Náprava rizik a odblokování uživatelů

Po dokončení šetření musíte provést opatření k nápravě rizikových uživatelů nebo jejich odblokování. Organizace můžou povolit automatizovanou nápravu nastavením zásad založených na rizicích. Organizace by se měly pokusit prozkoumat a opravit všechny rizikové uživatele v časovém období, se kterým je vaše organizace spokojená. Microsoft doporučuje rychle pracovat, protože při práci s riziky záleží na čase.

Náprava rizik

Všechny aktivní detekce rizik přispívají k výpočtu úrovně rizika uživatele. Úroveň rizika uživatele je indikátor pravděpodobnosti, že došlo k ohrožení účtu uživatele (nízká, střední, vysoká). Jako správce chcete po důkladném prozkoumání rizikových uživatelů a odpovídajících rizikových přihlášení a detekcí napravit rizikové uživatele, aby se už neohrožovaly a nebyly blokovány.

Ochrana Microsoft Entra ID označuje některé detekce rizik a odpovídající riziková přihlášení jako zamítnutá se stavem rizika Zamítnuto a podrobnosti o riziku , které microsoft Entra ID Protection posoudil v bezpečí. Tato akce se provede, protože tyto události se už nezjišťovaly jako rizikové.

Správa istrátory mají následující možnosti pro nápravu:

Samoobslužná náprava pomocí zásad založených na riziku

Uživatelům můžete povolit samoobslužné nápravy rizik přihlašování a rizik uživatelů nastavením zásad založených na rizicích. Pokud uživatelé projdou požadovaným řízením přístupu, jako je například vícefaktorové ověřování nebo změna zabezpečeného hesla, rizika se automaticky opraví. Odpovídající detekce rizik, rizikové přihlášení a rizikové uživatele jsou hlášeny se stavem rizika, který se opravuje místo rizika.

Předpoklady pro uživatele před tím, než se dají použít zásady založené na riziku, aby bylo možné sami napravit rizika, jsou:

  • Pokud chcete provést vícefaktorové ověřování pro samoobslužnou nápravu rizika přihlašování:
    • Uživatel musí mít zaregistrované vícefaktorové ověřování Microsoft Entra.
  • Pokud chcete provést zabezpečenou změnu hesla pro samoobslužnou nápravu rizika uživatele:
    • Uživatel musí mít zaregistrované vícefaktorové ověřování Microsoft Entra.
    • U hybridních uživatelů, kteří jsou synchronizovaní z místního prostředí do cloudu, musí být povolený zpětný zápis hesla.

Pokud se na uživatele při přihlašování použijí zásady založené na riziku před splněním výše uvedených požadavků, je uživatel zablokovaný. Tato akce blokování spočívá v tom, že nemůžou provést požadované řízení přístupu a zásah správce je nutný k odblokování uživatele.

Zásady založené na rizicích se konfigurují na základě úrovní rizik a použijí se pouze v případě, že úroveň rizika přihlášení nebo uživatele odpovídá nakonfigurované úrovni. Některé detekce nemusí zvyšovat riziko na úrovni, na které se zásada vztahuje, a správci musí tyto rizikové uživatele zpracovat ručně. Správa istrátory mohou určit, že jsou nezbytná další opatření, jako je blokování přístupu z umístění nebo snížení přijatelného rizika v jejich zásadách.

Samoobslužná náprava s samoobslužným resetováním hesla

Pokud uživatel zaregistroval samoobslužné resetování hesla (SSPR), může napravit vlastní riziko uživatele provedením samoobslužného resetování hesla.

Ruční resetování hesla

Pokud vyžadování resetování hesla pomocí zásad rizik uživatele není možnost nebo je čas podstaty, správci můžou rizikového uživatele napravit tím, že budou potřebovat resetování hesla.

Správa istrátory mají možnosti, ze kterých si mohou vybrat:

  • Vygenerování dočasného hesla – vygenerováním dočasného hesla můžete okamžitě přenést identitu zpět do bezpečného stavu. Tato metoda vyžaduje kontaktování ovlivněných uživatelů, protože potřebují vědět, co je dočasné heslo. Vzhledem k tomu, že heslo je dočasné, zobrazí se uživateli výzva ke změně hesla na něco nového během dalšího přihlášení.

    • Můžou generovat hesla pro cloudové a hybridní uživatele v Centru pro správu Microsoft Entra.

    • Můžou generovat hesla pro hybridní uživatele z místního adresáře, když je povolená synchronizace hodnot hash hesel a možnost Povolit místní změnu hesla pro resetování uživatelského rizika .

      Upozorňující

      Při příštím přihlášení nevybírejte možnost Uživatel musí změnit heslo. Toto není podporováno.

  • Vyžadovat, aby uživatel resetoval heslo – Vyžadování uživatelů k resetování hesel umožňuje samoobslužné obnovení bez kontaktování technické podpory nebo správce.

    • Cloudoví a hybridní uživatelé můžou provést zabezpečenou změnu hesla. Tato metoda se vztahuje pouze na uživatele, kteří už mohou provádět vícefaktorové ověřování. Pro uživatele, kteří nejsou zaregistrovaní, tato možnost není dostupná.
    • Hybridní uživatelé můžou změnu hesla dokončit stisknutím kombinace kláves Ctrl+Alt+Del a změnou hesla z místního nebo hybridního zařízení s Windows, když je povolená synchronizace hodnot hash hesel a možnost Povolit změnu místního hesla pro resetování rizika uživatele.

Povolení místního resetování hesla k nápravě rizik uživatelů (Preview)

Organizace, které povolily synchronizaci hodnot hash hesel, můžou povolit místním změnám hesla napravit riziko uživatelů.

Tato konfigurace poskytuje organizacím dvě nové funkce:

  • Rizikoví hybridní uživatelé se můžou sami napravit bez zásahu správců. Když se změní heslo v místním prostředí, riziko uživatelů se teď automaticky opraví v rámci služby Microsoft Entra ID Protection a resetuje aktuální stav rizika uživatele.
  • Organizace můžou proaktivně nasazovat zásady rizik uživatelů, které vyžadují změny hesel k zajištění jistoty ochrany hybridních uživatelů. Tato možnost posiluje stav zabezpečení vaší organizace a zjednodušuje správu zabezpečení tím, že zajišťuje, aby se rizika uživatelů okamžitě řešila i ve složitých hybridních prostředích.

Screenshot showing the location of the Allow on-premises password change to reset user risk checkbox.

Konfigurace tohoto nastavení

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň operátor zabezpečení.
  2. Přejděte na ochranu>Identity Protection> Nastavení.
  3. Zaškrtněte políčko Povolit místní změnu hesla, aby se resetování rizika uživatele změnilo.
  4. Zvolte Uložit.

Poznámka:

Povolení změny místních hesel k resetování rizika uživatele je funkce, která je určená jen pro přihlášení. Zákazníci by tuto funkci měli vyhodnotit před povolením v produkčních prostředích. Doporučujeme zákazníkům zabezpečit místní změny hesel nebo resetovat toky. Například vyžadování vícefaktorového ověřování před tím, než uživatelům umožní změnit heslo místně pomocí nástroje, jako je samoobslužné resetování hesla portálu Microsoft Identity Manager.

Skrytí rizika uživatele

Pokud po šetření a potvrzení, že uživatelský účet není ohrožen, můžete se rozhodnout pro zavření rizikového uživatele.

Pokud chcete riziko uživatele zavřít jako alespoň operátora zabezpečení v Centru pro správu Microsoft Entra, přejděte k rizikovým uživatelům služby Protection>Identity Protection>, vyberte ovlivněného uživatele a vyberte Riziko zavřít uživatele.

Když vyberete Možnost Zavřít riziko uživatele, uživatel již není ohrožen a všechna riziková přihlášení tohoto uživatele a odpovídající detekce rizik budou také zamítnuta.

Vzhledem k tomu, že tato metoda nemá vliv na stávající heslo uživatele, nepřenese identitu zpět do bezpečného stavu.

Stav rizika a podrobnosti na základě zavření rizika

  • Rizikový uživatel:
    • Stav rizika: "Ohroženo" –> "Zamítnuto"
    • Podrobnosti o riziku (podrobnosti o nápravě rizika): "-" -> "Správa zavřelo všechna rizika pro uživatele"
  • Všechna riziková přihlášení tohoto uživatele a odpovídající detekce rizik:
    • Stav rizika: "Ohroženo" –> "Zamítnuto"
    • Podrobnosti o riziku (podrobnosti o nápravě rizika): "-" -> "Správa zavřelo všechna rizika pro uživatele"

Potvrzení ohrožení zabezpečení uživatele

Pokud po šetření dojde k ohrožení zabezpečení účtu:

  1. Vyberte událost nebo uživatele v sestavách rizikových přihlášení nebo rizikových uživatelů a zvolte Potvrdit ohrožení zabezpečení.
  2. Pokud se neaktivovala zásada založená na riziku a riziko nebylo samoopravováno, proveďte jednu nebo několik následujících akcí:
    1. Požádejte o resetování hesla.
    2. Pokud máte podezření, že útočník může resetovat heslo nebo provést vícefaktorové ověřování uživatele, zablokujte ho.
    3. Odvolejte obnovovací tokeny.
    4. Zakažte všechna zařízení , která jsou považována za ohrožená.
    5. Pokud používáte průběžné vyhodnocování přístupu, odvolejte všechny přístupové tokeny.

Další informace o tom, co se stane při potvrzení ohrožení zabezpečení, najdete v části Jak mám poskytnout zpětnou vazbu k riziku a co se stane pod kapotou?.

Odstranění uživatelé

Správcům není možné zavřít riziko pro uživatele, kteří byli z adresáře odstraněni. Pokud chcete odstranit odstraněné uživatele, otevřete případ podpory Microsoftu.

Odblokování uživatelů

Správce se může rozhodnout blokovat přihlášení na základě svých zásad rizik nebo šetření. Blok může nastat na základě rizika přihlášení nebo uživatele.

Odblokování na základě rizika uživatele

K odblokování účtu zablokovaného kvůli riziku uživatele mají správci tyhle možnosti:

  1. Resetovat heslo – Heslo uživatele můžete resetovat. Pokud došlo k ohrožení zabezpečení uživatele nebo mu hrozí, v zájmu ochrany jeho účtu i vaší organizace by se mělo jeho heslo resetovat.
  2. Zavření rizika uživatele – Zásady rizik uživatelů zablokují uživatele, pokud bylo dosaženo nakonfigurované úrovně rizika uživatele pro blokování přístupu. Pokud po šetření máte jistotu, že uživatel není ohrožen, a je bezpečné povolit jejich přístup, můžete snížit úroveň rizika uživatele zrušením rizika uživatele.
  3. Vylučte uživatele ze zásad – Pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje problémy pro konkrétní uživatele a je bezpečné udělit těmto uživatelům přístup bez použití těchto zásad, můžete je z této zásady vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
  4. Zakázání zásady – pokud si myslíte, že konfigurace zásad způsobuje problémy u všech uživatelů, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

Odblokování na základě rizika přihlašování

K odblokování účtu na základě rizika přihlášení mají správci následující možnosti:

  1. Přihlášení ze známého umístění nebo zařízení – běžným důvodem blokování podezřelých přihlášení jsou pokusy o přihlášení z neznámých umístění nebo zařízení. Jestli je to důvodem zablokování, můžou vaši uživatelé rychle zjistit tak, že se pokusí přihlásit ze známého umístění nebo zařízení.
  2. Vyloučení uživatele ze zásad – pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje u konkrétních uživatelů problémy, můžete z nich uživatele vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
  3. Zakázání zásady – pokud si myslíte, že konfigurace zásad způsobuje problémy u všech uživatelů, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

PowerShell Preview

Pomocí modulu Microsoft Graph PowerShell SDK Preview můžou organizace spravovat rizika pomocí PowerShellu. Moduly Preview a ukázkový kód najdete v úložišti Microsoft Entra Na GitHubu.

Skript Invoke-AzureADIPDismissRiskyUser.ps1 zahrnutý v úložišti umožňuje organizacím zavřít všechny rizikové uživatele ve svém adresáři.

Další kroky

Simulace vysokého rizika uživatelů