常見的條件式存取原則:登入風險型多重要素驗證
大部分的使用者都有可追蹤的正常行為,當他們超出此規範時,允許他們只登入可能會有風險。 您可能想要封鎖該使用者,或可能要求他們執行多重要素驗證,以證明他們真的是他們所說的身分。
登入風險代表指定的驗證要求不是身分識別擁有者的機率。 具有 Microsoft Entra ID P2 授權的組織可以建立條件式存取原則,併 入 Microsoft Entra ID Protection 登入風險偵測。
登入風險型原則可保護使用者在具風險的會話中註冊 MFA。 如果使用者未註冊 MFA,則會封鎖其具風險的登入,並看到AADSTS53004錯誤。
範本部署
組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。
使用條件式存取原則啟用
- 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 選取完成。
- 在 [雲端應用程式或動作]>[包含] 下,選取 [所有雲端應用程式]。
- 在 [條件>登入風險] 下,將 [設定] 設定為 [是]。
- 在 [選取此原則將套用的登入風險層級] 下方,選取 [高] 和 [中]。 本指導方針是以 Microsoft 建議為基礎,且可能針對每個組織不同
- 選取完成。
- 在 [訪問控制>授與] 底下。
- 選取 [ 授與存取權], [需要多重要素驗證]。
- 選取選取。
- 在 [工作階段] 底下。
- 選取 [登入頻率]。
- 確定 每次 都已選取。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設定為 [僅報告]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。