Руководство. Использование обнаружения рисков для входа пользователей для активации многофакторной проверки подлинности Или изменений паролей Microsoft Entra

Чтобы защитить пользователей, можно настроить политики условного доступа Microsoft Entra на основе рисков, которые автоматически реагируют на рискованные действия. Эти политики могут автоматически блокировать попытку входа или требовать дополнительных действий, например требовать безопасное изменение пароля или запрашивать многофакторную проверку подлинности Microsoft Entra. Эти политики работают с существующими политиками условного доступа Microsoft Entra в качестве дополнительного уровня защиты для вашей организации. Пользователи никогда не могут вызвать рискованное поведение в одной из этих политик, но ваша организация защищена, если предпринята попытка компрометации вашей безопасности.

В этом руководстве описано следующее:

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы и разрешения:

• Рабочий клиент Microsoft Entra с включенной лицензией Microsoft Entra ID P2 или пробной лицензией.
  • Создайте ее бесплатно, если нужно.
• Учетная запись с правами администратора безопасности.
• Идентификатор Microsoft Entra, настроенный для самостоятельного сброса пароля и многофакторной проверки подлинности Microsoft Entra
  • При необходимости выполните инструкции, чтобы включить Microsoft Entra SSPR.
  • При необходимости выполните инструкции по включению многофакторной проверки подлинности Microsoft Entra.

Обзор Защита идентификации Microsoft Entra

Корпорация Майкрософт ежедневно собирает и анализирует миллиарды анонимизированных сообщений о попытках входа пользователей. Эти сообщения позволяют создать шаблоны хорошего поведения пользователей и выявлять потенциально опасные и подозрительные попытки входа. Защита идентификации Microsoft Entra может просматривать попытки входа пользователей и выполнять дополнительные действия, если возникает подозрительное поведение:

Некоторые из следующих действий могут активировать обнаружение рисков Защита идентификации Microsoft Entra:

• утечка учетных данных пользователей;
• входы в систему с анонимных IP-адресов;
• неосуществимое перемещение и нетипичные расположения;
• попытки входа с зараженных устройств;
• входы с IP-адресов с подозрительными действиями;
• входы в систему из необычного расположения.

В этой статье описано, как включить три политики для защиты пользователей и автоматизации реагирования на подозрительные действия.

• Политика регистрации многофакторной проверки подлинности
  • Гарантирует, что пользователи зарегистрированы для многофакторной проверки подлинности Microsoft Entra. Если политика риска входа запрашивает MFA, пользователь должен быть зарегистрирован для многофакторной проверки подлинности Microsoft Entra.
• Политика риска пользователей
  • Определяет и автоматизирует ответ на учетные записи пользователей, которые могут скомпрометировать учетные данные. Может предложить пользователю создать новый пароль.
• Политика риска входа
  • Определяет и автоматизирует ответ на подозрительные попытки входа. Может предложить пользователю предоставить дополнительные формы проверки с помощью многофакторной проверки подлинности Microsoft Entra.

При включении политики на основе рисков можно также выбрать порог для уровня риска — низкий, средний или высокий. Эта настройка позволяет выбрать агрессивность применения действий, настроенных для подозрительных событий входа. Корпорация Майкрософт рекомендует следующие конфигурации политик.

Дополнительные сведения о Защита идентификации Microsoft Entra см. в разделе "Что такое Защита идентификации Microsoft Entra?"

Включение политики регистрации многофакторной проверки подлинности

Защита идентификации Microsoft Entra включает политику по умолчанию, которая может помочь пользователям, зарегистрированным для многофакторной проверки подлинности Microsoft Entra. Если вы используете другие политики для защиты событий входа, вам потребуется, чтобы пользователи уже зарегистрировались для MFA. Включение этой политики не означает, что пользователям придется выполнять многофакторную проверку подлинности при каждом входе. Политика проверяет только состояние регистрации пользователя и запрашивает у них предварительную регистрацию при необходимости.

Рекомендуется включить эту политику регистрации для пользователей, использующих многофакторную проверку подлинности. Чтобы включить эту политику, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
2. Перейдите к политике регистрации многофакторной проверки подлинности Защиты>>идентификации.
3. По умолчанию она применяется ко всем пользователям. Если нужно это изменить, выберите Назначения и укажите пользователей или группы для применения политики.
4. В разделе Элементы управления выберите Доступ. Убедитесь, что установлен флажок "Требовать регистрацию многофакторной проверки подлинности Microsoft Entra", а затем нажмите кнопку "Выбрать".
5. Для параметра Применить политику задайте значение Вкл. и щелкните Сохранить.

Применение политики рисков пользователей для смены пароля

Корпорация Майкрософт сотрудничает с исследователями, правоохранительными органами, различными группами безопасности корпорации Майкрософт и другими доверенными источниками для поиска пар "имя пользователя и пароль". Если одна из этих пар соответствует учетной записи в вашей среде, можно потребовать изменение пароля на основе рисков. Эта политика с этим действием требуют, чтобы пользователь изменил пароль, прежде чем сможет войти в систему. Это нужно для того, чтобы скомпрометированные учетные данные нельзя было использовать для входа.

Чтобы включить эту политику, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе "Облачные приложения" или "Включить">выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
7. В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да.
   1. В разделе Настройте уровни риска пользователей, необходимые для применения политики выберите Высокий. Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите " Требовать изменение пароля".
   3. Выберите Выбрать.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновление политики риска пользователей без пароля

1. В разделе "Пользователи":
   1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
2. В разделе "Элементы управления доступом" блокировка> доступа для пользователей без пароля.

Исправление и разблокировка риска пользователя без пароля

1. Требовать исследования администратора и исправления любого риска.
2. Разблокируйте пользователя.

Включение политики рисков при входе для MFA

Большинство пользователей демонстрируют нормальное поведение, которое можно отслеживать. Если поведение выходит за пределы нормы, разрешение входа в систему может оказаться рискованным. Вместо этого может потребоваться заблокировать этого пользователя или попросить его выполнить многофакторную проверку подлинности. Если пользователь успешно пройдет такую проверку, можно считать попытку входа допустимой и предоставить доступ к приложению или службе.

Чтобы включить эту политику, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
   3. Нажмите кнопку Готово.
6. В разделе "Облачные приложения" или "Включить">выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
7. В разделе Условия>Риск при входе задайте для параметра Настроить значение Да.
   1. В разделе "Выбор уровня риска входа" эта политика будет применяться, выберите "Высокий " и "Средний". Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
   2. Нажмите кнопку Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите Выбрать.
9. В разделе Сеанс.
   1. Выберите Частота входа.
   2. Убедитесь, что выбрано Каждый раз.
   3. Выберите Выбрать.
10. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
11. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Сценарии без пароля

Для организаций, использующих методы проверки подлинности без пароля, внесите следующие изменения:

Обновление политики риска без пароля

1. В разделе "Пользователи":
   1. Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
2. В разделе "Выбор уровня риска входа" эта политика будет применяться, выберите "Высокий".
3. В разделе "Элементы управления доступом" блокировка> доступа для пользователей без пароля.

Исправление и разблокирование риска входа без пароля

1. Требовать исследования администратора и исправления любого риска.
2. Разблокируйте пользователя.

Тестирование подозрительных входов в систему

Большинство событий входа пользователей не активируют политики на основе рисков, настроенные на предыдущих шагах. Пользователь никогда не увидит запрос на MFA или сброс пароля. Пока учетные данные пользователя остаются надежными, а поведение стабильным, все события входа будут считаться успешными.

Чтобы протестировать политики Защита идентификации Microsoft Entra, созданные на предыдущих шагах, вам потребуется способ имитации рискованного поведения или потенциальных атак. Действия по этим тестам зависят от политики Защита идентификации Microsoft Entra, которую вы хотите проверить. Дополнительные сведения о сценариях и шагах см. в разделе "Имитация обнаружения рисков" в Защита идентификации Microsoft Entra.

Очистка ресурсов

Если вы завершите тестирование и больше не хотите включать политики на основе рисков, вернитесь к каждой политике, которую вы хотите отключить и задать для политики отключение или удаление политики.

Следующие шаги

В этом руководстве вы включили политики пользователей на основе рисков для Защита идентификации Microsoft Entra. Вы научились выполнять следующие задачи: