Требовать исправления для рискованных пользователей

Обзор

Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включая обнаружение рисков пользователей защиты идентификаторов Microsoft Entra ID. Эта политика позволяет конечным пользователям самостоятельно устранять проблемы и разблокировать доступ, повышая производительность и уменьшая количество обращений в службу поддержки или команды по операциям безопасности.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренного доступа, чтобы избежать блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Учетные записи служб и принципы служб, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые служебными принципалами, не блокируются политиками условного доступа, предназначенными для пользователей. Используйте условный доступ для рабочих идентификаторов, чтобы определить политики, предназначенные для сервисных субъектов.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Необходимо устранение рисков

Эта политика исправления рисков охватывает как пользователей на основе паролей, так и без пароля.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
  2. Перейдите к Entra ID>Conditional Access.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи".
    2. В разделе Исключить выберите Пользователи и группы и выберите аварийные учетные записи или учетные записи с аварийным доступом вашей организации.
    3. Нажмите кнопку "Готово".
  6. В разделе Целевые ресурсы>включитьвыберите Все ресурсы (ранее "Все облачные приложения").
  7. В условиях>риска пользователя установите для параметра "Настроить" значение "Да".
    1. В разделе "Настройка уровней риска пользователей", необходимых для применения политики, выберите "Высокий". Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
    2. Нажмите кнопку "Готово".
  8. В разделе Средства управления доступом>Предоставление выберите Предоставить доступ.
    1. Выберите "Требовать исправление рисков". Элемент управления "Требовать силу аутентификации" автоматически выбирается. Выберите силу, соответствующую вашей организации.
    2. Нажмите кнопку "Выбрать".
  9. В разделе "Сеанс"частота входа — каждый раз автоматически применяется как элемент управления сеанса и является обязательной.
  10. Подтвердите параметры и установите включение политики в режим только для отчетов.
  11. Нажмите кнопку Создать , чтобы создать политику.

После подтверждения параметров с помощью режима влияния политики или режима только для отчета переведите переключатель "Включить политику" с положения Только отчет на Включено.

Связанный контент

  • Last updated on