Настройка и включение политик риска

В условном доступе Microsoft Entra можно настроить два типа политик риска. Эти политики можно использовать для автоматизации реагирования на риски, позволяющие пользователям самостоятельно устранять риски при обнаружении риска:

• Политика риска пользователя
• Политика риска входа

Предпосылки

• Лицензия Microsoft Entra ID P2 или Microsoft Entra Suite необходима для полного доступа к функциям защиты идентификаторов Microsoft Entra.
  • Подробный список возможностей для каждого уровня лицензий см. в разделе "Что такое защита идентификаторов Microsoft Entra".
• Роль администратора условного доступа является наименее привилегированной ролью, необходимой для создания или изменения политик условного доступа.

Выбор приемлемых уровней риска

Организации должны решить уровень риска, с которым требуется управление доступом, при балансировке уровня безопасности и производительности пользователей.

При выборе применения контроля доступа на высоком уровне риска снижается количество срабатываний политики и уменьшается неудобство для пользователей. Однако он исключает из политики низкие и средние риски, которые могут не блокировать злоумышленника от использования скомпрометированного удостоверения. Выбор средних и/или низких уровней риска обычно приводит к большему количеству прерываний в работе пользователей.

Настроенные надежные сетевые расположения используются Защита Microsoft Entra ID в некоторых обнаружениях рисков, чтобы уменьшить количество ложных срабатываний.

Исправление риска

Организации могут предпочесть блокировку доступа при обнаружении риска. Блокировка иногда запрещает полномочным пользователям выполнять нужные им действия. Лучшее решение — настроить политики условного доступа на основе рисков, связанных с пользователем и входом, которые позволяют пользователям самостоятельно устранять проблемы.

Рекомендации корпорации Майкрософт

Корпорация Майкрософт рекомендует использовать следующие конфигурации политик риска для защиты организации:

Политика риска пользователей

Организации должны выбрать "Требовать исправление рисков" , если уровень риска пользователя имеет высокий уровень. Для пользователей без пароля Microsoft Entra отменяет сеансы пользователя, чтобы они должны повторно пройти проверку подлинности. Пользователям с паролями предлагается выполнить безопасное изменение пароля после успешной многофакторной проверки подлинности Microsoft Entra.

Если выбран параметр "Требовать исправление рисков ", два параметра автоматически применяются:

• Требовать уровень проверки подлинности автоматически выбирается в качестве элемента управления предоставления.
• Частота входа — каждый раз автоматически применяется как контроль сеанса.

Политика риска входа

Требовать многофакторную проверку подлинности Microsoft Entra, если уровень риска входа — средний или высокий. Эта конфигурация позволяет пользователям доказать, что это они с помощью одного из зарегистрированных методов проверки подлинности, устраняя риск входа.

Мы также рекомендуем включить управление сеансом по частоте входа, чтобы требовать повторной аутентификации для рискованных попыток входа. Успешная "надежная аутентификация", обычно через многофакторную или беспарольную аутентификацию, является единственным способом самостоятельного устранения риска входа, независимо от уровня риска.

Включение политик

Организации могут развертывать политики на основе рисков в условном доступе, выполнив следующие действия или использовать шаблоны условного доступа.

Перед включением этих политик организациями следует принять меры по изучению и устранению любых активных рисков.

Исключения в полисах

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или экстренные учетные записи, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, предназначенные для субъектов-служб.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Политика риска пользователей в условном доступе

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве администратора условного доступа.
2. Перейдите к Entra ID>Условному доступу.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе Целевые ресурсы>включитьвыберите Все ресурсы (ранее "Все облачные приложения").
7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
   1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать исправление рисков". Элемент управления "Требовать силу аутентификации" автоматически выбирается. Выберите силу, соответствующую вашей организации.
   2. Выберите Выберите.
9. В разделе "Сеанс"частота входа — каждый раз автоматически применяется как элемент управления сеанса и является обязательной.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите кнопку Создать , чтобы создать политику.

После подтверждения параметров с помощью режима влияния политики или только для отчета, переместите переключатель "Включить политику" из положения "Только отчет" в "Включено".

Политика риска входа в условном доступе

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве администратора условного доступа.
2. Перейдите к Entra ID>Условному доступу.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе Облачные приложения или действия>, включите Все ресурсы (прежнее название — «Все облачные приложения»).
7. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
   1. В разделе Выберите уровень риска входа, к которому будет применяться эта политика, выберите Высокий и Средний. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите Выберите.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выберите.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет" в "Включено".

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновите политику риска бесконтактного входа в систему

1. В разделе "Пользователи":
   1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
2. В разделе Облачные приложения или действия>включите, выберите Все ресурсы (ранее — "Все облачные приложения").
3. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
   1. В разделе Выберите уровень риска входа, к которому будет применяться эта политика, выберите Высокий и Средний. Дополнительные сведения о уровнях риска см. в разделе Выбор допустимых уровней риска.
   2. Нажмите кнопку Готово.
4. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите требование к надежности аутентификации, а затем выберите встроенные MFA без пароля или фишингоустойчивые MFA в зависимости от метода, используемого целевыми пользователями.
   2. Выберите Выберите.
5. В подразделе сессия:
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выберите.

Перенос политик риска в условный доступ

Если в Защита идентификации Microsoft Entra включены устаревшие политики рисков, необходимо запланировать их перенос в условный доступ:

Переход на условный доступ

1. Создайте эквивалентныеполитики на основе риска для пользователей и на основе риска входа в Условном Доступе в режиме только для отчетов. Вы можете создать политику с помощью предыдущих шагов или использовать шаблоны условного доступа на основе рекомендаций Майкрософт и требований организации.
   1. После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
2. Отключите старые политики риска в защите идентификаторов.
   1. Перейдите к панели управления защитой идентичности>, выберите политику риска пользователя или >.
   2. Установите значение Применение политики на Отключено.
3. При необходимости создайте другие политики риска в условном доступе.

Справка и поддержка по миграции и управлению политиками риска

Если вам нужна помощь по переносу политик риска на условный доступ, отправьте запрос на поддержку в Центр администрирования Microsoft Entra.

1. Перейдите к разделу Новый запрос на поддержку в центре администрирования Microsoft Entra.
2. Опишите вашу проблему: Миграция устаревшей политики защиты идентификаторов.
3. Выберите Microsoft Entra вход и многофакторная проверка подлинности>Next.
4. Выберите "Настройка новых или существующих параметров> политики" далее.
5. Закройте страницу решения.
6. Выберите Создать запрос на обслуживание.
7. Используйте следующие варианты, чтобы направить ваш запрос в нужную команду.
   1. Тип проблемы: Technical.
   2. Тип службы: Microsoft Entra вход и многофакторная проверка подлинности.
   3. Сводка. Перенос устаревшей политики защиты идентификаторов.
   4. Тип проблемы: защита идентификации.
   5. Подтип проблемы: настройка политик риска.
8. Нажмите кнопку "Далее " и перейдите на вкладку "Дополнительные сведения" , чтобы заполнить сведения.
9. Заполните необходимые сведения и отправьте запрос.

Связанный контент

• Включение политики регистрации многофакторной проверки подлинности Microsoft Entra
• Что такое риск
• Анализ обнаруженных рисков
• Моделирование обнаружения рисков