如何設定及啟用風險原則

如同我們在前一篇文章中所學到的身分 識別保護原則 ,我們有兩個可以在目錄中啟用的風險原則。

  • 登入風險原則
  • 使用者風險原則

啟用使用者和登入風險原則的安全性概觀頁面

這兩個原則都可在您的環境中自動回應風險偵測,並讓使用者在偵測到風險時自我補救。

選擇可接受的風險層級

組織必須決定他們願意接受平衡使用者經驗和安全性狀態的風險層級。

Microsoft 的建議是將 [使用者風險原則] 閾值設定為 [ ],並將 [登入風險] 原則設定為 [中] 和 [ 以上 ],並允許自行補救選項。 選擇封鎖存取,而不允許自行補救選項(例如密碼變更和多重要素驗證),將會影響您的使用者和系統管理員。 設定您的原則時,請權衡此選擇。

選擇 [高] 臨界值可減少觸發原則的次數,並將對使用者的影響降至最低。 不過選擇高會從原則中排除 度風險偵測,而無法阻止攻擊者利用遭到入侵的身分識別。 選取 [ ] 閾值會造成更多的使用者中斷。

某些風險偵測中的 Identity Protection 會使用設定的受信任 網路位置 ,以減少誤報。

風險補救

組織可以選擇在偵測到風險時封鎖存取。 封鎖有時會阻止合法的使用者執行所需的工作。 更好的解決方法是使用 Azure AD Multi-Factor Authentication (MFA) 和自助式密碼重設 (SSPR) 來允許自我補救。

  • 當使用者風險原則觸發時:
    • 系統管理員可以要求進行安全密碼重設,要求 Azure AD MFA 必須先完成,才能讓使用者使用 SSPR 建立新密碼,以重設使用者風險。
  • 當登入風險原則觸發時:
    • 您可以觸發 Azure AD MFA,讓使用者可以使用其中一個已註冊的驗證方法來證明其安全,以重設登入風險。

警告

使用者必須先註冊 Azure AD MFA 和 SSPR,才會遇到需要補救的情況。 未註冊的使用者會遭到封鎖,且需要系統管理員介入。

密碼變更 (我知道我的密碼,而且想要將它變更為有風險的使用者原則補救流程之外的新) 不符合安全密碼重設的需求。

排除

原則允許排除使用者,例如 緊急存取或玻璃系統管理員帳戶。 組織可能需要根據帳戶的使用方式,從特定原則中排除其他帳戶。 排除專案應該定期檢查,以查看是否仍適用。

啟用原則

有兩個位置可以設定這些原則、條件式存取和身分識別保護。 使用條件式存取原則進行設定是慣用的方法,提供更多的內容,包括:

  • 增強的診斷資料
  • 僅限報表模式的整合
  • GraphAPI 支援
  • 在原則中使用更多條件式存取屬性

具有條件式存取的使用者風險

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory] > [安全性] > [條件式存取]。
  3. 選取 [新增原則]。
  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者和群組] 。
    1. 在 [包含] 下,選取 [所有使用者]。
    2. 在 [排除] 底下選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。
    3. 選取 [完成] 。
  6. 在 [雲端應用程式或動作] > [包含] 下,選取 [所有雲端應用程式]。
  7. 在 [條件 > 使用者風險] 下,將 [設定為 是]。 在 [ 設定需要強制執行原則的使用者風險層級 ] 下,選取 [ ],然後選取 [ 完成]。
  8. 在 [存取控制 > 與] 底下,選取 [授與存取權需要密碼變更],然後選取 [選取]
  9. 確認您的設定,並將 [ 啟用原則 ] 設為 [ 開啟]。
  10. 選取 [建立] 以建立以啟用您的原則。

具有條件式存取的登入風險

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory] > [安全性] > [條件式存取]。
  3. 選取 [新增原則]。
  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者和群組] 。
    1. 在 [包含] 下,選取 [所有使用者]。
    2. 在 [排除] 底下選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。
    3. 選取 [完成] 。
  6. 在 [雲端應用程式或動作] > [包含] 下,選取 [所有雲端應用程式]。
  7. 在 [條件 登 > 入風險] 下 ,將 [設定為] 設定為 [是]。 在 [選取此原則將套用的登入風險層級] 下
    1. 選取 [ ] 和 [ ]。
    2. 選取 [完成]。
  8. 在 [存取控制] > [授與] 底下選取 [授與存取權] 和 [需要多重要素驗證],然後選取 [選取]。
  9. 確認您的設定,並將 [啟用原則] 設定為 [開啟]。
  10. 選取 [建立] 以建立以啟用您的原則。

後續步驟