常见条件访问策略：基于登录风险的多重身份验证

大多数用户的正常行为是可以跟踪的，如果其行为超出规范，则允许他们登录可能很危险。 可能需要阻止该用户，或者直接要求他们执行多重身份验证，证明自己真的是所宣称的用户。

登录风险表示给定身份验证请求未经标识所有者授权的概率。 使用 Microsoft Entra ID P2 许可证的组织可以创建包含 Microsoft Entra ID 保护登录风险检测的条件访问策略。

可以在两个位置配置此策略：条件访问和 Microsoft Entra ID 保护。 使用条件访问策略的配置是提供更多上下文的首选方法，包括增强的诊断数据、仅报告模式集成、图形 API 支持，以及利用策略中其他条件访问属性（如登录频率）的能力。

基于风险的登录策略可防止用户在有风险的会话中注册 MFA。 如果用户未注册 MFA，其风险登录将被阻止并显示 AADSTS53004 错误。

模板部署

组织可以选择使用下面概述的步骤或使用条件访问模板来部署此策略。

通过条件访问策略进行启用

1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“保护”>“条件访问”。
3. 选择“创建新策略”。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在“分配”下，选择“用户或工作负载标识” 。
   1. 在“包括”下，选择“所有用户”。
   2. 在“排除”下选择“用户和组”，然后选择组织的紧急访问帐户或不受限帐户。
6. 在“目标资源”>“云应用”>“包括”下，选择“所有云应用”。
7. 在“条件”>“登录风险”下，将“配置”设置为“是” 。 在“选择适用于此策略的登录风险级别”下：
   1. 选“高”和“中等” 。
   2. 选择“完成”。
8. 在“访问控制”>“授予”下。
   1. 依次选择“授予访问权限”、“需要多重身份验证”。
   2. 选择“选择” 。
9. 在“会话”下。
   1. 选择“用户登录频率”。
   2. 确保选择了“每次”。
   3. 选择“选择” 。
10. 确认设置，然后将“启用策略”设置为“仅限报告”。
11. 选择“创建” ，以便创建启用策略所需的项目。

在管理员使用仅限报告模式确认你的设置后，他们可以将“启用策略”开关从“仅限报告”移至“启用”。

后续步骤

• 每次都需要重新进行身份验证
• 修正风险并对用户解除阻止
• 条件访问常见策略
• 基于用户风险的条件访问
• 使用条件访问仅限报告模式确定影响
• 使用条件访问的仅报告模式来确定新策略决策的效果。
• 什么是 Microsoft Entra ID 保护？