以風險為基礎的存取原則
當偵測到登入或使用者有風險時,可以套用存取控制原則來保護組織。 這類原則稱為風險型原則。
Microsoft Entra 條件式存取提供兩個由 Microsoft Entra ID Protection 訊號提供的風險條件:登入風險和用戶風險。 組織可以藉由設定這兩個風險條件和選擇存取控制方法,來建立風險型條件式存取原則。 在每個登入期間,ID Protection 會將偵測到的風險層級傳送至條件式存取,如果符合原則條件,則會套用風險型原則。
當登入風險層級為中或高時,您可能需要多重要素驗證,但只會在該層級提示使用者。
上述範例也會示範風險型原則的主要優點: 自動風險補救。 當使用者成功完成必要的存取控制時,例如安全密碼變更,就可補救其風險。 該登入會話和用戶帳戶沒有風險,系統管理員不需要採取任何動作。
允許使用者使用此程式進行自我補救,可大幅降低系統管理員的風險調查和補救負擔,同時保護組織免於安全性危害。 如需風險補救的詳細資訊,請參閱補救風險和解除封鎖使用者一文。
登入風險型條件式存取原則
在每個登入期間,ID Protection 會即時分析數百個訊號,並計算登入風險層級,代表指定驗證要求未獲授權的機率。 然後,此風險層級會傳送至條件式存取,其中會評估組織的已設定原則。 系統管理員可以設定登入風險型條件式存取原則,以根據登入風險強制執行存取控制,包括下列需求:
- 封鎖存取
- 允許存取
- 需要多重要素驗證
如果在登入時偵測到風險,使用者可以執行必要的存取控制,例如多重要素驗證來自行補救並關閉有風險的登入事件,以防止為管理員帶來不必要的雜訊。
注意
用戶必須先註冊 Microsoft Entra 多重要素驗證,才能觸發登入風險原則。
使用者風險型條件式存取原則
標識元保護會分析用戶帳戶的相關訊號,並根據使用者遭入侵的機率計算風險分數。 如果用戶有風險的登入行為或其認證外洩,ID Protection 會使用這些訊號來計算用戶風險層級。 系統管理員可以設定使用者風險型條件式存取原則,以根據使用者風險強制執行存取控制,包括下列需求:
- 封鎖存取。
- 允許存取,但是需要安全密碼變更。
安全密碼變更可補救使用者風險,並關閉風險性使用者事件,以防止為管理員帶來不必要的雜訊。
將標識碼保護風險原則遷移至條件式存取
如果您在 ID Protection 中啟用舊版 使用者風險原則 或 登入風險原則 (先前稱為 Identity Protection),您應該 將它們遷移至條件式存取。
警告
Microsoft Entra ID Protection 中設定的舊版風險原則將於 2026 年 10 月 1 日淘汰。
在條件式存取中設定風險原則提供下列優點::
- 在一個位置管理存取原則。
- 使用僅限報表模式和圖形 API。
- 強制執行登入頻率,以要求每次重新驗證。
- 提供細微訪問控制,結合風險與其他條件,例如位置。
- 使用以不同使用者群組或風險層級為目標的多個風險型原則來增強安全性。
- 改善診斷體驗,詳細說明登入記錄中套用哪些風險型原則。
- 支援備份驗證系統。
Microsoft Entra 多重要素驗證註冊原則
標識元保護可協助組織使用需要在登入時註冊的原則推出 Microsoft Entra 多重要素驗證。 啟用此原則是確保組織中的新使用者在其第一天註冊 MFA 的絕佳方式。 多重要素驗證是標識碼保護內風險事件的其中一種自我補救方法。 自我補救可讓您的使用者自行採取行動,以減少服務台的通話量。
如需 Microsoft Entra 多重要素驗證的詳細資訊, 請參閱其運作方式:Microsoft Entra 多重要素驗證一文。