Share via

Zkoumání rizik pomocí služby Identity Protection v Microsoft Entra Externí ID

  • Článek

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Microsoft Entra Identity Protection poskytuje průběžné zjišťování rizik pro vašeho externího tenanta. Umožňuje organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách. Služba Identity Protection obsahuje sestavy rizik, které je možné použít ke zkoumání rizik identit v externích tenantech. V tomto článku se dozvíte, jak prozkoumat a zmírnit rizika.

Generování sestav identity Protection

Identity Protection poskytuje dvě sestavy. Sestava Rizikových uživatelů je místo, kde můžou správci zjistit, kteří uživatelé jsou ohroženi, a podrobnosti o detekcích. Sestava detekce rizik poskytuje informace o každé detekci rizik. Tato sestava obsahuje typ rizika, další rizika aktivovaná současně, umístění pokusu o přihlášení a další.

Každá sestava se spustí se seznamem všech detekcí pro období zobrazené v horní části sestavy. Sestavy je možné filtrovat pomocí filtrů v horní části sestavy. Správa istrátory se můžou rozhodnout stáhnout data nebo použít Rozhraní MS Graph API a sada Microsoft Graph PowerShell SDK pro průběžný export dat.

Omezení a důležité informace o službách

Při použití identity Protection zvažte následující body:

  • Služba Identity Protection není dostupná ve zkušebních tenantech.
  • Služba Identity Protection je ve výchozím nastavení zapnutá.
  • Služba Identity Protection je dostupná pro místní i sociální identity, jako je Google nebo Facebook. Detekce je omezená, protože externí zprostředkovatel identity spravuje přihlašovací údaje k účtu sociální sítě.
  • V současné době je v externích tenantech Microsoft Entra k dispozici podmnožina detekce rizik Microsoft Entra ID Protection. Microsoft Entra Externí ID podporuje následující detekce rizik:
Typ detekce rizik Popis
Neobvyklá cesta Přihlášení z neobvyklého umístění na základě nedávných přihlášení uživatele.
Anonymní IP adresa Přihlaste se z anonymní IP adresy (například prohlížeč Tor, anonymizer VPN).
IP adresa související s malwarem Přihlaste se z propojené IP adresy malwaru.
Neznámé vlastnosti přihlášení Přihlaste se pomocí vlastností, které jsme nedávno pro daného uživatele neviděli.
Správa potvrdil ohrožení zabezpečení uživatele Správce uvedl, že došlo k ohrožení zabezpečení uživatele.
Password Spray Přihlaste se prostřednictvím útoku password spray.
Microsoft Entra Threat Intelligence Interní a externí zdroje analýzy hrozeb Od Microsoftu identifikovaly známý vzor útoku.

Prověřování rizikových uživatelů

S informacemi, které poskytuje sestava Rizikových uživatelů , můžou správci najít:

  • Stav Rizika, který ukazuje, kteří uživatelé jsou ohroženi, měli rizika Napravit nebo měli riziko Zamítnuto
  • Podrobnosti o detekcích
  • Historie všech rizikových přihlášení
  • Historie rizik

Správa istrátory se pak můžou rozhodnout provést akce s těmito událostmi. Správa istrátory mohou zvolit:

  • Resetování uživatelského hesla
  • Potvrzení ohrožení zabezpečení uživatele
  • Skrytí rizika uživatele
  • Blokování přihlášení uživatele
  • Další zkoumání s využitím Azure ATP

Správce se může rozhodnout zavřít riziko uživatele v Centru pro správu Microsoft Entra nebo programově prostřednictvím rozhraní Microsoft Graph API zavřít riziko uživatele. Správa istrator oprávnění jsou nutná k zavření rizika uživatele. Rizikový uživatel nebo správce, který pracuje jménem uživatele, může riziko napravit, například prostřednictvím resetování hesla.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Ujistěte se, že používáte adresář, který obsahuje externího tenanta Microsoft Entra: Vyberte ikonu Nastavení na panelu nástrojů a v nabídce Adresáře a předplatná vyhledejte externího tenanta. Pokud se nejedná o aktuální adresář, vyberte Přepínač.

  3. Přejděte do služby Identity>Protection>Security Center.

  4. Vyberte Identity Protection.

  5. V části Sestava vyberte Rizikové uživatele.

    Výběrem jednotlivých položek rozbalíte okno podrobností pod detekcemi. Zobrazení podrobností umožňuje správcům prošetřit a provádět akce s jednotlivými detekcemi.

Sestava detekce rizik

Sestava Detekce rizik obsahuje filtrovatelná data za posledních 90 dnů (tři měsíce).

Díky informacím, které poskytuje sestava detekce rizik, můžou správci najít:

  • Informace o každé detekci rizik, včetně typu.
  • Současně se aktivovala další rizika.
  • Umístění pokusu o přihlášení

Správa istrátory se pak můžou rozhodnout, že se vrátíte k sestavě rizik uživatele nebo k přihlášení a provedete akce na základě shromážděných informací.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte do služby Identity>Protection>Security Center.

  3. Vyberte Identity Protection.

  4. V části Sestava vyberte Detekce rizik.