无强制措施的风险用户

Microsoft Entra ID Protection（原 Identity Protection）可识别 Entra ID 中的风险用户，并需要 Microsoft Entra ID P2 许可证才能运行。正如 Microsoft 关于风险检测的文档中所述，风险检测分为两种类型：

• 登录风险检测。此检测已在专门的 IoE“有风险的登录未要求进行 MFA”中解决
• 用户风险检测

在以下情况下，用户可能被视为存在风险：

• 用户进行了一次或多次存在风险的登录。
• 在他们的帐户上检测到一个或多个风险，例如泄露的凭据或异常的用户活动。

存在三个风险 级别：

• 高危
• 中危
• 低危

当系统识别到某个用户存在风险时，可以使用条件访问策略来强制实施安全措施。

根据 BOD 25-01 的规定，需要将 CISA“Microsoft Entra ID 的 M365 安全配置基准”中的MS.AAD.2.1v1 策略设置为“应阻止经检测存在高风险的用户”。如果遵循 CISA 指南，此 IoE 可确保至少一个条件访问策略包含以下设置：

• “用户”设置为包括“所有用户”。
• “目标资源”设置为“所有资源”。
• “条件 > 用户风险”设置为“是”，并选择“高”风险级别。
• “授予”设置为“阻止访问”。
• “启用策略”设置为“开启”（而非“关闭”或“仅报告”）。

另一方面，如果您选择遵循 Microsoft 的建议，此 IoE 可确保至少一个条件访问策略包含以下设置：

• “用户”设置为包括“所有用户”。
• “目标资源”设置为“所有资源”。
• “条件 > 用户风险”设置为“是”，并选择“高”风险级别。
• “授予”设置为“需要更改密码”。
• “启用策略”设置为“开启”（而非“关闭”或“仅报告”）。

必须为租户启用条件访问策略 (CAP)，以保护其免受所有被识别为高风险的用户的影响。

Tenable 建议仅阻止高风险级别的用户，以最大限度减少业务中断。 CISA 和 Microsoft 对如何防范此风险持有不同意见：

• 根据 BOD 25-01 的规定，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.2.1v1 策略建议完全阻止有风险的用户。
• 相比之下，Microsoft 建议通过要求更改密码来触发用户自我修复。

Tenable 建议遵循 CISA 指南，因为这是最安全的方法。不过，由于这也是限制性最强的方法，您可以使用 IoE 中提供的选项轻松切换到 Microsoft 的建议。

为此，您可以通过以下方式创建 CAP：

• 应用此 IoE 描述中指定的设置来修改现有的 CAP。
• 创建专用 CAP，并根据 IoE 的描述中的规范进行配置。

如果您遵循 Microsoft 的建议而不是 CISA 指南，您还可以使用 Microsoft 提供的“要求高风险用户更改密码”CAP 模板。当您启用遵循 Microsoft 建议的选项时，此模板满足此 IoE 中列出的所有标准。

注意：Microsoft 和 Tenable 都建议您将特定帐户从条件访问策略中排除，以避免整个租户的帐户遭锁定和产生不必要的副作用。Tenable 还建议您遵循 Microsoft 文档“规划条件访问部署”，以确保实施正确的规划和变更管理，并降低自我锁定的风险。特别需要注意的是，如果您使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合身份解决方案，您必须将这些工具所使用的服务帐户从策略中排除，因为它们无法满足条件访问策略的要求。选择“排除用户”操作即可直接排除服务帐户；或选中“目录角色”选项，然后选择“目录同步帐户”角色来实现排除。

配置 CAP 对于防止安全漏洞至关重要，但它不能替代对报告的风险进行的取证调查。如果您想了解更多信息，Microsoft 提供了一份调查指南。

名称: 无强制措施的风险用户

代码名称: RISKY-USERS-WITHOUT-ENFORCEMENT

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure