← Back
Conditional Access + Identity Protection Lab
Detta labbet byggdes för att förstå hur riskbaserad Conditional Access och Identity Protection fungerar i Microsoft Entra ID.
Målet var att:
- Skapa riskbaserade Conditional Access-policies
- Tvinga MFA vid risky sign-ins
- Förstå user risk och sign-in risk
- Testa Identity Protection i praktiken
- Analysera risky users och risky sign-ins
Arkitektur
User Sign-In → Identity Protection → Risk Detection → Conditional Access → MFA
Steg 1 — Förberedelser
Först verifierades att tenant hade rätt funktioner aktiverade.
- Microsoft Entra ID P2
- Identity Protection
- Conditional Access
Ett separat testkonto skapades:
test-risk-user@tenant.onmicrosoft.com
Sedan tilldelades:
- Microsoft Entra ID P2-licens
Steg 2 — Konfigurera MFA
Första inloggningen gjordes med testkontot.
MFA registrerades med:
Efter detta verifierades att MFA fungerade korrekt.
Steg 3 — Skapa Conditional Access Policy
I Entra Admin Center:
- Protection
- Conditional Access
- Policies
- New Policy
Policynamn:
CA - Require MFA for Risky Sign-ins
Steg 4 — Konfigurera users
Under:
Assignments → Users
Valdes:
- All users
- eller specifikt testkonto
Break glass/admin-konto exkluderades från policyn.
Steg 5 — Konfigurera risk conditions
Under:
Conditions → Sign-in risk
Val:
Configure:
Yes
Sedan:
Conditions → User risk
Val:
Steg 6 — Konfigurera Access Controls
Under:
Access controls → Grant
Val:
- Grant access
- Require multi-factor authentication
Sedan:
Select
Steg 7 — Enable policy
Under:
Enable policy
Valdes:
Sedan klickades:
Create
Steg 8 — Testa risky sign-ins
Olika inloggningsscenarion testades för att försöka trigga Identity Protection.
Testade bland annat:
- VPN
- Incognito-läge
- InPrivate-sessioner
- Olika browsers
- Upprepade sign-ins
- Flera nya sessioner
Målet var att se om Entra började markera användaren eller sign-ins som risky.
Steg 9 — Övervaka Identity Protection
I Entra Admin Center:
Protection → Identity Protection
Kontrollerade:
- Risky users
- Risky sign-ins
- Risk detections
Efter ett tag dök testkontot upp som:
Risky User
Steg 10 — Hantera risky user
Öppnade användaren under:
Identity Protection → Risky users
Testade olika åtgärder:
Revoke sessions
Tvingade användaren att logga in igen.
Confirm user safe
Markerade användaren som säker.
Dismiss user risk
Tog bort riskstatus manuellt.
Confirm compromised
Markerade användaren som komprometterad.
Steg 11 — Testa What If Tool
I Conditional Access:
Conditional Access → What If
Valde:
- Test user
- Cloud app
- Location/sign-in conditions
Verifierade:
- Vilka policies som appliceras
- Om MFA triggas
- Hur Conditional Access påverkar sign-ins
Resultat
Labbet kunde nu:
- Identifiera risky users
- Identifiera risky sign-ins
- Tvinga MFA vid risk
- Hantera risknivåer dynamiskt
- Testa riskbaserad Conditional Access
Lärdomar
- User risk och sign-in risk är två olika saker
- Conditional Access kan reagera dynamiskt på risknivåer
- MFA är effektivt skydd vid risky sign-ins
- Identity Protection kan upptäcka avvikande beteenden
- What If Tool är viktigt innan utrullning av policies
- Risky users kan hanteras direkt i Entra
Teknik som användes
- Microsoft Entra ID
- Conditional Access
- Identity Protection
- MFA
- What If Tool
- VPN
- Incognito/InPrivate Sessions