将身份保护风险策略迁移到条件访问

如果身份保护服务检测到用户的风险级别较高，则 Microsoft Entra 中的身份保护风险策略使您能够对用户帐户实施阻止控制。这些风险级别是在用户级别或登录级别确定的。 用户级别检测与用户本身相关的风险活动，例如凭据泄露、威胁情报或可疑活动 。 登录风险级别检测身份验证请求级别的风险活动，例如非典型旅行、密码喷射攻击 > 或未知 IP 地址。

当该功能首次发布时，可以使用策略来配置对风险级别较高的用户身份的控制，例如要求重置密码或阻止帐户。这些策略现在被视为遗留策略，在这篇文章中，我将向您展示如何将它们迁移到条件访问策略。

身份保护风险策略何时停用？

Microsoft 宣布 Microsoft Entra ID Protection 中的旧版风险策略将于2026 年 10 月 1 日停用。

报告身份保护风险策略

迁移到条件访问策略的第一步是报告您当前拥有的配置。要从 Microsoft Entra 管理中心查看此信息，请按照以下步骤操作：

1. 以全局管理员身份登录https://entra.microsoft.com/。

2. 展开保护并选择身份保护。

3. 在“保护”下，选择用户风险策略或签名风险策略。

4. 导航至每项策略并记录用户、用户风险和控制。

目前无法使用 Microsoft Graph PowerShell 查看或管理这些旧策略。

迁移到条件访问策略

将这些策略迁移到条件访问的最简单方法是使用 Microsoft Entra 中的条件访问模板功能。请按照以下步骤迁移到风险登录和用户的条件访问策略。

1. 以全局管理员身份登录https://entra.microsoft.com/。

2. 展开保护并选择条件访问。

3. 单击创建新策略（如果您同时配置了用户风险和登录风险，则应创建两个策略）。

4. 定义策略名称并配置目标用户和资源的分配。 理想情况下，您应该定位所有用户和所有云应用，然后排除您的打破玻璃帐户。

5. 在条件部分，为单个策略定义用户风险或登录风险。

6. 然后，根据您希望实施的控制，在“授予控制”部分中，阻止访问或要求更改密码。

7. 现在将策略设置为仅报告并保存策略。

8. 对用户或登录风险的第二个策略执行相同的操作，具体取决于您是否同时使用这两种功能。

与传统身份保护策略相比，条件访问对您的身份安全策略提供了更精细的控制。在此阶段，您还可以考虑实施补充控制，例如要求设备合规性或更强的身份验证方法，作为高风险策略的补充或替代。

您还可以根据 Microsoft 的预定义模板创建策略。在 Microsoft Entra 的“条件访问”边栏选项卡上，只需单击从模板创建新策略，然后选择任一可用的风险策略。

这些策略也可以使用 Microsoft Graph PowerShell 进行配置；请参阅下面的博客文章了解更多信息：

• 如何使用 Graph PowerShell 部署条件访问模板
• 如何使用 Microsoft Graph PowerShell 创建条件访问策略

监控登录并启用条件访问策略

当您的策略处于“仅报告”模式时，您应该持续监控这将对您的用户产生什么影响。在较高级别上，您已经启用了旧策略，因此不必担心其影响。但是，请监视条件访问登录日志以及身份保护中的风险报告以评估影响。

有风险的用户和登录

条件访问失败日志

当您处于舒适的阶段时，启用条件访问策略。

禁用旧的身份保护风险策略

启用条件访问策略后，请按照以下步骤禁用旧的身份保护风险策略。

1. 以全局管理员身份登录https://entra.microsoft.com/。

2. 展开保护并选择身份保护。

3. 导航至用户风险策略和登录风险策略，并将策略执行设置为禁用 。

包起来

尽管 Microsoft 最近才定义了停用日期，但身份保护风险策略现在已被视为遗留策略相当长一段时间了。如此提前设定停用日期，客户没有理由及时完成此迁移。