Sign-ins detected as high risk SHALL be blocked.
Dlaczego to jest ważne
Logowania o wysokim ryzyku wskazują na prawdopodobnie naruszoną tożsamość lub trwający atak, często związany z wyciekniętymi poświadczeniami, niemożliwą do zrealizowania podróżą lub anonimowymi adresami IP. Jeśli te logowania nie zostaną zablokowane, atakujący mogą utrzymać dostęp do środowiska, eskalować uprawnienia i wyeksfiltrować dane. Administratorzy muszą skonfigurować dostęp warunkowy (Conditional Access), aby automatycznie odrzucać te próby i zapobiegać eskalacji naruszenia.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy polityka dostępu warunkowego Identity Protection została skonfigurowana tak, aby blokować logowania wykryte jako wysokiego ryzyka. Jest ono wyświetlane na pulpicie nawigacyjnym Aether365 w ramach kontroli Entra ID (entra-id) jako część linii bazowej CISA.
Jak naprawić
- W centrum administracyjnym Microsoft Entra admin center przejdź do Ochrona > Dostęp warunkowy > Zasady.
- Utwórz nową zasadę lub edytuj istniejącą, dotyczącą Wszyscy użytkownicy lub wybranych użytkowników.
- W sekcji Aplikacje w chmurze lub akcje wybierz Wszystkie aplikacje w chmurze.
- W sekcji Warunki > Ryzyko logowania ustaw Konfiguruj na Tak i wybierz Wysokie.
- W sekcji Udziel wybierz Zablokuj dostęp.
- Włącz zasadę i zapisz.
Zgodność
- CIS: CISA.MS.AAD.2.3
- Framework: CIS
- Usługa: Entra ID (entra-id)
Powiązane zasoby
- Microsoft Learn: Dostęp warunkowy oparty na ryzyku logowania
- Microsoft Learn: Wdrażanie zasad opartych na ryzyku za pomocą Identity Protection