Freigeben über

Problembehebung für riskante Benutzer erforderlich

Organisationen mit Microsoft Entra ID P2-Lizenzen können Richtlinien für bedingten Zugriff erstellen, die Microsoft Entra ID Protection-Benutzerrisikoerkennungen enthalten. Diese Richtlinie ermöglicht Es Endbenutzern, sich selbst zu korrigieren und zu entsperren und ihre Produktivität zu erhöhen und gleichzeitig Vorfälle zu reduzieren, die an Ihre Helpdesk- oder Sicherheitsteams gesendet werden.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

  • Notfallzugriff oder Notfallkonten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Vorlagenbereitstellung

Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.

Risikobehebung erforderlich

Diese Richtlinie zur Risikobehebung umfasst sowohl kennwortbasierte als auch kennwortlose Benutzer.

  1. Melden Sie sich im Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Entra ID>Bedingter Zugriff.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter AufgabenBenutzer oder Workloadidentitäten aus.
    1. Wählen Sie unter "Einschließen" "Alle Benutzer" aus.
    2. Wählen Sie unter "Ausschließen" die Option "Benutzer und Gruppen" aus, und wählen Sie den Notfallzugriff oder die Gruppenkonten Ihrer Organisation aus.
    3. Wählen Sie "Fertig" aus.
  6. Wählen Sie unterZielressourcen>Einschließen die Option Alle Ressourcen (ehemals „Alle Cloud-Apps“) aus.
  7. Legen Sie unter Bedingungen>des Benutzerrisikos " Konfigurieren" auf "Ja" fest.
    1. Wählen Sie unter „Benutzerrisikostufen konfigurieren“, die für die erzwungene Richtlinie erforderlich sind, „Hoch“ aus. Diese Anleitung basiert auf Microsoft-Empfehlungen und kann für jede Organisation unterschiedlich sein.
    2. Wählen Sie "Fertig" aus.
  8. Wählen Sie unter ZugriffssteuerungenGewährung, die Option Zugriff gewähren aus.
    1. Wählen Sie "Risikobehebung erforderlich" aus. Die Option Authentifizierungsstärke anfordern wird automatisch ausgewählt. Wählen Sie die für Ihre Organisation geeignete Stärke aus.
    2. Wählen Sie "Auswählen" aus.
  9. Unter "Sitzung" wird Anmeldehäufigkeit - Jedes Mal automatisch als Sitzungssteuerelement angewendet und ist obligatorisch.
  10. Bestätigen Sie Ihre Einstellungen, und legen Sie " Richtlinie aktivieren " auf "Nur Bericht" fest.
  11. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu erstellen.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Zugehöriger Inhalt

  • Last updated on