險性工作階段中註冊 MFA。如果使用者未註冊 MFA，則其有風險的登入將會遭到封鎖，且會出現 AADSTS53004 錯誤。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

緊急存取 或 破窗帳戶 ，以防止因為原則設定錯誤而導致鎖定。在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
- 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
服務帳戶 和 服務主體，例如 Microsoft Entra Connect 同步帳戶。服務帳戶是未與任何特定使用者繫結的非互動式帳戶。後端服務通常會使用這些帳戶以程式化方式存取應用程式，但也可用來登入系統以進行管理之用。服務主體所進行的呼叫不會遭到適用於使用者的條件式存取原則封鎖。使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本 (部分機器翻譯)。

至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[條件式存取]。
選取 新增政策。
請為您的政策命名。建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
1. 在 [包含] 下，選取 [所有使用者]。
2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或急用帳戶。
3. 選取完成。
在 雲端應用程式或動作>中的「包含」，選取 所有資源（以前稱為「所有雲端應用程式」）。
在 [條件]> [登入風險] 底下，將 [設定] 設為 [是]。
1. 在 [選取此原則將套用的登入風險層級] 下方，選取 [高] 和 [中]。本指引是以 Microsoft 建議為基礎，且各組織適用狀況可能有所不同
2. 選取完成。
在 [存取控制]>[授與] 下，選取 [授與存取權]。
1. 選取 [需要驗證強度]，然後從清單中選取內 建的多重要素驗證 驗證強度。
2. 選取選取。
在 [工作階段] 下。
1. 選取 [登入頻率]。
2. 確認選取的是每次。
3. 選取選取。
確認您的設定，並將 [啟用原則] 設為 [報告專用]。
選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

對於採用無密碼驗證方法的組織，請進行下列變更：

在 [使用者] 底下：
1. 包括，選取 [ 使用者和群組 ]，然後鎖定無密碼用戶。
2. 在排除下，選取使用者和群組，然後選擇您組織的緊急存取或緊急解鎖帳戶。
3. 選取完成。
在 [雲端應用程式或動作>包含] 中，選取 [所有資源]（先前稱為「所有雲端應用程式」）。
在 [條件]> [登入風險] 底下，將 [設定] 設為 [是]。
1. 在 [選取此原則將套用的登入風險層級] 下方，選取 [高] 和 [中]。如需風險層級的詳細資訊，請參閱選擇可接受的風險層級。
2. 選取完成。
在 [存取控制]>[授予]中，選取 [授予存取權]。
1. 選取 驗證強度，然後根據目標使用者擁有的方法，選取內建的 無密碼 MFA 或 防詐騙 MFA。
2. 選取選取。
在會話下：
1. 選取 [登入頻率]。
2. 請確定選擇 [每次]。
3. 選取選取。