Политики доступа на основе рисков

Политики управления доступом на основе рисков могут применяться для защиты организаций при обнаружении риска входа или пользователя.

Условный доступ Microsoft Entra предлагает два параметра риска, характерных для пользователя, основанных на сигналах Защиты Идентификации Microsoft Entra: риск входа и риск пользователя. Организации могут создавать политики условного доступа на основе рисков. Для этого нужно настроить эти два условия рисков и выбрать метод управления доступом. Во время каждого входа защита идентификаторов отправляет обнаруженные уровни риска условному доступу, а политики на основе рисков применяются, если выполнены условия политики.

Может потребоваться многофакторная проверка подлинности, если уровень риска входа является средним или высоким. Пользователи получают подсказки только на этом уровне.

В предыдущем примере также демонстрируется основное преимущество политики на основе рисков: автоматическое исправление рисков. Когда пользователь успешно завершает необходимый контроль доступа, например безопасное изменение пароля, их риск устраняется. Этот сеанс входа и учетная запись пользователя больше не подвержены риску, и от администратора не требуется никаких действий.

Позволяя пользователям самостоятельно устранять проблемы с помощью этого процесса, вы значительно снижаете нагрузку на администраторов по расследованию и устранению рисков, обеспечивая защиту вашей организации от угроз безопасности. Дополнительные сведения об исправлении рисков см. в статье, исправлении рисков и разблокировке пользователей.

Политика условного доступа на основе рисков пользователей

Защита идентификаторов анализирует сигналы о учетных записях пользователей и вычисляет оценку риска на основе вероятности компрометации пользователя. Если у пользователя рискованное поведение при входе или их учетные данные были скомпрометированы, служба защиты идентификаторов использует эти данные для вычисления уровня риска пользователя. Администраторы могут настроить политики условного доступа на основе рисков для принудительного применения контроля доступа на основе риска пользователей, включая такие требования, как:

1. Требовать устранения рисков (предварительная версия): Защита идентификационных данных осуществляет управление процессами исправления для всех методов проверки подлинности.
2. Требовать изменения пароля: защита идентификаторов блокирует доступ, пока пользователь не завершит безопасное изменение пароля.
3. Блокировка доступа: защита идентификаторов блокирует пользователя, пока не будет устранен риск.

Политики, требующие выполнения #1 или #2, заставляют конечных пользователей устранять риск, связанный с пользователями, и разблокировать доступ самостоятельно.

Требовать контроль мер по исправлению рисков

Этот элемент управления использует адаптивное исправление рисков, чтобы позволить создавать политику риска условного доступа, которая включает все методы проверки подлинности, включая пароль и без пароля. Это означает, что при выборе параметра "Требовать исправление рисков" в элементах управления предоставления в политике Microsoft Entra ID Protection управляет потоком исправлений в соответствии с наблюдаемой угрозой и используемым пользователем методом проверки подлинности. Подробные инструкции по включению адаптивной исправления рисков см. в разделе "Настройка политик риска".

• Проверка подлинности паролей: рискованный пользователь имеет активное обнаружение рисков, например утечка учетных данных, распыление паролей или журнал сеансов с использованием скомпрометированного пароля. Пользователю будет предложено изменить пароль на более безопасный, и после завершения его предыдущие сеансы отменяются.
• Проверка подлинности без пароля: у рискованного пользователя есть активное обнаружение риска, но оно не включает скомпрометированный пароль. Возможные обнаружения рисков включают аномальный токен, невозможное перемещение или незнакомые характеристики входа. Сеансы пользователя отозваны, и им будет предложено снова войти.

Особые соображения

• Требовать исправление рисков устраняет риск пользователя, а не риск входа.
• Если пользователю назначено несколько политик, применяется приоритет: Требуется исправление рисков заменяет Требуется изменение пароля, а Блокировка заменяет все остальные. Чтобы избежать конфликтов, назначьте каждому пользователю только одну из этих политик одновременно.
• Требовать уровень проверки подлинности и Частота входа - каждый раз автоматически применяются к политике, чтобы гарантировать, что после отзыва сеанса конечные пользователи немедленно проходят повторную проверку подлинности с указанным уровнем проверки подлинности.
• Требовать исправления рисков не поддерживается для внешних и гостевых пользователей, так как Microsoft Entra ID не поддерживает отзыв сеансов для этих пользователей.
• Во время исправления рисков Microsoft Entra ID использует выделенный безопасный поток для выполнения таких действий, как отзыв сеанса. Чтобы убедиться, что исправление не блокируется, этот поток может продолжаться без влияния на другие политики условного доступа.
  • AppId: общедоступное облако = 93625bc8-bfe2-437a-97e0-3d0060024faa, Azure для государственных организаций США = 2e5ecfc8-ea79-48bd-8140-c19324acb278
  • ResourceId: 00000003-0000-0000-c000-000000000000

Политика условного доступа с учетом риска входа

Во время каждого входа защита идентификаторов анализирует сотни сигналов в режиме реального времени и вычисляет уровень риска входа, представляющий вероятность того, что заданный запрос проверки подлинности не авторизован. Затем этот уровень риска отправляется в условный доступ, где оцениваются настроенные политики организации. Администраторы могут настроить политики условного доступа на основе рисков для входа, чтобы применить элементы управления доступом на основе риска входа, включая такие требования, как:

• Заблокировать доступ
• Разрешить доступ
• Требование многофакторной проверки подлинности
• Требовать повторную проверку подлинности (частота входа)

Если на входе обнаружены риски, пользователи могут выполнять необходимый контроль доступа, например многофакторную проверку подлинности для самостоятельного исправления и закрытия события рискованного входа, чтобы предотвратить ненужный шум для администраторов.

Перенос политик риска защиты идентификаторов на условный доступ

Если у вас есть устаревшая политика риска пользователей или политика риска входа включены в защиту ID (ранее — защита идентификации), перенесите их в Условный доступ.

Настройка политик риска в условном доступе обеспечивает такие преимущества, как возможность:

• Управление политиками доступа в одном расположении.
• Используйте режим только для отчетов и API Graph.
• Установить частоту входа, чтобы каждый раз требовать повторную аутентификацию.
• Предоставьте детализированный контроль доступа, сочетая риск с другими условиями, такими как расположение.
• Повышение безопасности с помощью нескольких политик на основе рисков, предназначенных для различных групп пользователей или уровней риска.
• Повышайте качество диагностики, детализируя, какая политика, основанная на рисках, была применена в журналах входов.
• Поддержка системы проверки подлинности резервного копирования.

Политика регистрации многофакторной проверки подлинности Microsoft Entra

Защита идентификаторов помогает организациям развертывать многофакторную проверку подлинности Microsoft Entra с помощью политики, требующей регистрации при входе. Включение этой политики гарантирует, что новые пользователи в организации регистрируются для MFA в первый день. Многофакторная проверка подлинности — это один из методов самостоятельного исправления событий риска в области защиты идентификаторов. Самостоятельное исправление позволяет вашим пользователям самостоятельно предпринимать действия, чтобы уменьшить количество обращений в службу поддержки.

Узнайте больше о многофакторной проверке подлинности Microsoft Entra в статье Как это работает: многофакторная проверка подлинности Microsoft Entra.

Связанный контент

• Включение политики регистрации многофакторной проверки подлинности Microsoft Entra
• Включение политик входа и риска для пользователей