Azure AD 风险登录与密码重置

Your company has an Azure Active Directory (Azure AD) environment. Users occasionally connect to Azure AD via the Internet.

You have been tasked with making sure that users who connect to Azure AD via the internet from an unidentified IP address, are automatically encouraged to change passwords.

Solution: You configure the use of Azure AD Identity Protection.

Does the solution meet the goal?

提供答案和解答

2025-10-09_09-39-28776×813 171 KB

Azure AD Identity Protection 的设计就是为了识别登录风险的。

所以在这个时候需要用这个功能来对风险进行识别。

好的，这是答案和解答。

答案 (Answer):

是的 (Yes)

该解决方案满足目标。

解答 (Explanation):

Azure AD Identity Protection 正是为应对此类安全场景而设计的。下面是详细解释为什么这个解决方案是正确的：

1. 风险检测 (Risk Detection): Azure AD Identity Protection 能够自动检测与用户身份相关的风险事件。您提到的“从未识别的 IP 地址连接”完全符合 Identity Protection 的一种核心风险检测类型，即：

   • 不熟悉的登录属性 (Unfamiliar sign-in properties): 当用户从一个他们通常不会使用的位置、设备或 IP 地址登录时，系统会标记此登录为有风险。这与您的要求“unidentified IP address”完美对应。
   • 匿名 IP 地址 (Anonymous IP address): 如果用户通过匿名代理（如 Tor 浏览器）登录，Identity Protection 也会检测到这种高风险行为。

2. 自动化策略响应 (Automated Policy Response): Identity Protection 允许您创建策略，以根据检测到的风险级别自动执行操作。您可以配置一个“登录风险策略 (Sign-in Risk Policy)”，具体如下：

   • 条件 (Condition): 设置策略在检测到“中等”或“高等”登录风险时触发。上述的“不熟悉的登录属性”通常被归类为中等风险。
   • 控制 (Control): 在“访问控制”中，您可以选择“允许访问 (Allow access)”，并勾选“要求密码重置 (Require password change)”选项。

结论 (Conclusion):

通过配置 Azure AD Identity Protection 的登录风险策略，当系统检测到用户从一个不熟悉的、有风险的 IP 地址登录时，可以自动强制该用户重置其密码，然后才允许其访问。这不仅“鼓励”了用户，更是强制执行了密码更改，从而有效地保护了账户安全，完全满足了您的任务目标。