Investiguer les risques avec Identity Protection dans ID externe Microsoft Entra
Microsoft Entra Identity Protection assure la détection continue des risques pour votre locataire externe. Le service permet aux organisations de découvrir, d’examiner et de corriger les risques basés sur l’identité. Identity Protection est fourni avec des rapports sur les risques pouvant servir à investiguer les risques liés à l’identité dans les locataires externes. Dans cet article, vous allez apprendre à examiner et à atténuer les risques.
Rapports Identity Protection
Identity Protection fournit deux rapports. Le rapport Utilisateurs à risque permet aux administrateurs de savoir quels utilisateurs sont à risque et de connaître les détails relatifs aux détections. Le rapport Détections de risque fournit des informations sur chaque détection de risque. Ce rapport comprend le type de risque, les autres risques déclenchés en même temps, l’emplacement de la tentative de connexion, etc.
Chaque rapport démarre avec une liste de toutes les détections pour la période indiquée en haut du rapport. Les rapports peuvent être filtrés à l’aide des filtres situés dans la partie supérieure du rapport. Les administrateurs peuvent choisir de télécharger les données ou d’utiliser l’API MS Graph et le Kit de développement logiciel (SDK) Microsoft Graph PowerShell pour exporter les données en continu.
Limitations et considérations relatives au service
Quand vous utilisez Identity Protection, tenez compte des points suivants :
- Identity Protection n’est pas disponible dans les locataires d’essai.
- Identity Protection est activé par défaut.
- Identity Protection est disponible pour les identités locales et sociales, telles que Google ou Facebook. La détection est limitée, car le fournisseur d’identité externe gère les informations d’identification des comptes sociaux.
- Actuellement dans les locataires externes Microsoft Entra, une partie des détections de risque de la Protection Microsoft Entra ID est disponible. ID externe Microsoft Entra prend en charge les détections de risque suivantes :
| Type de détection des risques | Description |
|---|---|
| Voyage inhabituel | Connexion à partir d’un emplacement inhabituel par rapport aux dernières connexions de l’utilisateur. |
| Adresse IP anonyme | Connexion à partir d’une adresse IP anonyme (par exemple : navigateur Tor, VPN anonymes). |
| Adresse IP liée à un programme malveillant | Connexion à partir d’une adresse IP liée à un programme malveillant. |
| Propriétés de connexion inhabituelles | Connexion avec des propriétés non vues récemment pour l’utilisateur donné. |
| L’administrateur a confirmé que cet utilisateur est compromis | Un administrateur a indiqué qu’un utilisateur a été compromis. |
| Pulvérisation de mots de passe | Connexion par le biais d’une attaque par pulvérisation de mots de passe. |
| Veille des menaces Microsoft Entra | Les sources de renseignements sur les menaces internes et externes de Microsoft ont identifié un modèle d’attaque connu. |
Examiner des utilisateurs à risque
Avec les informations indiquées dans le rapport Utilisateurs à risque, les administrateurs peuvent trouver :
- L’état du risque, indiquant quels utilisateurs sont à risque, ont vu leur risque corrigé ou ont vu leur risque ignoré
- Détails sur les détections
- Historique de toutes les connexions à risque
- Historique des risques
Les administrateurs peuvent ensuite choisir d’agir sur ces événements. Les administrateurs peuvent choisir d’effectuer les opérations suivantes :
- Réinitialiser le mot de passe de l’utilisateur
- Confirmer la compromission de l’utilisateur
- Ignorer le risque lié à l’utilisateur
- Empêcher l’utilisateur de se connecter
- Effectuer d’autres examens au moyen d’Azure ATP
Un administrateur peut choisir d’ignorer le risque d’un utilisateur dans le centre d’administration Microsoft Entra, ou programmatiquement en utilisant l’API Microsoft Graph Dismiss User Risk. Des privilèges d’administrateur sont nécessaires pour ignorer le risque lié à un utilisateur. L’utilisateur à risque ou un administrateur au nom de l’utilisateur peut corriger le risque, par exemple, avec une réinitialisation de mot de passe.
Consultation du rapport sur les utilisateurs à risque
Connectez-vous au Centre d’administration Microsoft Entra.
Assurez-vous d’utiliser l’annuaire qui contient votre locataire externe Microsoft Entra : sélectionnez l’icône Paramètres
dans la barre d’outils et recherchez votre locataire externe dans le menu Annuaires + abonnements. S’il ne s’agit pas de l’annuaire actuel, sélectionnez Basculer.Accédez à Identité>Protection>Security Center.
Sélectionnez Identity Protection.
Sous Rapport, sélectionnez Utilisateurs à risque.
La sélection d’entrées individuelles développe une fenêtre de détails sous les détections. L’affichage des détails permet aux administrateurs d’investiguer et d’effectuer des actions lors de chaque détection.
Rapport sur les détections de risques
Le rapport Détections de risque contient des données filtrables correspondant aux 90 derniers jours (trois mois).
Les informations indiquées dans le rapport des détections de risques permettent aux administrateurs de trouver :
- Des informations sur chaque détection de risques, y compris le type
- Les autres risques déclenchés en même temps.
- L’emplacement de la tentative de connexion.
Les administrateurs peuvent ensuite choisir de revenir au rapport des risques ou des connexions de l’utilisateur pour effectuer des actions en fonction des informations recueillies.
Consultation du rapport sur les détections de risque
Connectez-vous au centre d’administration Microsoft Entra.
Accédez à Identité>Protection>Security Center.
Sélectionnez Identity Protection.
Sous Rapport, sélectionnez Détections de risque.