Häufig gestellte Fragen zu Microsoft Entra ID Protection

Dieser Artikel enthält Antworten auf häufig gestellte Fragen zum Microsoft Entra ID Protection. Häufig gestellte Abschnitte umfassen: Erkennungen, durchleckte Anmeldeinformationen, Wartung, Lizenzierung und B2B-Benutzer.

Weitere Informationen finden Sie unter Microsoft Entra ID Protection (Übersicht).

Detections

Wie kann ich Risiken simulieren, um zu verstehen, warum ein Benutzer gekennzeichnet wird?

Wir haben einen Leitfaden zum Simulieren von Risiken. Dieser Leitfaden bietet verschiedene Optionen zum Simulieren verschiedener Arten von Risiken. Sie können auch das WhatIf-Tool für bedingten Zugriff verwenden, um zu sehen, wie bestimmte Richtlinien angewendet werden. We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need.

Ich habe gerade eine Warnung mit hohem Risiko erhalten, aber sie werden nicht in der Arbeitsmappe "Auswirkungsanalyse von risikobasierten Richtlinien" angezeigt. Why?

Wenn dem Benutzer ein hohes Risiko zugewiesen ist, aber noch nicht angemeldet ist, wird er in diesem Bericht nicht angezeigt. Der Bericht verwendet Anmeldeprotokolle nur, um diese Daten aufzufüllen.

Was geschieht, wenn eine Anmeldung mit falschen Anmeldeinformationen versucht wird?

ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar.

Ist die Kennwort-Hashsynchronisierung erforderlich?

Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync.

Warum werden Risikoerkennungen für deaktivierte Konten generiert?

Zunächst ist es wichtig zu wissen, dass Benutzerkonten in einem deaktivierten Zustand erneut aktiviert werden können. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert Risikoerkennungen für verdächtige Aktivitäten mit diesen deaktivierten Benutzerkonten, um Kundinnen und Kunden über eine potenzielle Kontokompromittierung zu informieren.

Wenn ein Konto nicht mehr verwendet wird und nicht wiederverwendbar ist, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert.

Ich habe versucht, den Bericht "Risikoerkennungen" mithilfe der Spalte "Erkennungszeit" zu sortieren, funktioniert aber nicht.

Sorting by Detection time in the Risk detections report might not always give the correct result because of a known technical constraint. To sort by Detection time, open the report in the Microsoft Entra admin center and select Download to export the data as a CSV file and sort accordingly.

Wo findet Microsoft kompromittierte Anmeldeinformationen? Wie oft werden sie verarbeitet?

Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen:

• Öffentliche Einfügewebsites, auf denen böswillige Akteure in der Regel solche Materialien veröffentlichen
• Strafverfolgungsbehörden.
• Andere Gruppen bei Microsoft, die das Darknet durchforsten.

Die durchleckten Anmeldeinformationen werden unmittelbar nach dem Auffinden verarbeitet, normalerweise in mehreren Batches pro Tag.

Warum sehe ich keine kompromittierten Anmeldeinformationen?

Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Only new leaked credentials found after you enable password hash synchronization (PHS) are processed against your tenant. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.

Um zu sehen, wie durchleckte Anmeldeinformationen im ID-Schutz für Ihren Mandanten angezeigt werden können, versuchen Sie, in GitHub für Workloadidentitäten geleeckte Anmeldeinformationen zu simulieren. Weitere Informationen finden Sie unter Simulieren von Risikoerkennungen in Microsoft Entra ID Protection.

Wenn Ihnen keine Risikoereignisse zu kompromittierten Anmeldeinformationen angezeigt werden, kann das folgende Ursachen haben:

• Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
• Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die Ihren Benutzenden entsprechen.

Remediation

Wann besteht das risikobasierte Anmelderisiko von ID Protection, ohne dass eine risikobasierte Richtlinie vorhanden ist?

Id Protection autoremediat anmelderisiko, wenn der Benutzer sofort einen zweiten Faktor bereitstellt, z. B. mehrstufige Authentifizierung (Multifactor Authentication, MFA) nach der riskanten Anmeldung. Durch die Bereitstellung dieses zweiten Faktors wird eine starke Authentifizierung erstellt.

ID Protection betreibt auch zwei Modelle für die Risikobewertung bei Anmeldungen. Das erste ist das Echtzeitmodell, das begrenzte Informationen verwendet, um während der Anmeldung eine schnelle Bestimmung zu treffen. Zweitens ist ein Offlinemodell, das andere Anmeldedaten verwendet, sobald die Anmeldung abgeschlossen ist. Das Offlinemodell kann das Risiko schließen, wenn es die Risikobewertung als sicher bewertet. Diese Bewertung gilt für Echtzeit- und Offlineerkennungen aller Risikostufen.

Wann werden benutzerbasierte Benutzerrisiken ohne risikobasierte Richtlinie autoremediat?

ID Protection autoresolviert Benutzer mit geringem Benutzerrisiko nach sechs Monaten ohne Erhöhung des Benutzerrisikos. Riskante Benutzer mit mittlerem oder hohem Risiko werden ohne Risikorichtlinie oder Administratorentlassung nicht autorisch gelöst.

Was geschieht, wenn ich Microsoft Entra nicht für die mehrstufige Authentifizierung verwende?

Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung nicht verwenden, wird möglicherweise weiterhin ein Anmelderisiko in Ihrer Umgebung behoben, wenn Sie einen nicht von Microsoft stammenden MFA-Anbieter verwenden. Externe Authentifizierungsmethoden ermöglichen es, Risiken bei Verwendung eines anderen MFA-Anbieters als Microsoft zu mindern.

Was sind die besten Steuerelemente für bedingten Zugriff für Konten, die kennwortlos sind?

Sehen Sie sich unsere Anleitung zur Bereitstellung der phishingsicheren kennwortlosen Authentifizierung an: Erste Schritte mit einer Phishing-widerstandsfähigen kennwortlosen Authentifizierungsbereitstellung

Sollten wir "Anmeldehäufigkeit erzwingen - jedes Mal" zu unseren Richtlinien für bedingten Zugriff für hohes Risiko hinzufügen?

Diese Einstellung hängt von der Risikotoleranz Ihrer Organisation ab. Einige Organisationen können sich dafür entscheiden, ein hohes Risiko zu blockieren. Das Erzwingen der Anmeldung jedes Mal kann zu einer Anmelde- oder MFA-Ermüdung führen, wodurch die Wahrscheinlichkeit eines Phishingangriffs erhöht werden kann.

We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need. Sie können auch die Auswirkungsanalyse der Arbeitsmappe mit risikobasierten Richtlinien im ID-Schutz überprüfen.

Was geschieht in einer Hybridumgebung?

Benutzerrisiko kann mithilfe einer sicheren Kennwortänderung selbst behoben werden, wenn die Self-Service-Kennwortzurücksetzung mit Kennwortrückschreiben aktiviert ist. Wenn nur die Kennworthashsynchronisierung aktiviert ist, sollten Sie die lokale Kennwortzurücksetzung zum Mindern von Benutzerrisiken aktivieren.

Weitere Informationen finden Sie unter "Beheben von Risiken und Aufheben der Blockierung von Benutzern".

Wenn ich eine Risikorichtlinie bereitstellen, werden benutzer vom System anders autorisierbar sein oder muss ich frühere Korrekturen wiederholen?

Das System basiert auf den in der Richtlinie für bedingten Zugriff angegebenen Gewährungssteuerelementen für alle Korrekturen. Dieser richtliniengesteuerte Ansatz bietet Ihnen mehr Kontrolle über den Zugriff auf Ressourcen. Wenn für die Benutzerrisikorichtlinie ein Block erforderlich ist, erzwingt der bedingte Zugriff dies. Wenn für die Anmelderisikorichtlinie MFA erforderlich ist, erzwingt der bedingte Zugriff eine neue MFA-Herausforderung (wenn kein MFA-Anspruch für ein vorhandenes Token vorhanden ist). Wenn Alice also immer ihre riskanten Anmeldedaten dank einer anderen MFA-Richtlinie autorisieren ließ, ändert sich nichts in ihrer Benutzererfahrung, wenn Sie eine Risikorichtlinie bereitstellen, die MFA erfordert.

Licensing

Welche Lizenz muss ich Microsoft Entra ID Protection verwenden?

Es gibt mehrere Funktionen in Microsoft Entra ID Protection, die unterschiedliche Lizenzen erfordern. Sie können z. B. eingeschränkte Informationen im Bericht "riskante Anmeldungen" mit der kostenlosen Microsoft Entra ID-Lizenz erhalten, aber Sie erhalten vollzugriff auf diese Berichte mit der Microsoft Entra ID P2 oder der Microsoft Entra Suite-Lizenz. Weitere Informationen finden Sie unter Microsoft Entra ID Protection-Lizenzanforderungen.

Microsoft Entra ID Protection verwendet auch Signale von Microsoft Defender-Produkten, die separat lizenziert sind. Weitere Informationen finden Sie unter Was ist Microsoft Entra ID Protection.

B2B users

Warum kann ich riskante Benutzer von B2B-Zusammenarbeit in meinem Verzeichnis nicht bereinigen?

Die Risikobewertung und Korrektur für B2B-Benutzer erfolgt in ihrem Heimverzeichnis, sodass die Gastbenutzer nicht im risikobehafteten Benutzerbericht im Ressourcenverzeichnis angezeigt werden. Administratoren im Ressourcenverzeichnis können keine sichere Kennwortzurücksetzung für diese Benutzer erzwingen.

Was kann ich tun, wenn ein Benutzer von B2B-Zusammenarbeit aufgrund einer risikobasierten Richtlinie in meiner Organisation gesperrt wurde?

Wenn ein riskanter B2B-Benutzer in Ihrem Verzeichnis durch Ihre risikobasierte Richtlinie blockiert wird, muss der Benutzer dieses Risiko in ihrem Heimverzeichnis beheben. Benutzer können ihr Risiko beheben, indem sie eine sichere Kennwortzurücksetzung in ihrem Heimverzeichnis durchführen. Wenn die Self-Service-Kennwortzurücksetzung in ihrem Heimverzeichnis nicht aktiviert ist, müssen sie sich an die IT-Mitarbeiter ihrer eigenen Organisation wenden, damit ein Administrator das Risiko manuell schließt oder sein Kennwort zurücksetzt. Weitere Informationen finden Sie unter "Beheben des Benutzerrisikos".

Wie kann ich verhindern, dass risikobasierte Richtlinien B2B-Zusammenarbeitsbenutzer beeinflussen?

Wenn B2B-Benutzer von den risikobasierten Richtlinien für bedingten Zugriff Ihrer Organisation ausgeschlossen werden, wird verhindert, dass B2B-Benutzer von der Risikobewertung betroffen sind. Zum Ausschließen dieser B2B-Benutzer erstellen Sie eine Gruppe in Microsoft Entra ID, die alle Gastbenutzer Ihrer Organisation enthält. Fügen Sie diese Gruppe dann als Ausschluss für Ihr integriertes ID-Schutz-Benutzerrisiko und Anmelderisikorichtlinien sowie alle Richtlinien für bedingten Zugriff hinzu, die Anmelderisiken als Bedingung verwenden.

Dieser Artikel enthält Antworten auf häufig gestellte Fragen zum Microsoft Entra ID Protection. Häufig gestellte Abschnitte umfassen: Erkennungen, durchleckte Anmeldeinformationen, Wartung, Lizenzierung und B2B-Benutzer.

Weitere Informationen finden Sie unter Microsoft Entra ID Protection (Übersicht).

Wir haben einen Leitfaden zum Simulieren von Risiken. Dieser Leitfaden bietet verschiedene Optionen zum Simulieren verschiedener Arten von Risiken. Sie können auch das WhatIf-Tool für bedingten Zugriff verwenden, um zu sehen, wie bestimmte Richtlinien angewendet werden. We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need.

Wenn dem Benutzer ein hohes Risiko zugewiesen ist, aber noch nicht angemeldet ist, wird er in diesem Bericht nicht angezeigt. Der Bericht verwendet Anmeldeprotokolle nur, um diese Daten aufzufüllen.

ID Protection generiert nur dann Risikoerkennungen, wenn die richtigen Anmeldeinformationen verwendet werden. Wenn bei der Anmeldung falsche Anmeldeinformationen verwendet werden, stellt dies kein Risiko durch eine Gefährdung der Anmeldeinformationen dar.

Damit Risiken wie kompromittierte Anmeldeinformationen erkannt werden können, müssen Kennworthashes vorhanden sein. Weitere Informationen zur Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync.

Zunächst ist es wichtig zu wissen, dass Benutzerkonten in einem deaktivierten Zustand erneut aktiviert werden können. Wenn die Anmeldeinformationen eines deaktivierten Kontos kompromittiert sind und das Konto erneut aktiviert wird, könnten böswillige Akteure diese Anmeldeinformationen verwenden, um Zugriff zu erhalten. ID Protection generiert Risikoerkennungen für verdächtige Aktivitäten mit diesen deaktivierten Benutzerkonten, um Kundinnen und Kunden über eine potenzielle Kontokompromittierung zu informieren.

Wenn ein Konto nicht mehr verwendet wird und nicht wiederverwendbar ist, sollten Kunden erwägen, es zu löschen, um eine Kompromittierung zu verhindern. Für gelöschte Konten werden keine Risikoerkennungen generiert.

Sorting by Detection time in the Risk detections report might not always give the correct result because of a known technical constraint. To sort by Detection time, open the report in the Microsoft Entra admin center and select Download to export the data as a CSV file and sort accordingly.

Microsoft findet kompromittierte Anmeldeinformationen an verschiedenen Stellen. Dazu zählen:

• Öffentliche Einfügewebsites, auf denen böswillige Akteure in der Regel solche Materialien veröffentlichen
• Strafverfolgungsbehörden.
• Andere Gruppen bei Microsoft, die das Darknet durchforsten.

Die durchleckten Anmeldeinformationen werden unmittelbar nach dem Auffinden verarbeitet, normalerweise in mehreren Batches pro Tag.

Kompromittierte Anmeldeinformationen werden jedes Mal, wenn Microsoft einen neuen, öffentlich verfügbaren Batch findet, verarbeitet. Angesichts der Sensibilität der Daten werden die kompromittierten Anmeldeinformationen kurz nach der Verarbeitung gelöscht. Only new leaked credentials found after you enable password hash synchronization (PHS) are processed against your tenant. Eine Überprüfung anhand zuvor gefundener Anmeldeinformationspaare erfolgt nicht.

Um zu sehen, wie durchleckte Anmeldeinformationen im ID-Schutz für Ihren Mandanten angezeigt werden können, versuchen Sie, in GitHub für Workloadidentitäten geleeckte Anmeldeinformationen zu simulieren. Weitere Informationen finden Sie unter Simulieren von Risikoerkennungen in Microsoft Entra ID Protection.

Wenn Ihnen keine Risikoereignisse zu kompromittierten Anmeldeinformationen angezeigt werden, kann das folgende Ursachen haben:

• Sie haben keine Kennworthashsynchronisierung für Ihren Mandanten aktiviert.
• Microsoft hat keine kompromittierten Anmeldeinformationspaare gefunden, die Ihren Benutzenden entsprechen.

Id Protection autoremediat anmelderisiko, wenn der Benutzer sofort einen zweiten Faktor bereitstellt, z. B. mehrstufige Authentifizierung (Multifactor Authentication, MFA) nach der riskanten Anmeldung. Durch die Bereitstellung dieses zweiten Faktors wird eine starke Authentifizierung erstellt.

ID Protection betreibt auch zwei Modelle für die Risikobewertung bei Anmeldungen. Das erste ist das Echtzeitmodell, das begrenzte Informationen verwendet, um während der Anmeldung eine schnelle Bestimmung zu treffen. Zweitens ist ein Offlinemodell, das andere Anmeldedaten verwendet, sobald die Anmeldung abgeschlossen ist. Das Offlinemodell kann das Risiko schließen, wenn es die Risikobewertung als sicher bewertet. Diese Bewertung gilt für Echtzeit- und Offlineerkennungen aller Risikostufen.

ID Protection autoresolviert Benutzer mit geringem Benutzerrisiko nach sechs Monaten ohne Erhöhung des Benutzerrisikos. Riskante Benutzer mit mittlerem oder hohem Risiko werden ohne Risikorichtlinie oder Administratorentlassung nicht autorisch gelöst.

Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung nicht verwenden, wird möglicherweise weiterhin ein Anmelderisiko in Ihrer Umgebung behoben, wenn Sie einen nicht von Microsoft stammenden MFA-Anbieter verwenden. Externe Authentifizierungsmethoden ermöglichen es, Risiken bei Verwendung eines anderen MFA-Anbieters als Microsoft zu mindern.

Sehen Sie sich unsere Anleitung zur Bereitstellung der phishingsicheren kennwortlosen Authentifizierung an: Erste Schritte mit einer Phishing-widerstandsfähigen kennwortlosen Authentifizierungsbereitstellung

Diese Einstellung hängt von der Risikotoleranz Ihrer Organisation ab. Einige Organisationen können sich dafür entscheiden, ein hohes Risiko zu blockieren. Das Erzwingen der Anmeldung jedes Mal kann zu einer Anmelde- oder MFA-Ermüdung führen, wodurch die Wahrscheinlichkeit eines Phishingangriffs erhöht werden kann.

We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need. Sie können auch die Auswirkungsanalyse der Arbeitsmappe mit risikobasierten Richtlinien im ID-Schutz überprüfen.

Benutzerrisiko kann mithilfe einer sicheren Kennwortänderung selbst behoben werden, wenn die Self-Service-Kennwortzurücksetzung mit Kennwortrückschreiben aktiviert ist. Wenn nur die Kennworthashsynchronisierung aktiviert ist, sollten Sie die lokale Kennwortzurücksetzung zum Mindern von Benutzerrisiken aktivieren.

Weitere Informationen finden Sie unter "Beheben von Risiken und Aufheben der Blockierung von Benutzern".

Das System basiert auf den in der Richtlinie für bedingten Zugriff angegebenen Gewährungssteuerelementen für alle Korrekturen. Dieser richtliniengesteuerte Ansatz bietet Ihnen mehr Kontrolle über den Zugriff auf Ressourcen. Wenn für die Benutzerrisikorichtlinie ein Block erforderlich ist, erzwingt der bedingte Zugriff dies. Wenn für die Anmelderisikorichtlinie MFA erforderlich ist, erzwingt der bedingte Zugriff eine neue MFA-Herausforderung (wenn kein MFA-Anspruch für ein vorhandenes Token vorhanden ist). Wenn Alice also immer ihre riskanten Anmeldedaten dank einer anderen MFA-Richtlinie autorisieren ließ, ändert sich nichts in ihrer Benutzererfahrung, wenn Sie eine Risikorichtlinie bereitstellen, die MFA erfordert.

Es gibt mehrere Funktionen in Microsoft Entra ID Protection, die unterschiedliche Lizenzen erfordern. Sie können z. B. eingeschränkte Informationen im Bericht "riskante Anmeldungen" mit der kostenlosen Microsoft Entra ID-Lizenz erhalten, aber Sie erhalten vollzugriff auf diese Berichte mit der Microsoft Entra ID P2 oder der Microsoft Entra Suite-Lizenz. Weitere Informationen finden Sie unter Microsoft Entra ID Protection-Lizenzanforderungen.

Microsoft Entra ID Protection verwendet auch Signale von Microsoft Defender-Produkten, die separat lizenziert sind. Weitere Informationen finden Sie unter Was ist Microsoft Entra ID Protection.

Die Risikobewertung und Korrektur für B2B-Benutzer erfolgt in ihrem Heimverzeichnis, sodass die Gastbenutzer nicht im risikobehafteten Benutzerbericht im Ressourcenverzeichnis angezeigt werden. Administratoren im Ressourcenverzeichnis können keine sichere Kennwortzurücksetzung für diese Benutzer erzwingen.

Wenn ein riskanter B2B-Benutzer in Ihrem Verzeichnis durch Ihre risikobasierte Richtlinie blockiert wird, muss der Benutzer dieses Risiko in ihrem Heimverzeichnis beheben. Benutzer können ihr Risiko beheben, indem sie eine sichere Kennwortzurücksetzung in ihrem Heimverzeichnis durchführen. Wenn die Self-Service-Kennwortzurücksetzung in ihrem Heimverzeichnis nicht aktiviert ist, müssen sie sich an die IT-Mitarbeiter ihrer eigenen Organisation wenden, damit ein Administrator das Risiko manuell schließt oder sein Kennwort zurücksetzt. Weitere Informationen finden Sie unter "Beheben des Benutzerrisikos".

Wenn B2B-Benutzer von den risikobasierten Richtlinien für bedingten Zugriff Ihrer Organisation ausgeschlossen werden, wird verhindert, dass B2B-Benutzer von der Risikobewertung betroffen sind. Zum Ausschließen dieser B2B-Benutzer erstellen Sie eine Gruppe in Microsoft Entra ID, die alle Gastbenutzer Ihrer Organisation enthält. Fügen Sie diese Gruppe dann als Ausschluss für Ihr integriertes ID-Schutz-Benutzerrisiko und Anmelderisikorichtlinien sowie alle Richtlinien für bedingten Zugriff hinzu, die Anmelderisiken als Bedingung verwenden.