Náprava rizik a odblokování uživatelů

Po dokončení šetření musíte podniknout kroky k nápravě rizikových uživatelů nebo je odblokovat. Organizace můžou povolit automatizovanou nápravu nastavením zásad založených na rizicích. Organizace by se měly pokusit prověřit a napravit všechny rizikové uživatele v časovém období, které vaše organizace vyhovuje. Microsoft doporučuje jednat rychle, protože při práci s riziky záleží na čase.

Náprava rizik

Všechny detekce aktivních rizik přispívají k výpočtu úrovně rizika uživatele. Úroveň rizika uživatele je indikátorem (nízká, střední, vysoká) pravděpodobnosti ohrožení účtu uživatele. Jako správce chcete po důkladném prošetření rizikových uživatelů a odpovídajících rizikových přihlášení a detekcí napravit rizikové uživatele tak, aby už nebyli ohroženi a nebyli blokováni.

Některá detekce rizik a odpovídající riziková přihlášení mohou být službou Identity Protection označena jako zamítnutá se stavem rizika "Zamítnuto" a podrobnostmi o riziku "Azure AD Identity Protection vyhodnoceno bezpečné přihlášení", protože tyto události už nebyly považovány za rizikové.

Správci mají k dispozici následující možnosti nápravy:

Samoobslužná náprava pomocí zásad založených na rizicích

Nastavením zásad založených na rizicích můžete uživatelům povolit samoobslužnou nápravu rizik přihlašování a uživatelských rizik. Pokud uživatelé projdou požadovaným řízením přístupu, jako je Azure AD vícefaktorové ověřování (MFA) nebo zabezpečená změna hesla, budou jejich rizika automaticky napravena. Odpovídající detekce rizik, rizikových přihlášení a rizikových uživatelů se budou hlásit se stavem rizika "Napraveno" místo "Ohroženo".

Tady jsou požadavky na uživatele před tím, než se na ně dají použít zásady založené na rizicích, které umožní samoobslužnou nápravu rizik:

  • Pokud chcete provést vícefaktorové ověřování, abyste sami napravily riziko přihlášení:
    • Uživatel musí mít zaregistrované vícefaktorové ověřování Azure AD.
  • Pokud chcete provést zabezpečenou změnu hesla, abyste sami napravili riziko uživatele:
    • Uživatel musí mít zaregistrované vícefaktorové ověřování Azure AD.
    • Pro hybridní uživatele, kteří se synchronizují z místního prostředí do cloudu, musí být povolený zpětný zápis hesla.

Pokud se na uživatele při přihlašování před splněním výše uvedených požadavků použijí zásady založené na rizicích, uživatel se zablokuje, protože nebude moct provést požadované řízení přístupu, a k odblokování uživatele se bude vyžadovat zásah správce.

Zásady založené na rizicích se konfigurují na základě úrovní rizika a budou platit pouze v případě, že úroveň rizika přihlášení nebo uživatele odpovídá nakonfigurované úrovni. Některá detekce nemusí zvyšovat riziko na úrovni, na které se budou zásady uplatňovat, a správci budou muset tyto rizikové uživatele zpracovat ručně. Správci můžou určit, že jsou nutná další opatření, jako je blokování přístupu z umístění nebo snížení přijatelného rizika ve svých zásadách.

Samoobslužná náprava pomocí samoobslužného resetování hesla

Pokud si uživatel zaregistroval samoobslužné resetování hesla (SSPR), může také napravit vlastní riziko uživatele provedením samoobslužného resetování hesla.

Ruční resetování hesla

Pokud vyžadovat resetování hesla pomocí zásad rizik uživatele není možné, můžou správci rizikového uživatele napravit tím, že vyžadují resetování hesla.

Správci mají při resetování hesla pro své uživatele dvě možnosti:

  • Vygenerování dočasného hesla – Vygenerováním dočasného hesla můžete okamžitě vrátit identitu zpět do bezpečného stavu. Tato metoda vyžaduje kontaktování ovlivněných uživatelů, protože potřebují vědět, jaké je dočasné heslo. Vzhledem k tomu, že heslo je dočasné, zobrazí se uživateli během dalšího přihlášení výzva ke změně hesla na něco nového.

  • Vyžadovat, aby uživatel resetoval heslo – Vyžadovat, aby uživatelé resetovali hesla, umožňuje samoobslužné obnovení bez kontaktování technické podpory nebo správce. Tato metoda se vztahuje pouze na uživatele zaregistrované pro Azure AD MFA a SSPR. Pro uživatele, kteří nejsou zaregistrovaní, tato možnost není dostupná.

Skrytí rizika uživatele

Pokud po prošetření a potvrzení, že u uživatelského účtu nehrozí ohrožení zabezpečení, můžete rizikového uživatele zavřít.

Pokud chcete zavřít riziko uživatele, vyhledejte a vyberte Azure AD Rizikoví uživatelé v Azure Portal nebo na portálu Entra, vyberte ovlivněného uživatele a vyberte Zavřít riziko uživatelů.

Když vyberete Zavřít riziko uživatele, uživatel už nebude ohrožen a všechna riziková přihlášení tohoto uživatele a odpovídající detekce rizik budou také zrušena.

Vzhledem k tomu, že tato metoda nemá vliv na stávající heslo uživatele, nepřevedá jeho identitu zpět do bezpečného stavu.

Stav rizika a podrobnosti na základě zamítnutí rizika

  • Rizikový uživatel:
    • Stav rizika: "V ohrožení" –> "Zamítnuto"
    • Podrobnosti o riziku (podrobnosti o nápravě rizika): "-" –> "Správa zavřelo všechna rizika pro uživatele"
  • Všechna riziková přihlášení tohoto uživatele a odpovídající detekce rizik:
    • Stav rizika: "V ohrožení" –> "Zamítnuto"
    • Podrobnosti o riziku (podrobnosti o nápravě rizika): "-" –> "Správa zavřelo všechna rizika pro uživatele"

Potvrzení ohrožení zabezpečení uživatele

Pokud se po prošetření potvrdí ohrožení zabezpečení účtu:

  1. V sestavách Rizikových přihlášení nebo Rizikových uživatelů vyberte událost nebo uživatele a zvolte Potvrdit ohrožení zabezpečení.
  2. Pokud se zásady založené na rizicích neaktivovaly a riziko nebylo samo napraveno, proveďte jednu nebo více následujících akcí:
    1. Požádejte o resetování hesla.
    2. Pokud máte podezření, že útočník může resetovat heslo nebo provést vícefaktorové ověřování místo uživatele, zablokujte ho.
    3. Odvolejte obnovovací tokeny.
    4. Zakažte všechna zařízení , která jsou považována za ohrožená.
    5. Pokud používáte průběžné vyhodnocování přístupu, odvolejte všechny přístupové tokeny.

Další informace o tom, co se stane při potvrzení ohrožení zabezpečení, najdete v části Jak mám poskytnout zpětnou vazbu k riziku a co se stane pod pokličkou?.

Odstranění uživatelé

Není možné, aby správci zavřeli riziko pro uživatele, kteří byli odstraněni z adresáře. Pokud chcete odstranit odstraněné uživatele, otevřete případ podpory Microsoftu.

Odblokování uživatelů

Správce se může rozhodnout blokovat přihlášení na základě svých zásad rizik nebo šetření. Zablokování může nastat na základě rizika přihlášení nebo uživatele.

Odblokování na základě rizika uživatele

K odblokování účtu zablokovaného kvůli riziku uživatele mají správci tyhle možnosti:

  1. Resetovat heslo – můžete resetovat heslo uživatele. Pokud došlo k ohrožení zabezpečení nebo ohrožení zabezpečení uživatele, heslo uživatele by se mělo resetovat, aby chránilo jeho účet a vaši organizaci.
  2. Zavřít riziko uživatele – Zásady rizika uživatele zablokují uživatele, pokud bylo dosaženo nakonfigurované úrovně rizika uživatele pro blokování přístupu. Pokud jste si po prošetření jistí, že uživateli nehrozí ohrožení zabezpečení, a je bezpečné mu povolit přístup, můžete snížit úroveň rizika uživatele tím, že riziko uživatele zrušíte.
  3. Vyloučení uživatele ze zásad – pokud se domníváte, že aktuální konfigurace zásad přihlašování způsobuje problémy pro konkrétní uživatele a je bezpečné udělit přístup těmto uživatelům bez použití této zásady, můžete je z této zásady vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
  4. Zakázání zásady – pokud si myslíte, že konfigurace zásad způsobuje problémy u všech uživatelů, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

Odblokování na základě rizika přihlašování

Pokud chtějí správci účet odblokovat na základě rizika přihlášení, mají následující možnosti:

  1. Přihlášení ze známého umístění nebo zařízení – běžným důvodem blokování podezřelých přihlášení jsou pokusy o přihlášení z neznámých umístění nebo zařízení. Jestli je to důvodem zablokování, můžou vaši uživatelé rychle zjistit tak, že se pokusí přihlásit ze známého umístění nebo zařízení.
  2. Vyloučení uživatele ze zásad – pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje u konkrétních uživatelů problémy, můžete z nich uživatele vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
  3. Zakázání zásady – pokud si myslíte, že konfigurace zásad způsobuje problémy u všech uživatelů, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

PowerShell Preview

Pomocí modulu Microsoft Graph PowerShell SDK Preview můžou organizace spravovat rizika pomocí PowerShellu. Moduly Preview a vzorový kód najdete v úložišti Azure AD GitHubu.

Skript Invoke-AzureADIPDismissRiskyUser.ps1 zahrnutý v úložišti umožňuje organizacím zavřít ve svém adresáři všechny rizikové uživatele.

Další kroky

Přehled služby Azure AD Identity Protection najdete v přehledu služby Azure AD Identity Protection.