Самостоятельное исправление с помощью Защита идентификации Microsoft Entra и условного доступа

С помощью Защита идентификации Microsoft Entra и условного доступа можно:

  • Требовать, чтобы пользователи регистрируются для многофакторной проверки подлинности Microsoft Entra
  • автоматизировать исправление последствий рискованных входов и взлома пользователей.
  • Блокировать пользователей в определенных случаях.

Политики условного доступа, которые интегрируют риск входа пользователей и входа, влияют на возможности входа для пользователей. Позволяя пользователям регистрироваться и использовать такие средства, как многофакторная проверка подлинности Microsoft Entra и самостоятельный сброс пароля, может снизить влияние. Эти средства вместе с соответствующими вариантами политики предоставляют пользователям возможность самостоятельного исправления, когда они нуждаются в ней, при этом все еще применяя строгие элементы управления безопасностью.

Регистрация многофакторной проверки подлинности

Если администратор включает политику защиты идентификаторов, требующую регистрации многофакторной проверки подлинности Microsoft Entra, это гарантирует, что пользователи могут использовать многофакторную проверку подлинности Microsoft Entra для самостоятельного исправления в будущем. Настройка этой политики дает пользователям 14-дневный период, в течение которого они могут зарегистрироваться (по его истечении регистрация будет обязательной).

Прерывание регистрации

  1. При входе в любое интегрированное приложение Microsoft Entra пользователь получает уведомление о необходимости настройки учетной записи для многофакторной проверки подлинности. Эта политика также активируется в интерфейсе Windows Out of Box для новых пользователей с новым устройством.

    Снимок экрана: дополнительные сведения, необходимые для запроса в окне браузера.

  2. Выполните инструкции по регистрации для многофакторной проверки подлинности Microsoft Entra и выполните вход.

Самостоятельное исправление рисков

Когда администратор настраивает политики условного доступа на основе рисков, затронутые пользователи прерваны при достижении настроенного уровня риска. Если администраторы разрешают самостоятельное исправление с помощью многофакторной проверки подлинности, этот процесс отображается пользователем как обычный запрос многофакторной проверки подлинности.

Если пользователь может выполнить многофакторную проверку подлинности, их риск устраняется и может войти в систему.

Снимок экрана: запрос многофакторной проверки подлинности при входе.

Если пользователь находится под угрозой, а не только вход, администраторы могут настроить политику риска пользователей в условном доступе, чтобы требовать изменения пароля в дополнение к выполнению многофакторной проверки подлинности. В этом случае пользователь видит следующий дополнительный экран.

Снимок экрана: запрос на изменение пароля требуется при обнаружении риска пользователя.

Разблокировка администратором после рискованного входа

Администраторы могут заблокировать пользователей при входе в систему в зависимости от их уровня риска. Чтобы разблокировать возможность входа, пользователь должен обратиться в службу ИТ организации. Кроме того, можно попробовать войти из знакомого расположения или с помощью знакомого устройства. Самостоятельное исправление не является вариантом в этом случае.

Снимок экрана: экран блокировки учетной записи.

Сотрудники службы ИТ могут с помощью инструкций из раздела Разблокирование пользователей снова разрешить пользователю войти в систему.

Технический специалист по высоким уровням риска

Если у вашей организации есть пользователи, которым делегирован доступ к другому клиенту, и они вызывают высокий риск, что они могут быть заблокированы для входа в другие клиенты. Например:

  1. У организации есть управляемый поставщик услуг (MSP) или поставщик облачных решений (CSP), который осуществляет настройку облачной среды.
  2. Произошла утечка учетных данных одного из технических специалистов MSP, и с этим связан высокий риск. Этому специалисту блокируется вход в другие клиенты.
  3. Специалист может самостоятельно исправить и войти, если домашний клиент включил соответствующие политики, требующие изменения пароля для пользователей с высоким риском или MFA для рискованных пользователей.
    1. Если домашний клиент не включил политики самостоятельного исправления, администратор в домашнем клиенте технического специалиста должен исправить риск.

См. также