通过

配置和启用风险策略

Microsoft Entra 条件访问中可以设置两种类型的 风险策略 。 可以使用这些策略自动应对风险,从而允许用户在检测到风险时进行自我修正:

警告

不要在同一条件访问策略中合并登录风险和用户风险条件。 为每个风险条件创建单独的策略。

条件访问策略的屏幕截图,其中显示了风险作为条件。

先决条件

  • 需要Microsoft Entra ID P2 或 Microsoft Entra Suite 许可证才能完全访问 Microsoft Entra ID Protection 功能。
  • 条件访问管理员角色是创建或编辑条件访问策略所需的最低特权角色。

选择可接受的风险级别

组织必须确定他们想要启用访问控制的风险级别,同时平衡安全状况和用户工作效率。

选择在“高”风险级别应用访问控制可减少触发策略的次数,最大程度地降低对用户的阻碍。 但是,它从策略中排除了“低”和“中”风险,这可能无法阻止攻击者利用已泄露的标识。 选择 中等 和/或 风险级别通常会引入更多的用户中断。

在一些风险检测中,Microsoft Entra ID Protection 使用配置的受信任 网络位置 来减少误报。

风险整改

组织可以选择在检测到风险时阻止访问。 阻止访问有时会妨碍合法用户执行所需的操作。 更好的解决方案是配置 用户 和基于 登录 风险的条件访问策略, 以允许用户进行自我修正

警告

用户必须在面临需要修正的情况之前就注册 Microsoft Entra 多重身份验证。 对于从本地同步的混合用户,必须启用密码回写功能。 未注册的用户将被阻止,需要管理员干预。

密码更改(我知道我的密码,并希望将其更改为新密码),在有风险的用户策略修正流之外不符合安全密码更改的要求。

Microsoft 建议

Microsoft 建议使用以下风险策略配置来保护组织:

用户风险策略

当用户风险级别较高时,组织应选择“要求风险修正”。 对于无密码用户,Microsoft Entra 会撤销用户的会话,以便他们必须重新进行身份验证。 对于具有密码的用户,在成功Microsoft Entra 多重身份验证后,系统会提示他们完成安全密码更改。

选择 “需要风险修正 ”时,会自动应用两个设置:

  • 要求身份验证强度 自动选择为授权控制。
  • 登录频率 - 每次 自动应用为会话控制。

登录风险策略

当登录风险级别为 “中”“高”时,需要Microsoft Entra 多重身份验证。 此配置允许用户使用其注册的身份验证方法之一来证明其身份,从而修正登录风险。

我们还建议包括 登录频率会话控制 ,以要求对有风险的登录进行重新身份验证。成功的“强身份验证”通常通过多重身份验证或无密码身份验证,是自我修正登录风险的唯一方法,无论风险级别如何。

启用策略

组织可以选择使用以下步骤在条件访问中部署基于风险的策略,或使用 条件访问模板

在组织启用这些策略之前,应采取措施 调查修正 任何活动风险。

策略排除项

条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:

  • “紧急访问”或“不受限”帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
  • 服务帐户服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 由服务主体发出的调用不受范围限定为用户的条件访问策略阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
    • 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识

条件访问中的用户风险策略

  1. 以至少为条件访问管理员的身份登录到Microsoft Entra 管理中心
  2. 浏览到 Entra ID>条件访问
  3. 选择“新策略” 。
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识”。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并选择组织的紧急访问帐户或不受限帐户。
    3. 选择“完成”。
  6. 目标资源>包括下,选择 所有资源(以前为“所有云应用”)
  7. 在“条件”>“用户风险”下,将“配置”设置为“是”
    1. 在“配置强制执行策略所需的用户风险级别”下,选择“高”。 本指南基于Microsoft建议,对于每个组织来说可能有所不同
    2. 选择“完成”。
  8. 在“访问控制”“授予”下,选择“授予访问权限”。>
    1. 选择“ 需要风险修正”。 自动选择“要求身份验证强度”授权控制。 选择适合你的组织的强度。
    2. 选中“选择”。
  9. “会话”下, 登录频率 - 每次 自动应用为会话控制,并且是必需的。
  10. 确认设置,然后将“启用策略”设置为“仅限报告”。
  11. 选择“ 创建 ”以创建策略。

使用 策略影响或仅报告模式确认设置后,将 “启用策略 ”切换从 “仅报告 ”移动到 打开”。

条件访问中的登录风险策略

  1. 以至少为条件访问管理员的身份登录到Microsoft Entra 管理中心
  2. 浏览到 Entra ID>条件访问
  3. 选择“新策略” 。
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识”。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并选择组织的紧急访问帐户或不受限帐户。
    3. 选择“完成”。
  6. 云应用或操作>包括下,选择所有资源(以前为“所有云应用”)。
  7. 在“条件”“登录风险”下,将“配置”设置为“是”>
    1. 在“选择此策略将应用到的登录风险级别”下,选择“高”和“中” 。 本指南基于Microsoft建议,对于每个组织来说可能有所不同
    2. 选择“完成”。
  8. 在“访问控制”“授予”下,选择“授予访问权限”。>
    1. 选择“需要身份验证强度”,然后从列表中选择内置的“多重身份验证”身份验证强度
    2. 选中“选择”。
  9. 在“会话”下
    1. 选择“用户登录频率”。
    2. 确保选择了“每次”
    3. 选中“选择”。
  10. 确认设置,然后将“启用策略”设置为“仅限报告”。
  11. 选择“ 创建 ”以启用策略。

使用 策略影响或仅报告模式确认设置后,将 “启用策略 ”切换从 “仅报告 ”移动到 打开”。

无密码方案

对于采用 无密码身份验证方法 的组织,请执行以下作:

更新无密码登录风险策略

  1. 在“用户”下:
    1. 包括、选择“用户和组”并以无密码用户为目标。
    2. 在“排除”下,选择“用户和组”,并选择组织的紧急访问帐户或不受限帐户。
    3. 选择“完成”。
  2. 在“云应用或操作”“包括”下,选择“所有资源”(以前为“所有云应用”)>
  3. 在“条件”“登录风险”下,将“配置”设置为“是”>
    1. 在“选择此策略将应用到的登录风险级别”下,选择“高”和“中” 。 有关风险级别的详细信息,请参阅 选择可接受的风险级别
    2. 选择“完成”。
  4. 在“访问控制”“授予”下,选择“授予访问权限”。>
    1. 选择“ 需要身份验证强度”,然后根据目标用户拥有的方法选择内置的 无密码 MFA防钓鱼 MFA
    2. 选中“选择”。
  5. 在“会话”下
    1. 选择“用户登录频率”。
    2. 确保选择了“每次”
    3. 选中“选择”。

将风险策略迁移到条件访问

如果在 Microsoft Entra ID 保护中启用了旧版风险策略,则应计划将其迁移到条件访问:

警告

Microsoft Entra ID Protection 中配置的旧风险策略将于 2026 年 10 月 1 日停用。

迁移到条件访问

  1. 在仅限报告模式下在条件访问中创建等效的基于用户风险基于登录风险的策略。 可以使用前面的步骤或使用 条件访问模板 创建策略,具体取决于Microsoft的建议和组织要求。
    1. 管理员使用 仅报告模式 确认设置后,可以将 启用策略 的切换从 仅报告 切换到 打开
  2. 禁用“ID 保护”中的旧风险策略。
    1. 浏览到 “ID 保护>仪表板> ”选择 用户风险登录风险 策略。
    2. 将“强制实施策略”设置为“禁用”
  3. 如果需要,请在 条件访问中创建其他风险策略。

相关内容

  • Last updated on