Требовать многофакторную проверку подлинности для повышенного риска входа

Большинство пользователей имеют обычное поведение, которое можно отследить, а когда оно выходит за пределы этой нормы, может быть рискованно позволять им войти в систему. Возможно, вы хотите заблокировать этого пользователя или, возможно, попросите их выполнить многофакторную проверку подлинности, чтобы доказать, что они действительно те, кто они говорят, что они.

Риск при входе представляет собой вероятность того, что заданный запрос аутентификации не принадлежит владельцу удостоверения. Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включая обнаружения рисков входа, предоставляемые Защитой идентификации Microsoft Entra.

Политика, основанная на рисках входа, защищает пользователей от регистрации многофакторной аутентификации в опасных сеансах. Если пользователи не зарегистрированы для многофакторной проверки подлинности, их рискованные входы будут заблокированы и возникнет ошибка AADSTS53004.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи, чтобы избежать блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Учетные записи служб и принципы служб, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих идентификаторов, чтобы определить политики, нацеленные на служебные субъекты.
  • Если в вашей организации используются эти учетные записи в сценариях или коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Включение с помощью политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
2. Перейдите к Entra ID>условному доступу.
3. Выберите новую политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
   1. В разделе "Включить" выберите "Все пользователи".
   2. В разделе "Исключить" выберите "Пользователи" и "Группы" и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
   3. Нажмите кнопку "Готово".
6. В разделе "Облачные приложения или действия">Включить выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
7. В разделе "Условия>входа" установите для параметра "Настроить" значение "Да".
   1. В разделе "Выбор уровня риска входа, где будет применяться эта политика", выберите "Высокий" и "Средний". Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку "Готово".
8. В разделе "Управление доступом>Предоставление" выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Нажмите кнопку "Выбрать".
9. В разделе "Сеанс".
   1. Выберите частоту входа.
   2. Убедитесь, что выбран каждый раз .
   3. Нажмите кнопку "Выбрать".
10. Подтвердите настройки и установите включение политики на только отчет.
11. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценивают параметры политики с помощью режима влияния политики или режима только отчета, они могут переместить переключатель " Включить политику " из " Только отчет " в "Вкл".

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля , внесите следующие изменения:

Обновите политику риска входа без пароля

1. В разделе "Пользователи":
   1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
   2. В разделе "Исключить" выберите "Пользователи" и "Группы" и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
   3. Нажмите кнопку "Готово".
2. В разделе "Облачные приложения" или "Включить"> выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
3. В разделе "Условия>входа" установите для параметра "Настроить" значение "Да".
   1. В разделе "Выбор уровня риска входа" эта политика будет применяться, выберите "Высокий " и "Средний". Дополнительные сведения о уровнях риска см. в разделе "Выбор допустимых уровней риска".
   2. Нажмите кнопку "Готово".
4. В разделе "Управление доступом>Предоставление", выберите "Предоставить доступ".
   1. Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную MFA без пароля или фишинговую MFA на основе метода, который имеет целевые пользователи.
   2. Нажмите кнопку "Выбрать".
5. В разделе "Сеанс"
   1. Выберите частоту входа.
   2. Убедитесь, что выбрано каждый раз.
   3. Нажмите кнопку "Выбрать".

Связанный контент

• Требовать повторную проверку подлинности каждый раз
• Устранение рисков и разблокировка пользователей
• Общие политики условного доступа
• Условный доступ на основе рисков пользователей
• Определение эффекта с помощью режима, предназначенного только для отчетов условного доступа
• Используйте режим отчета для Условного доступа, чтобы определить результаты новых политических решений