Vorgehensweise: Übermitteln von Risikofeedback in Microsoft Entra ID Protection
Sie können Feedback zur Risikobewertung durch Microsoft Entra ID Protection geben. Im folgenden Dokument sind die Szenarios aufgelistet, in denen Sie Feedback zur Microsoft Entra ID Protection-Risikobewertung geben können, und Sie erfahren, wie wir es integrieren.
Was ist eine Erkennung?
Eine Erkennung von ID Protection ist ein Indikator für verdächtige Aktivität bezüglich des Identitätsrisikos. Diese verdächtigen Aktivitäten werden als Risikoerkennungen bezeichnet. Diese identitätsbasierenden Erkennungen können auf Heuristiken und Machine Learning basieren oder von Partnerprodukten stammen. Mit diesen Erkennungen werden Anmelde- und Benutzerrisiko bestimmt.
- Ein Benutzerrisiko entspricht der Wahrscheinlichkeit, dass eine bestimmte Identität kompromittiert wurde.
- Das Anmelderisiko entspricht der Wahrscheinlichkeit, dass eine Anmeldung gefährdet ist (z. B. hat der Identitätsbesitzer die Anmeldung nicht autorisiert).
Warum sollte ich Feedback zu den Risikobewertungen von Microsoft Entra ID senden?
Es gibt verschiedene Gründe, warum Sie Microsoft Entra-Risikofeedback senden sollten:
- Sie haben festgestellt, dass die Benutzer- oder Anmelderisikobewertung von Microsoft Entra ID falsch ist. Beispielsweise könnte eine im Bericht „Riskante Anmeldungen“ aufgeführte Anmeldung gutartig und alle darauf bezogenen Erkennungen falsch positiv gewesen sein.
- Sie haben festgestellt, dass die Benutzer- oder Anmelderisikobewertung von Microsoft Entra ID richtig ist. Beispiel: Eine im Bericht „Risikoanmeldungen“ aufgeführte Anmeldung war tatsächlich bedenklich, und Sie möchten in Microsoft Entra ID bestätigen, dass es sich bei allen erkannten Anmeldungen um Risikoanmeldungen gehandelt hat.
- Sie haben das Risiko für diesen Benutzer außerhalb von Microsoft Entra ID Protection bereinigt und möchten, dass die Risikostufe des Benutzers aktualisiert wird.
Wie verwendet Microsoft Entra ID mein Risikofeedback?
Microsoft Entra ID verwendet Ihr Feedback, um das Risiko des zugrunde liegenden Benutzers bzw. der Anmeldung sowie die Genauigkeit dieser Ereignisse zu aktualisieren. Dieses Feedback hilft dabei, den Endbenutzer zu schützen. Sobald Sie beispielsweise bestätigen, dass eine Anmeldung kompromittiert wurde, setzt Microsoft Entra ID direkt das Risiko des Benutzers und das aggregierte Risiko der Anmeldungen (nicht das Echtzeitrisiko) auf „Hoch“. Wenn Sie diesen Benutzer in Ihrer Benutzerrisikorichtlinie den Benutzern mit hohem Risiko zuordnen, bei denen erzwungen wird, dass sie ihre Kennwörter sicher zurücksetzen, sorgt der Benutzer bei seiner nächsten Anmeldung automatisch für Abhilfe.
Wie soll ich Risikofeedback senden, und was geschieht im Hintergrund?
Hier finden Sie Szenarios und Mechanismen zum Senden von Risikofeedback an Microsoft Entra ID.
| Szenario | Wie können Sie Feedback senden? | Was geschieht im Hintergrund? | Hinweise |
|---|---|---|---|
| Anmeldung nicht kompromittiert (falsch positiv) Der Bericht „Riskante Anmeldungen“ zeigt eine riskante Anmeldung [Risikostatus = Gefährdet] an, aber diese Anmeldung war nicht kompromittiert. |
Wählen Sie die Anmeldung aus, und klicken Sie auf „Anmeldung als sicher bestätigen“. | Wir heben das aggregierte Risiko der Anmeldung auf [Risikostatus = Als sicher bestätigt; Risikostufe (aggregiert) = -] und macht die Auswirkung auf das Benutzerrisiko rückgängig. | Die Option „Anmeldung als sicher bestätigen“ ist derzeit nur im Bericht „Riskante Anmeldungen“ verfügbar. |
| Anmeldung kompromittiert (richtig positiv) Der Bericht „Riskante Anmeldungen“ zeigt eine gefährdete Anmeldung [Risikostatus = Gefährdet] mit geringem Risiko [Risikostufe (aggregiert) = Niedrig] an, und diese Anmeldung wurde tatsächlich kompromittiert. |
Wählen Sie die Anmeldung aus, und klicken Sie auf „Anmeldung als gefährdet bestätigen“. | Wir setzen das aggregierte Risiko der Anmeldung auf „Hoch“ [Risikostatus = Gefährdung bestätigen; Risikostufe = Hoch]. | Die Option „Anmeldung als gefährdet bestätigen“ ist derzeit nur im Bericht „Riskante Anmeldungen“ verfügbar. |
| Benutzer kompromittiert (richtig positiv) Der Bericht „Riskante Benutzer“ zeigt einen gefährdeten Benutzer [Risikostatus = Gefährdet] mit geringem Risiko [Risikostufe = Niedrig] an, und dieser Benutzer wurde tatsächlich kompromittiert. |
Wählen Sie den Benutzer aus und klicken Sie auf „Benutzer als kompromittiert bestätigen". | Wir setzen das Benutzerrisiko auf „Hoch“ [Risikostatus = Gefährdung bestätigen; Risikostufe = Hoch] und fügt eine neue Erkennung „Benutzergefährdung durch Administrator bestätigt“ hinzu. | Die Option „Benutzergefährdung bestätigen“ ist derzeit nur im Bericht „Riskante Anmeldungen“ verfügbar. Die Erkennung „Benutzergefährdung durch Administrator bestätigt“ wird im Bericht „Riskante Benutzer“ auf der Registerkarte „Risikoerkennungen ohne Bezug zu einer Anmeldung“ angezeigt. |
| Benutzer außerhalb von Microsoft Entra ID Protection bereinigt (Richtig positiv + Bereinigt) Der Bericht „Riskante Benutzer“ zeigt einen gefährdeten Benutzer an, und Sie haben den Benutzer außerhalb von Microsoft Entra ID Protection bereinigt. |
1. Wählen Sie den Benutzer aus und klicken Sie auf „Benutzer als kompromittiert bestätigen". (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer tatsächlich kompromittiert wurde.) 2. Warten Sie, bis die Risikostufe des Benutzers auf „Hoch“ gesetzt wird. (Mit dem Warten räumen Sie Microsoft Entra ID die erforderliche Zeit ein, um das obige Feedback in das Risikomodul aufzunehmen.) 3. Wählen Sie den Benutzer aus, und klicken Sie auf „Benutzerrisiko verwerfen“. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer nicht länger kompromittiert ist.) |
Microsoft Entra ID hebt das Benutzerrisiko auf [Risikostatus = Verworfen; Risikostufe = -] und schließt das Risiko für alle vorhandenen Anmeldungen mit aktivem Risiko. | Wenn Sie auf „Benutzerrisiko verwerfen“ klicken, werden alle Risiken für den Benutzer und frühere Anmeldungen geschlossen. Diese Aktion kann nicht rückgängig gemacht werden. |
| Benutzer nicht kompromittiert (falsch positiv) Der Bericht „Riskante Benutzer“ zeigt einen gefährdeten Benutzer an, aber der Benutzer ist nicht kompromittiert. |
Wählen Sie den Benutzer aus, und klicken Sie auf „Benutzerrisiko verwerfen“. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer nicht kompromittiert wurde.) | Microsoft Entra ID hebt das Benutzerrisiko auf [Risikostatus = Verworfen; Risikostufe = -]. | Wenn Sie auf „Benutzerrisiko verwerfen“ klicken, werden alle Risiken für den Benutzer und frühere Anmeldungen geschlossen. Diese Aktion kann nicht rückgängig gemacht werden. |
| Ich möchte das Benutzerrisiko schließen, aber ich bin mir nicht sicher, ob der Benutzer kompromittiert/sicher ist. | Wählen Sie den Benutzer aus, und klicken Sie auf „Benutzerrisiko verwerfen“. (Dieser Prozess bestätigt Microsoft Entra ID, dass der Benutzer nicht länger kompromittiert ist.) | Wir heben das Benutzerrisiko auf [Risikostatus = Verworfen; Risikostufe = -]. | Wenn Sie auf „Benutzerrisiko verwerfen“ klicken, werden alle Risiken für den Benutzer und frühere Anmeldungen geschlossen. Diese Aktion kann nicht rückgängig gemacht werden. Sie sollten den Benutzer durch Klicken auf „Kennwort zurücksetzen“ bereinigen oder ihn auffordern, auf sichere Weise seine Anmeldeinformationen zurückzusetzen / zu ändern. |
Feedback zu Benutzerrisikoerkennungen in ID Protection wird offline verarbeitet, und die Aktualisierung könnte einige Zeit dauern. Die Spalte zum Status der Risikoverarbeitung gibt den aktuellen Status der Feedbackverarbeitung an.