Richtlinien für den IdentitätsschutzIdentity Protection policies

Azure Active Directory Identity Protection enthält drei Standardrichtlinien, die Administratoren aktivieren können.Azure Active Directory Identity Protection includes three default policies that administrators can choose to enable. Diese Richtlinien bieten eingeschränkte Anpassungen, sind jedoch für die meisten Organisationen anwendbar.These policies include limited customization but are applicable to most organizations. Alle Richtlinien ermöglichen das Ausschließen von Benutzern, wie z.B. Benutzer- oder Administratorkonten für den Notfallzugriff.All of the policies allow for excluding users such as your emergency access or break-glass administrator accounts.

Richtlinien für den Identitätsschutz

Azure AD MFA-RegistrierungsrichtlinieAzure AD MFA registration policy

Identity Protection kann Organisationen beim Rollout von Azure AD Multi-Factor Authentication (MFA) mithilfe einer Richtlinie für den bedingten Zugriff unterstützen, die die Registrierung bei der Anmeldung erfordert.Identity Protection can help organizations roll out Azure AD Multi-Factor Authentication (MFA) using a Conditional Access policy requiring registration at sign-in. Wenn Sie diese Richtlinie aktivieren, können Sie sicherstellen, dass neue Benutzer in Ihrer Organisation sich am ersten Tag für MFA registrieren.Enabling this policy is a great way to ensure new users in your organization have registered for MFA on their first day. Die mehrstufige Authentifizierung (MFA) ist eine der Methoden zur Eigenwartung für Risikoereignisse in Identity Protection.Multi-factor authentication is one of the self-remediation methods for risk events within Identity Protection. Eigenwartung ermöglicht Ihren Benutzern, selbst Maßnahmen zu ergreifen, um so das Helpdesk-Telefonaufkommen zu verringern.Self-remediation allows your users to take action on their own to reduce helpdesk call volume.

Weitere Informationen zu Azure AD Multi-Factor Authentication finden Sie im Artikel Funktionsweise: Azure AD Multi-Factor Authentication.More information about Azure AD Multi-Factor Authentication can be found in the article, How it works: Azure AD Multi-Factor Authentication.

Richtlinie zum AnmelderisikoSign-in risk policy

Identity Protection analysiert Signale von jeder Anmeldung (sowohl in Echtzeit als auch offline) und berechnet eine Risikobewertung basierend auf der Wahrscheinlichkeit, dass die Anmeldung nicht vom Benutzer ausgeführt wurde.Identity Protection analyzes signals from each sign-in, both real-time and offline, and calculates a risk score based on the probability that the sign-in wasn't performed by the user. Administratoren können basierend auf diesem Risikobewertungssignal Entscheidungen treffen, um organisatorische Anforderungen zu erzwingen.Administrators can make a decision based on this risk score signal to enforce organizational requirements. Administratoren können den Zugriff blockieren, den Zugriff erlauben oder mehrstufige Authentifizierung anfordern, um den Zugriff zu erlauben.Administrators can choose to block access, allow access, or allow access but require multi-factor authentication.

Wenn Risiken erkannt werden, können die Benutzer die mehrstufige Authentifizierung zur Eigenwartung durchführen und das riskante Anmeldeereignis schließen, um unnötigen Aufwand für Administratoren zu vermeiden.If risk is detected, users can perform multi-factor authentication to self-remediate and close the risky sign-in event to prevent unnecessary noise for administrators.

Hinweis

Benutzer müssen sich vor Auslösen der Anmelderisikorichtlinie bereits für Azure AD Multi-Factor Authentication registriert haben.Users must have previously registered for Azure AD Multi-Factor Authentication before triggering the sign-in risk policy.

Benutzerdefinierte Richtlinie für bedingten ZugriffCustom Conditional Access policy

Administratoren können auch eine benutzerdefinierte Richtlinie für den bedingten Zugriff erstellen und das Anmelderisiko als Zuweisungsbedingung einschließen.Administrators can also choose to create a custom Conditional Access policy including sign-in risk as an assignment condition. Weitere Informationen zu Risiko als Bedingung in einer Zugriffsrichtlinie für bedingten Zugriff finden Sie im Artikel Bedingter Zugriff: BedingungenMore information about risk as a condition in a Conditional Access policy can be found in the article, Conditional Access: Conditions

Benutzerdefinierte Anmelderisikorichtlinie für den bedingten Zugriff

Richtlinie zum BenutzerrisikoUser risk policy

Identity Protection kann das erwartete „normale“ Verhalten eines Benutzers berechnen, und Entscheidungen bezüglich des Risikos darauf basieren.Identity Protection can calculate what it believes is normal for a user's behavior and use that to base decisions for their risk. Das Benutzerrisiko ist eine Berechnung der Wahrscheinlichkeit, dass eine Identität kompromittiert wurde.User risk is a calculation of probability that an identity has been compromised. Administratoren können basierend auf diesem Risikobewertungssignal Entscheidungen treffen, um organisatorische Anforderungen zu erzwingen.Administrators can make a decision based on this risk score signal to enforce organizational requirements. Administratoren können mit Azure AD Self-Service-Kennwortzurücksetzung den Zugriff blockieren, den Zugriff erlauben oder den Benutzer auffordern, das Kennwort zu ändern, um Zugriff zu erhalten.Administrators can choose to block access, allow access, or allow access but require a password change using Azure AD self-service password reset.

Wenn Risiken erkannt werden, können die Benutzer die Self-Service-Kennwortzurücksetzung zur Eigenwartung durchführen und das Benutzerrisikoereignis schließen, um unnötigen Aufwand für Administratoren zu vermeiden.If risk is detected, users can perform self-service password reset to self-remediate and close the user risk event to prevent unnecessary noise for administrators.

Hinweis

Benutzer müssen sich vor Auslösen der Anmelderisikorichtlinie bereits für die Self-Service-Kennwortzurücksetzung registriert haben.Users must have previously registered for self-service password reset before triggering the user risk policy.

Nächste SchritteNext steps