Zásady přístupu na základě rizika

  • Článek

Zásady řízení přístupu je možné použít k ochraně organizací, když se zjistí riziko přihlášení nebo uživatele. Takové zásady se nazývají zásady založené na rizicích.

Podmíněný přístup Microsoft Entra nabízí dvě rizikové podmínky: riziko přihlášení a riziko uživatele. Organizace můžou vytvářet zásady podmíněného přístupu na základě rizika tak, že nakonfigurují tyto dvě rizikové podmínky a zvolí metodu řízení přístupu. Během každého přihlášení microsoft Entra ID Protection odešle zjištěné úrovně rizika do podmíněného přístupu a zásady založené na rizicích se použijí, pokud jsou splněné podmínky zásad.

Diagram that shows a conceptual risk-based Conditional Access policy.

Pokud například organizace mají zásady rizik přihlašování, které vyžadují vícefaktorové ověřování, pokud je úroveň rizika přihlášení střední nebo vysoká, musí uživatelé dokončit vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké.

Diagram that shows a conceptual risk-based Conditional Access policy with self-remediation.

Předchozí příklad také ukazuje hlavní výhodu zásady založené na riziku: automatická náprava rizik. Když uživatel úspěšně dokončí požadované řízení přístupu, jako je například změna zabezpečeného hesla, riziko se opraví. Tato přihlašovací relace a uživatelský účet nejsou ohroženy a správce nevyžaduje žádnou akci.

Když uživatelům umožníte samoobslužnou nápravu pomocí tohoto procesu, výrazně snížíte riziko šetření a nápravu na správce a současně chráníte organizace před ohrožením zabezpečení. Další informace o nápravě rizik najdete v článku, nápravě rizik a odblokováníuživatelůch

Zásady podmíněného přístupu na základě rizik přihlašování

Během každého přihlášení služba ID Protection analyzuje stovky signálů v reálném čase a vypočítá úroveň rizika přihlášení, která představuje pravděpodobnost, že daná žádost o ověření není autorizovaná. Tato úroveň rizika se pak odešle do podmíněného přístupu, kde se vyhodnocují nakonfigurované zásady organizace. Správa istrátory můžou nakonfigurovat zásady podmíněného přístupu na základě rizik přihlašování tak, aby vynucovali řízení přístupu na základě rizika přihlašování, včetně požadavků, jako jsou:

  • Blokování přístupu
  • Povolit přístup
  • Vyžadovat vícefaktorové ověřování

Pokud se při přihlašování zjistí rizika, můžou uživatelé provádět požadované řízení přístupu, jako je vícefaktorové ověřování, aby se automaticky opravili a zavřeli rizikovou událost přihlášení, aby se zabránilo zbytečnému šumu pro správce.

Screenshot of a sign-in risk-based Conditional Access policy.

Poznámka:

Uživatelé musí mít před aktivací zásad rizik přihlašování dříve zaregistrované vícefaktorové ověřování Microsoft Entra.

Zásady podmíněného přístupu na základě rizik uživatelů

Id Protection analyzuje signály o uživatelských účtech a vypočítá rizikové skóre na základě pravděpodobnosti ohrožení zabezpečení uživatele. Pokud má uživatel rizikové chování při přihlašování nebo únik přihlašovacích údajů, použije ochrana ID tyto signály k výpočtu úrovně rizika uživatele. Správa istrátory můžou nakonfigurovat zásady podmíněného přístupu na základě rizik uživatelů tak, aby vynucovali řízení přístupu na základě rizika uživatelů, včetně požadavků, jako jsou:

  • Blokování přístupu
  • Povolit přístup, ale vyžadovat bezpečnou změnu hesla

Zabezpečená změna hesla opravuje riziko uživatele a zavře rizikovou událost uživatele, aby se zabránilo zbytečnému šumu pro správce.

Migrace zásad rizik ochrany ID do podmíněného přístupu

Pokud máte starší zásady rizik uživatelů nebo zásady rizik přihlašování povolené ve službě ID Protection (dříve Identity Protection), zveme vás, abyste je mohli migrovat do podmíněného přístupu.

Upozorňující

Starší zásady rizik nakonfigurované ve službě Microsoft Entra ID Protection budou vyřazeny 1. října 2026.

Konfigurace zásad rizik v podmíněném přístupu poskytuje výhody, jako jsou:

  • Správa zásad přístupu v jednom umístění
  • Režim pouze sestav a podpora rozhraní Graph API
  • Vynucujte frekvenci přihlašování pokaždé, když budete vyžadovat opakované ověření.
  • Podrobné řízení přístupu zkombinováním rizikových podmínek s jinými podmínkami, jako je umístění.
  • Vylepšené zabezpečení pomocí několika zásad založených na rizicích, které cílí na různé skupiny uživatelů nebo úrovně rizik.
  • Vylepšené prostředí diagnostiky s podrobnými informacemi o zásadách založených na rizicích použitých v protokolech přihlašování
  • Podporuje se systém ověřování zálohování.

Zásady registrace vícefaktorového ověřování Microsoft Entra

Ochrana ID může organizacím pomoct zavést vícefaktorové ověřování Microsoft Entra pomocí zásad vyžadujících registraci při přihlášení. Povolení této zásady je skvělý způsob, jak zajistit, aby se noví uživatelé ve vaší organizaci zaregistrovali k vícefaktorovým ověřováním během prvního dne. Vícefaktorové ověřování je jednou z metod samoobslužné nápravy rizikových událostí v rámci služby ID Protection. Samoobslužná náprava umožňuje uživatelům provádět vlastní akce, aby snížili objem hovorů helpdesku.

Další informace o vícefaktorovém ověřování Microsoft Entra najdete v článku Jak to funguje: Vícefaktorové ověřování Microsoft Entra.

Další kroky