Kurz: Použití detekcí rizik pro přihlašování uživatelů k aktivaci vícefaktorového ověřování nebo změn hesel Microsoft Entra

Pokud chcete chránit uživatele, můžete nakonfigurovat zásady podmíněného přístupu Microsoft Entra založené na rizicích, které automaticky reagují na rizikové chování. Tyto zásady můžou automaticky blokovat pokus o přihlášení nebo vyžadovat další akci, například vyžadovat zabezpečenou změnu hesla nebo požádat o vícefaktorové ověřování Microsoft Entra. Tyto zásady fungují se stávajícími zásadami podmíněného přístupu Microsoft Entra jako další vrstvou ochrany pro vaši organizaci. Uživatelé nemusí v některé z těchto zásad aktivovat rizikové chování, ale vaše organizace je chráněná, pokud se pokusíte ohrozit zabezpečení.

Důležité

V tomto kurzu se dozvíte, jak povolit vícefaktorové ověřování na základě rizik (MFA).

Pokud váš IT tým nepovolil možnost používat vícefaktorové ověřování Microsoft Entra nebo máte problémy při přihlašování, obraťte se na helpdesk a požádejte ho o další pomoc.

V tomto kurzu se naučíte:

  • Vysvětlení dostupných zásad
  • Povolení registrace vícefaktorového ověřování Microsoft Entra
  • Zapnutí změn hesla na základě rizikové události
  • Povolení vícefaktorového ověřování na základě rizik
  • Testování zásad založených na riziku pro pokusy o přihlášení uživatelů

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

Přehled služby Microsoft Entra ID Protection

Každý den Microsoft shromažďuje a analyzuje bilióny anonymizovaných signálů jako součást pokusů o přihlášení uživatelů. Tyto signály pomáhají vytvářet vzory dobrého chování při přihlašování uživatelů a identifikovat potenciální rizikové pokusy o přihlášení. Microsoft Entra ID Protection může zkontrolovat pokusy o přihlášení uživatele a provést další akce, pokud dojde k podezřelému chování:

Některé z následujících akcí můžou aktivovat detekci rizik Microsoft Entra ID Protection:

  • Uživatelé s nevracenými přihlašovacími údaji.
  • Přihlášení z anonymních IP adres
  • Nemožné cestování do atypických míst.
  • Přihlášení z napadených zařízení
  • Přihlášení z IP adres s podezřelou aktivitou
  • Přihlášení z neznámých umístění

Tento článek vás provede povolením tří zásad k ochraně uživatelů a automatizaci reakce na podezřelou aktivitu.

  • Zásady registrace vícefaktorového ověřování
    • Ujistěte se, že jsou uživatelé zaregistrovaní pro vícefaktorové ověřování Microsoft Entra. Pokud zásady rizik přihlašování zobrazí výzvu k vícefaktorovém ověřování, uživatel už musí být zaregistrovaný pro vícefaktorové ověřování Microsoft Entra.
  • Zásady rizik uživatelů
    • Identifikuje a automatizuje odpověď na uživatelské účty, které mohly ohrozit přihlašovací údaje. Může uživatele vyzvat k vytvoření nového hesla.
  • Zásady rizik přihlašování
    • Identifikuje a automatizuje odpověď na podezřelé pokusy o přihlášení. Může uživatele vyzvat k zadání dalších formulářů ověření pomocí vícefaktorového ověřování Microsoft Entra.

Když povolíte zásadu založenou na riziku, můžete také zvolit prahovou hodnotu pro úroveň rizika – nízkou, střední nebo vysokou. Díky této flexibilitě se můžete rozhodnout, jak agresivní chcete být při vynucování jakýchkoli kontrol podezřelých událostí přihlašování. Microsoft doporučuje následující konfigurace zásad.

Další informace o službě Microsoft Entra ID Protection naleznete v tématu Co je Microsoft Entra ID Protection?

Povolení zásad registrace vícefaktorového ověřování

Microsoft Entra ID Protection obsahuje výchozí zásady, které můžou pomoct uživatelům zaregistrovat se pro vícefaktorové ověřování Microsoft Entra. Pokud k ochraně událostí přihlašování používáte jiné zásady, budete potřebovat, aby už uživatelé zaregistrovali vícefaktorové ověřování. Když tuto zásadu povolíte, nevyžaduje, aby uživatelé prováděli vícefaktorové ověřování při každé události přihlášení. Zásady pouze zkontrolují stav registrace uživatele a v případě potřeby je vyzve k předběžné registraci.

Doporučujeme povolit tuto zásadu registrace pro uživatele, kteří používají vícefaktorové ověřování. Pokud chcete tuto zásadu povolit, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
  2. Přejděte k zásadám registrace vícefaktorového ověřování služby Protection>Identity Protection>.
  3. Ve výchozím nastavení platí zásada pro všechny uživatele. V případě potřeby vyberte Přiřazení a pak zvolte uživatele nebo skupiny, u které chcete zásadu použít.
  4. V části Ovládací prvky vyberte Access. Ujistěte se, že je zaškrtnutá možnost Vyžadovat registraci vícefaktorového ověřování Microsoft Entra, a pak zvolte Vybrat.
  5. Nastavte možnost Vynutit zásadu na Zapnuto a pak vyberte Uložit.

Snímek obrazovky znázorňuje, jak vyžadovat, aby se uživatelé zaregistrovali k vícefaktorové ověřování

Povolení zásad rizik uživatelů pro změnu hesla

Microsoft spolupracuje při vyhledávání dvojic uživatelských jmen a hesel s výzkumnými pracovníky, orgány zajišťujícími vymáhání zákona, různými týmy zabezpečení v Microsoftu a dalšími důvěryhodnými zdroji. Když některý z těchto párů odpovídá účtu ve vašem prostředí, můžete požádat o změnu hesla na základě rizika. Tato zásada a akce vyžadují, aby uživatel před přihlášením aktualizoval heslo, aby se ujistil, že už nebudou fungovat všechny dříve vystavené přihlašovací údaje.

Pokud chcete tuto zásadu povolit, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
  7. V případě rizika uživatele podmínek>nastavte možnost Konfigurovat na hodnotu Ano.
    1. V části Konfigurovat úrovně rizik uživatelů potřebné k vynucení zásad vyberte Vysoká. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
    2. Vyberte Hotovo.
  8. V části Řízení>přístupu udělte možnost Udělit přístup.
    1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování .
    2. Vyberte Vyžadovat změnu hesla.
    3. Zvolte Zvolit.
  9. V části Relace.
    1. Vyberte frekvenci přihlášení.
    2. Ujistěte se, že je vybrána vždy .
    3. Zvolte Zvolit.
  10. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  11. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Scénáře bez hesla

Pro organizace, které přijímají metody ověřování bez hesla, proveďte následující změny:

Aktualizace zásad rizik uživatelů bez hesel

  1. V části Uživatelé:
    1. Zahrňte uživatele a skupiny a zaměřte se na uživatele bez hesla.
  2. V části Řízení>přístupu Zablokuje přístup pro uživatele bez hesla.

Tip

Při nasazování metod bez hesel možná budete muset mít po určitou dobu dvě zásady.

  • Ten, který umožňuje samoobslužnou nápravu pro ty, kteří nepoužívají metody bez hesla.
  • Další, která blokuje uživatele bez hesel s vysokým rizikem.

Náprava a odblokování rizika uživatelů bez hesla

  1. Vyžadovat šetření správce a nápravu jakéhokoli rizika.
  2. Odblokujte uživatele.

Povolení zásad rizik přihlašování pro vícefaktorové ověřování

Většina uživatelů má normální chování, které je možné sledovat. Když spadne mimo tuto normu, může být riskantní, aby se mohli úspěšně přihlásit. Místo toho můžete chtít zablokovat daného uživatele nebo požádat ho, aby provedl vícefaktorové ověřování. Pokud uživatel úspěšně dokončí výzvu vícefaktorového ověřování, můžete ho považovat za platný pokus o přihlášení a udělit přístup k aplikaci nebo službě.

Pokud chcete tuto zásadu povolit, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
  7. V rámci rizika přihlášení pod podmínkami>nastavte možnost Konfigurovat na ano.
    1. V části Vyberte úroveň rizika přihlášení, na které se tato zásada vztahuje, vyberte Vysoká a Střední. Tyto pokyny vycházejí z doporučení Microsoftu a můžou se lišit pro každou organizaci.
    2. Vyberte Hotovo.
  8. V části Řízení>přístupu udělte možnost Udělit přístup.
    1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování .
    2. Zvolte Zvolit.
  9. V části Relace.
    1. Vyberte frekvenci přihlášení.
    2. Ujistěte se, že je vybrána vždy .
    3. Zvolte Zvolit.
  10. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  11. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Scénáře bez hesla

Pro organizace, které přijímají metody ověřování bez hesla, proveďte následující změny:

Aktualizace zásad rizik bez hesla

  1. V části Uživatelé:
    1. Zahrňte uživatele a skupiny a zaměřte se na uživatele bez hesla.
  2. V části Vyberte úroveň rizika přihlášení, na které se tato zásada bude vztahovat, vyberte Vysoká.
  3. V části Řízení>přístupu Zablokuje přístup pro uživatele bez hesla.

Tip

Při nasazování metod bez hesel možná budete muset mít po určitou dobu dvě zásady.

  • Ten, který umožňuje samoobslužnou nápravu pro ty, kteří nepoužívají metody bez hesla.
  • Další, která blokuje uživatele bez hesel s vysokým rizikem.

Náprava a odblokování rizika bez hesla

  1. Vyžadovat šetření správce a nápravu jakéhokoli rizika.
  2. Odblokujte uživatele.

Testování rizikových událostí znaménka

Většina událostí přihlašování uživatelů neaktivuje zásady na základě rizik nakonfigurované v předchozích krocích. Uživateli se nemusí zobrazit výzva k vícefaktorovém ověřování nebo resetování hesla. Pokud jejich přihlašovací údaje zůstanou zabezpečené a jejich chování konzistentní, budou jejich události přihlášení úspěšné.

K otestování zásad ochrany Microsoft Entra ID Protection vytvořených v předchozích krocích potřebujete způsob, jak simulovat rizikové chování nebo potenciální útoky. Postup provedení těchto testů se liší v závislosti na zásadách ochrany Microsoft Entra ID Protection, které chcete ověřit. Další informace o scénářích a krocích najdete v tématu Simulace detekce rizik v microsoft Entra ID Protection.

Vyčištění prostředků

Pokud dokončíte testování a už nechcete mít povolené zásady založené na rizicích, vraťte se k jednotlivým zásadám, které chcete zakázat, a nastavte možnost Povolit zásadu vypnout nebo odstranit.

Další kroky

V tomto kurzu jste povolili zásady uživatelů založené na rizicích pro Microsoft Entra ID Protection. Naučili jste se:

  • Vysvětlení dostupných zásad pro Microsoft Entra ID Protection
  • Povolení registrace vícefaktorového ověřování Microsoft Entra
  • Zapnutí změn hesla na základě rizikové události
  • Povolení vícefaktorového ověřování na základě rizik
  • Testování zásad založených na riziku pro pokusy o přihlášení uživatelů