基于登录风险的条件访问 - Azure Active Directory - Microsoft Entra

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

大多数用户的正常行为是可以跟踪的，如果其行为超出规范，则允许他们登录可能很危险。可能需要阻止该用户，或者直接要求他们执行多重身份验证，证明自己真的是所宣称的用户。

登录风险表示给定身份验证请求未经标识所有者授权的概率。使用 Azure AD Premium P2 许可证的组织可以创建纳入 Azure AD 标识保护登录风险检测的条件访问策略。

可以在两个位置配置此策略：条件访问和标识保护。使用条件访问策略的配置是提供更多上下文的首选方法，包括增强的诊断数据、仅报告模式集成、图形 API 支持，以及利用策略中其他条件访问属性的能力。

基于风险的登录策略可防止用户在有风险的会话中注册 MFA。例如，如果用户未注册 MFA，他们的有风险登录将被阻止并显示 AADSTS53004 错误。

模板部署

组织可以选择使用下面概述的步骤或使用条件访问模板（预览版）来部署此策略。

以全局管理员、安全管理员或条件访问管理员的身份登录到 Azure 门户。
浏览到“Azure Active Directory”>“安全性”>“条件访问”。
选择“新策略” 。
为策略指定名称。建议组织为其策略的名称创建有意义的标准。
在“分配” 下，选择“用户和组” 。
1. 在“包括”下，选择“所有用户”。
2. 在“排除”下选择“用户和组”，然后选择组织的紧急访问帐户或不受限帐户。
3. 选择“完成” 。
在“云应用或操作” > “包括”下，选择“所有云应用”。
在“条件”>“登录风险”下，将“配置”设置为“是” 。在“选择适用于此策略的登录风险级别”下：
1. 选“高”和“中等” 。
2. 选择“完成”。
在“访问控制”>“授予”下。
1. 依次选择“授予访问权限”、“需要多重身份验证” 。
2. 选择“选择” 。
确认设置，然后将“启用策略”设置为“仅限报告”。
选择“创建” ，以便创建启用策略所需的项目。

使用仅限报告模式确认你的设置后，管理员可以将“启用策略”切换开关从“仅限报告”移至“开” 。