Partage via


Investiguer les risques avec Protection des ID dans ID externe Microsoft Entra

S’applique à :Cercle blanc avec un symbole X gris. Locataires de main-d’œuvre Cercle vert avec un symbole de coche blanche. Locataires externes (en savoir plus)

Protection Microsoft Entra ID assure la détection des risques en continu pour votre locataire externe. Le service permet aux organisations de découvrir, d’examiner et de corriger les risques basés sur l’identité. Protection des ID est fourni avec des rapports sur les risques qui peuvent être utilisés pour investiguer les risques liés à l’identité dans les locataires externes. Dans cet article, vous allez apprendre à examiner et à atténuer les risques.

Rapports Protection des ID

Protection des ID fournit deux rapports. Le rapport Utilisateurs à risque permet aux administrateurs de savoir quels utilisateurs sont à risque et de connaître les détails relatifs aux détections. Le rapport Détections de risque fournit des informations sur chaque détection de risque. Ce rapport comprend le type de risque, les autres risques déclenchés en même temps, l’emplacement de la tentative de connexion, etc.

Chaque rapport démarre avec une liste de toutes les détections pour la période indiquée en haut du rapport. Les rapports peuvent être filtrés à l’aide des filtres situés dans la partie supérieure du rapport. Les administrateurs peuvent choisir de télécharger les données ou d’utiliser l’API MS Graph et le Kit de développement logiciel (SDK) Microsoft Graph PowerShell pour exporter les données en continu.

Limitations et considérations relatives au service

Quand vous utilisez Protection des ID, tenez compte des points suivants :

  • Protection des ID n’est pas disponible dans les locataires d’évaluation.
  • Protection des ID est activé par défaut.
  • Protection des ID est disponible pour les identités locales et sociales, comme Google ou Facebook. La détection est limitée, car le fournisseur d’identité externe gère les informations d’identification des comptes sociaux.
  • Actuellement dans les locataires externes Microsoft Entra, une partie des détections de risque de la Protection Microsoft Entra ID est disponible. ID externe Microsoft Entra prend en charge les détections de risque suivantes :
Type de détection des risques Description
Voyage inhabituel Connexion à partir d’un emplacement inhabituel par rapport aux dernières connexions de l’utilisateur.
Adresse IP anonyme Connexion à partir d’une adresse IP anonyme (par exemple : navigateur Tor, VPN anonymes).
Adresse IP liée à un programme malveillant Connexion à partir d’une adresse IP liée à un programme malveillant.
Propriétés de connexion inhabituelles Connexion avec des propriétés non vues récemment pour l’utilisateur donné.
L’administrateur a confirmé que cet utilisateur est compromis Un administrateur a indiqué qu’un utilisateur a été compromis.
Pulvérisation de mots de passe Connexion par le biais d’une attaque par pulvérisation de mots de passe.
Veille des menaces Microsoft Entra Les sources de renseignements sur les menaces internes et externes de Microsoft ont identifié un modèle d’attaque connu.

Examiner des utilisateurs à risque

Avec les informations indiquées dans le rapport Utilisateurs à risque, les administrateurs peuvent trouver :

  • L’état du risque, indiquant quels utilisateurs sont à risque, ont vu leur risque corrigé ou ont vu leur risque ignoré
  • Détails sur les détections
  • Historique de toutes les connexions à risque
  • Historique des risques

Les administrateurs peuvent ensuite choisir d’agir sur ces événements. Les administrateurs peuvent choisir d’effectuer les opérations suivantes :

  • Réinitialiser le mot de passe de l’utilisateur
  • Confirmer la compromission de l’utilisateur
  • Ignorer le risque lié à l’utilisateur
  • Empêcher l’utilisateur de se connecter
  • Effectuer d’autres examens au moyen d’Azure ATP

Un administrateur peut choisir d’ignorer le risque d’un utilisateur dans le centre d’administration Microsoft Entra, ou programmatiquement en utilisant l’API Microsoft Graph Dismiss User Risk. Des privilèges d’administrateur sont nécessaires pour ignorer le risque lié à un utilisateur. L’utilisateur à risque ou un administrateur au nom de l’utilisateur peut corriger le risque, par exemple, avec une réinitialisation de mot de passe.

  1. Connectez-vous au Centre d’administration Microsoft Entra.

  2. Assurez-vous d’utiliser l’annuaire qui contient votre locataire externe Microsoft Entra : sélectionnez l’icône Paramètres dans la barre d’outils et recherchez votre locataire externe dans le menu Annuaires + abonnements. S’il ne s’agit pas de l’annuaire actuel, sélectionnez Basculer.

  3. Accédez à Protection>Protection des identités.

  4. Sous Rapport, sélectionnez Utilisateurs à risque.

    La sélection d’entrées individuelles développe une fenêtre de détails sous les détections. L’affichage des détails permet aux administrateurs d’investiguer et d’effectuer des actions lors de chaque détection.

Rapport sur les détections de risques

Le rapport Détections de risque contient des données filtrables correspondant aux 90 derniers jours (trois mois).

Les informations indiquées dans le rapport des détections de risques permettent aux administrateurs de trouver :

  • Des informations sur chaque détection de risques, y compris le type
  • Les autres risques déclenchés en même temps.
  • L’emplacement de la tentative de connexion.

Les administrateurs peuvent ensuite choisir de revenir au rapport des risques ou des connexions de l’utilisateur pour effectuer des actions en fonction des informations recueillies.

  1. Connectez-vous au Centre d’administration Microsoft Entra.

  2. Accédez à Protection>Protection des identités.

  3. Sous Rapport, sélectionnez Détections de risque.