Политики доступа на основе рисков

Политики управления доступом можно применять для защиты организаций при обнаружении риска входа или пользователя. Такие политики называются политиками на основе рисков.

Условный доступ Microsoft Entra предлагает два условия риска: риск входа и риск пользователя. Организации могут создавать политики условного доступа на основе рисков. Для этого нужно настроить эти два условия рисков и выбрать метод управления доступом. Во время каждого входа Защита идентификации Microsoft Entra отправляет обнаруженные уровни риска в условный доступ, а политики на основе рисков применяются, если выполнены условия политики.

Diagram that shows a conceptual risk-based Conditional Access policy.

Например, если организации имеют политику риска входа, требующую многофакторной проверки подлинности, если уровень риска входа является средним или высоким, пользователи должны завершить многофакторную проверку подлинности, если риск входа является средним или высоким.

Diagram that shows a conceptual risk-based Conditional Access policy with self-remediation.

В предыдущем примере также демонстрируется основное преимущество политики на основе рисков: автоматическое исправление рисков. Когда пользователь успешно завершает необходимый контроль доступа, например безопасное изменение пароля, их риск устраняется. Этот сеанс входа и учетная запись пользователя не подвергаются риску, и от администратора не требуется никаких действий.

Чтобы пользователи могли самостоятельно исправить эту процедуру, значительно снижает нагрузку на исследование рисков и исправление для администраторов при защите организаций от компрометации безопасности. Дополнительные сведения об исправлении рисков см. в статье, исправлении рисков и разблокировке пользователей.

Политика условного доступа на основе рисков для входа

Во время каждого входа защита идентификаторов анализирует сотни сигналов в режиме реального времени и вычисляет уровень риска входа, представляющий вероятность того, что заданный запрос проверки подлинности не авторизован. Затем этот уровень риска отправляется в условный доступ, где оцениваются настроенные политики организации. Администратор istrator может настроить политики условного доступа на основе рисков для входа в систему, чтобы обеспечить управление доступом на основе риска входа, включая такие требования, как:

  • Заблокировать доступ
  • Разрешить доступ
  • Требование многофакторной проверки подлинности

Если на входе обнаружены риски, пользователи могут выполнять необходимый контроль доступа, например многофакторную проверку подлинности для самостоятельного исправления и закрытия события рискованного входа, чтобы предотвратить ненужный шум для администраторов.

Screenshot of a sign-in risk-based Conditional Access policy.

Примечание.

Пользователи должны ранее зарегистрированы для многофакторной проверки подлинности Microsoft Entra перед активацией политики риска входа.

Политика условного доступа на основе рисков пользователей

Защита идентификаторов анализирует сигналы о учетных записях пользователей и вычисляет оценку риска на основе вероятности компрометации пользователя. Если у пользователя есть рискованное поведение входа или утечка учетных данных, защита идентификаторов использует эти сигналы для вычисления уровня риска пользователя. Администратор istrator может настроить политики условного доступа на основе рисков пользователей для принудительного применения элементов управления доступом на основе риска пользователей, включая такие требования, как:

  • Заблокировать доступ
  • Разрешить доступ, но требуется безопасное изменение пароля.

Безопасное изменение пароля устраняет риск пользователя и закрывает рискованное событие пользователя, чтобы предотвратить ненужный шум для администраторов.

Перенос политик риска защиты идентификаторов на условный доступ

Если у вас есть устаревшая политика риска пользователя или политика риска входа, включенная в службе защиты идентификаторов (ранее — защита идентификации), мы пригласим вас перенести их в условный доступ.

Предупреждение

Устаревшие политики рисков, настроенные в Защита идентификации Microsoft Entra, будут прекращены 1 октября 2026 года.

Настройка политик рисков в условном доступе обеспечивает такие преимущества:

  • Управление политиками доступа в одном расположении.
  • Режим только для отчетов и поддержка API Graph.
  • Принудийте частоту входа каждый раз, чтобы требовать повторную проверку подлинности каждый раз.
  • Детальный контроль доступа путем объединения условий риска с другими условиями, такими как расположение.
  • Улучшенная безопасность с помощью нескольких политик на основе рисков, предназначенных для различных групп пользователей или уровней риска.
  • Улучшенный диагностика опыт детализации политики на основе рисков, применяемой в журналах входа.
  • Поддерживается системой проверки подлинности резервного копирования.

Политика регистрации многофакторной проверки подлинности Microsoft Entra

Защита идентификаторов может помочь организациям развернуть многофакторную проверку подлинности Microsoft Entra с помощью политики, требующей регистрации при входе. Включение этой политики — отличный способ обеспечить регистрацию новых пользователей в организации для MFA в первый день. Многофакторная проверка подлинности — это один из методов самостоятельного исправления событий риска в области защиты идентификаторов. Самостоятельное исправление позволяет вашим пользователям самостоятельно предпринимать действия, чтобы уменьшить количество обращений в службу поддержки.

Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra см. в статье о том, как это работает: многофакторная проверка подлинности Microsoft Entra.

Следующие шаги