规划标识保护部署

Microsoft Entra ID 保护会检测基于标识的风险并报告它们，让管理员进行调查和修正，确保组织安全且受到保护。 风险可以进一步馈送给条件访问等工具，供其制定访问决策，也可以馈送回安全信息和事件管理 (SIEM) 工具，以进行深入调查。

此部署计划扩展了条件访问部署计划中介绍的概念。

先决条件

• 启用了 Microsoft Entra ID P2 或试用许可证的有效 Microsoft Entra 租户。 如果需要，可免费创建一个。
  • 需要 Microsoft Entra ID P2 才能在条件访问策略中涵盖标识保护风险。
• 与标识保护交互的管理员必须具有以下一个或多个角色分配，具体取决于他们正在执行的任务。 若要遵循最小特权零信任原则，请考虑使用 Privileged Identity Management (PIM) 即时激活特权角色分配。
  • 读取标识保护和条件访问策略和配置
    • 安全读取者
    • 全局读取者
  • 管理标识保护
    • 安全操作员
    • 安全管理员
  • 创建或修正条件访问策略
    • 条件访问管理员
    • 安全管理员
• 在部署到实际用户之前，用于验证策略是否按预期工作的测试用户（非管理员）。 如果需要创建用户，请参阅快速入门：向 Microsoft Entra ID 添加新用户。
• 该非管理员用户所属的组。 如果需要创建组，请参阅在 Microsoft Entra ID 中创建组并添加成员。

让合适的利益干系人参与

如果技术项目失败，它们通常是由于在影响、结果和责任方面不符合预期而导致的。 若要避免这些问题，请确保吸引适当的利益干系人，并通过阐述利益干系人及其项目输入和责任，来充分了解项目中的利益干系人角色。

传达更改

沟通对于任何新功能的成功都至关重要。 应主动与用户交流，告知他们的体验将如何更改、何时会更改以及在遇到问题时如何获取支持。

步骤 1：审阅现有报表

在部署基于风险的条件访问策略之前，请务必审阅标识保护报告。 审阅提供了一个机会，让你调查你可能错过的现有可疑行为，然后选择消除或确认这些用户是安全的（如果你确定他们没有风险）。

• 调查风险检测
• 修正风险并对用户解除阻止
• 使用 Microsoft Graph PowerShell 进行批量更改

为了提高效率，建议允许用户通过步骤 3 中讨论的策略进行自我修正。

步骤 2：规划条件访问风险策略

标识保护会向条件访问发送风险信号，以做出决策并强制实施组织策略，例如要求多重身份验证或密码更改。 在创建策略之前，组织应规划几个事项。

策略排除项

条件访问策略是功能强大的工具，建议从策略中排除以下帐户：

• 紧急访问帐户或不受限帐户，用于防止租户范围的帐户锁定 。 在极少数情况下，所有管理员都被锁定在租户外，紧急访问管理帐户可用于登录租户，以采取措施来恢复访问。
  • 有关详细信息，请参阅文章在 Microsoft Entra ID 中管理紧急访问帐户。
• 服务帐户和服务主体，例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用，以便可以对应用程序进行编程访问，不过也会用于登录系统以进行管理。 应该排除这样的服务帐户，因为无法以编程方式完成 MFA。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
  • 如果组织在脚本或代码中使用这些帐户，请考虑将其替换为托管标识。 作为临时解决方法，可以从基线策略中排除这些特定的帐户。

多重身份验证

如果用户需要自行修正风险，必须先注册 Microsoft Entra 多重身份验证，否则就会有风险。 有关详细信息，请参阅规划 Microsoft Entra 多重身份验证部署一文。

已知网络位置

请务必在条件访问中配置命名位置，并将 VPN 范围添加到 Defender for Cloud Apps。 从命名位置（标记为受信任或已知）登录可提高 Microsoft Entra ID 保护风险计算的准确性。 当用户从标记为受信任或已知的位置进行身份验证时，这些登录可降低用户的风险。 这种做法可减少环境中某些检测的误报。

仅报告模式

仅报告模式是一种条件访问策略状态，可使管理员能够在其环境中强制实施条件访问策略之前对其影响进行评估。

步骤 3：配置策略

标识保护 MFA 注册策略

使用标识保护多重身份验证注册策略可帮助用户在需要使用 Microsoft Entra 多重身份验证之前进行注册。 按照如何：配置 Microsoft Entra 多重身份验证注册策略一文中的步骤启用此策略。

条件访问策略

登录风险–大多数用户都有可以跟踪的正常行为，如果其行为超出常规，则允许他们登录可能有风险。 可能需要阻止该用户，或者直接要求他们执行多重身份验证，证明自己真的是所宣称的用户。 首先，你可能需要将这些策略的范围限定为管理员。

用户风险–Microsoft 会与研究人员、执法机构、各种 Microsoft 安全团队以及其他受信任的源合作，以查找泄露的用户名和密码对。 检测到这些易受攻击的用户时，建议要求用户执行多重身份验证，然后重置其密码。

配置和启用风险策略一文提供了创建条件访问策略以解决这些风险的指导。

步骤 4：监视和持续操作需求

电子邮件通知

启用通知，以便在用户被标记为有风险时做出响应，并可以立即着手调查。 还可以设置每周摘要电子邮件，以便大致了解该周的风险。

监视和调查

标识保护工作簿可帮助监视和查找租户中的模式。 监视此工作簿的趋势以及“仅条件访问报告”模式的结果，以查看是否需要进行任何更改，例如，添加命名位置。

Microsoft Defender for Cloud Apps 提供了组织可以用作起点的调查框架。 有关详细信息，请参阅如何调查异常情况检测警报一文。

还可以使用标识保护 API 将风险信息导出到其他工具，以便安全团队可以监视风险事件并发出警报。

在测试期间，可能需要模拟一些威胁来测试调查过程。

后续步骤

什么是风险？