Användarupplevelser med Azure AD Identity Protection

Med Azure Active Directory Identity Protection kan du:

  • Kräv att användare registrerar sig för Azure AD Multi-Factor Authentication (MFA)
  • Automatisera åtgärder för riskfyllda inloggningar och komprometterade användare

Alla Identity Protection-principer påverkar användarnas inloggning. Att tillåta användare att registrera sig för och använda verktyg som Azure AD MFA och lösenordsåterställning via självbetjäning kan minska effekten. Dessa verktyg tillsammans med lämpliga principval ger användarna ett självreparationsalternativ när de behöver det.

Registrering av multifaktorautentisering

Genom att aktivera Identity Protection-principen som kräver registrering av multifaktorautentisering och rikta in dig på alla användare ser du till att de har möjlighet att använda Azure AD MFA för självhjälp i framtiden. Genom att konfigurera den här principen får användarna en 14-dagars period där de kan välja att registrera sig och i slutet tvingas registrera sig. Upplevelsen för användare beskrivs nedan. Mer information finns i slutanvändardokumentationen i artikeln Översikt för tvåfaktorsverifiering och ditt arbets- eller skolkonto.

Registreringsavbrott

  1. Vid inloggning till ett Azure AD-integrerat program får användaren ett meddelande om kravet på att konfigurera kontot för multifaktorautentisering. Den här principen utlöses också i Windows 10 Out of Box Experience för nya användare med en ny enhet.

    More information required

  2. Slutför de guidade stegen för att registrera dig för Azure AD Multi-Factor Authentication och slutföra inloggningen.

Riskfyllda inloggningsreparation

När en administratör har konfigurerat en princip för inloggningsrisker meddelas de berörda användarna när de försöker logga in och utlösa principens risknivå.

Självreparation för riskfyllda inloggningar

  1. Användaren informeras om att något ovanligt har identifierats om deras inloggning, till exempel att logga in från en ny plats, enhet eller app.

    Something unusual prompt

  2. Användaren måste bevisa sin identitet genom att slutföra Azure AD MFA med någon av de metoder som användaren har registrerat tidigare.

Avblockera riskfyllda inloggningsadministratörer

Administratörer kan välja att blockera användare vid inloggning beroende på deras risknivå. För att bli avblockerade måste slutanvändarna kontakta IT-personalen eller försöka logga in från en bekant plats eller enhet. Självreparation genom att utföra multifaktorautentisering är inte ett alternativ i det här fallet.

Blocked by sign-in risk policy

IT-personal kan följa anvisningarna i avsnittet Avblockera användare så att användare kan logga in igen.

Riskfyllda åtgärder för användare

När en princip för användarrisk har konfigurerats måste användare som uppfyller risknivåns risknivå gå igenom återställningsflödet för användarkompromettering innan de kan logga in.

Självreparation för riskfyllda användare

  1. Användaren informeras om att kontosäkerheten är i riskzonen på grund av misstänkt aktivitet eller läckta autentiseringsuppgifter.

    Remediation

  2. Användaren måste bevisa sin identitet genom att slutföra Azure AD MFA med någon av de metoder som användaren har registrerat tidigare.

  3. Slutligen tvingas användaren att ändra sitt lösenord med självbetjäning av lösenordsåterställning eftersom någon annan kan ha haft åtkomst till sitt konto.

Avblockera riskfyllda inloggningsadministratörer

Administratörer kan välja att blockera användare vid inloggning beroende på deras risknivå. Slutanvändarna måste kontakta IT-personalen för att bli avblockerade. Självreparation genom att utföra multifaktorautentisering och lösenordsåterställning via självbetjäning är inte ett alternativ i det här fallet.

Blocked by user risk policy

IT-personal kan följa anvisningarna i avsnittet Avblockera användare så att användare kan logga in igen.

Se även