Memulihkan risiko dan membuka blokir pengguna

Setelah menyelesaikan penyelidikan, Anda perlu mengambil tindakan untuk memulihkan pengguna berisiko atau membuka blokirnya. Organisasi dapat mengaktifkan remediasi otomatis dengan menyiapkan kebijakan berbasis risiko. Organisasi harus mencoba menyelidiki dan memulihkan semua pengguna berisiko dalam periode waktu yang nyaman bagi organisasi Anda. Microsoft merekomendasikan untuk bertindak dengan cepat, karena waktu penting saat bekerja dengan risiko.

Risiko remediasi

Semua deteksi risiko aktif berkontribusi pada perhitungan tingkat risiko pengguna. Tingkat risiko pengguna adalah indikator (rendah, sedang, tinggi) dari probabilitas bahwa akun pengguna telah disusupi. Sebagai administrator, setelah penyelidikan menyeluruh terhadap pengguna berisiko dan proses masuk dan deteksi berisiko yang sesuai, Anda ingin memulihkan pengguna berisiko sehingga mereka tidak lagi berisiko dan tidak akan diblokir.

Microsoft Entra ID Protection menandai beberapa deteksi risiko dan proses masuk berisiko yang sesuai sebagaimana diberhentikan dengan status risiko Diberhentikan dan detail risiko Microsoft Entra ID Protection dinilai aman. Dibutuhkan tindakan ini, karena peristiwa tersebut tidak lagi bertekad berisiko.

Admin memiliki opsi berikut untuk memulihkan:

• Siapkan kebijakan berbasis risiko untuk memungkinkan pengguna memulihkan risiko mereka sendiri.
• Atur ulang kata sandi mereka secara manual.
• Mengalihkan risiko pengguna mereka.
• Remediasi dalam Microsoft Defender untuk Identitas.

Remediasi mandiri dengan kebijakan berbasis risiko

Anda dapat mengizinkan pengguna untuk memulihkan risiko masuk dan risiko pengguna mereka sendiri dengan menyiapkan kebijakan berbasis risiko. Jika pengguna melewati kontrol akses yang diperlukan, seperti autentikasi multifaktor atau perubahan kata sandi yang aman, risiko mereka akan diperbaiki secara otomatis. Deteksi risiko yang sesuai, rincian masuk berisiko, dan pengguna berisiko dilaporkan dengan status risiko Diperbaiki alih-alih Berisiko.

Prasyarat bagi pengguna sebelum kebijakan berbasis risiko dapat diterapkan untuk memungkinkan remediasi risiko mandiri adalah:

• Untuk melakukan MFA untuk memulihkan risiko masuk sendiri:
  • Pengguna harus telah mendaftar untuk autentikasi multifaktor Microsoft Entra.
• Untuk melakukan perubahan kata sandi yang aman untuk memulihkan risiko pengguna sendiri:
  • Pengguna harus telah mendaftar untuk autentikasi multifaktor Microsoft Entra.
  • Untuk pengguna hibrid yang disinkronkan dari lokal ke cloud, tulis balik kata sandi harus diaktifkan.

Jika kebijakan berbasis risiko diterapkan ke pengguna selama masuk sebelum prasyarat di atas terpenuhi, maka pengguna diblokir. Tindakan blokir ini karena mereka tidak dapat melakukan kontrol akses yang diperlukan, dan intervensi admin diperlukan untuk membuka blokir pengguna.

Kebijakan berbasis risiko dikonfigurasi berdasarkan tingkat risiko dan hanya berlaku jika tingkat risiko masuk atau pengguna cocok dengan tingkat yang dikonfigurasi. Beberapa deteksi mungkin tidak meningkatkan risiko ke tingkat di mana kebijakan berlaku, dan administrator perlu menangani pengguna berisiko tersebut secara manual. Administrator dapat menentukan bahwa tindakan tambahan diperlukan seperti memblokir akses dari lokasi atau menurunkan risiko yang dapat diterima dalam kebijakan mereka.

Remediasi mandiri dengan pengaturan ulang kata sandi mandiri

Jika pengguna telah mendaftar untuk pengaturan ulang kata sandi mandiri (SSPR), maka mereka dapat memulihkan risiko pengguna mereka sendiri dengan melakukan pengaturan ulang kata sandi layanan mandiri.

Reset kata sandi manual

Jika mengharuskan pengaturan ulang kata sandi menggunakan kebijakan risiko pengguna bukanlah pilihan, atau waktu sangat penting, administrator dapat memulihkan pengguna berisiko dengan memerlukan pengaturan ulang kata sandi.

Administrator memiliki opsi yang dapat mereka pilih:

• Membuat kata sandi sementara - Dengan membuat kata sandi sementara, Anda dapat segera mengembalikan identitas ke kondisi aman. Metode ini memerlukan menghubungi pengguna yang terpengaruh karena mereka perlu mengetahui apa kata sandi sementara tersebut. Karena kata sandi bersifat sementara, pengguna diminta untuk mengubah kata sandi menjadi sesuatu yang baru saat proses masuk berikutnya.

  • Mereka dapat menghasilkan kata sandi untuk pengguna cloud dan hibrid di pusat admin Microsoft Entra.

  • Mereka dapat menghasilkan kata sandi untuk pengguna hibrid dari direktori lokal ketika sinkronisasi hash kata sandi dan pengaturan Izinkan perubahan kata sandi lokal untuk mengatur ulang risiko pengguna diaktifkan.

    Peringatan

    Jangan pilih opsi Pengguna harus mengubah kata sandi saat masuk berikutnya. Ini tidak didukung.

• Mewajibkan pengguna mengatur ulang kata sandi - Mewajibkan pengguna mengatur ulang kata sandi memungkinkan pemulihan mandiri tanpa menghubungi staf dukungan atau admin.

  • Pengguna cloud dan hibrid dapat menyelesaikan perubahan kata sandi yang aman. Metode ini hanya berlaku untuk pengguna yang sudah dapat melakukan MFA. Untuk pengguna yang belum mendaftar, opsi ini tidak tersedia.
  • Pengguna hibrid dapat menyelesaikan perubahan kata sandi dengan menekan Ctrl+Alt+Del dan mengubah kata sandi mereka dari perangkat Windows lokal atau gabungan hibrid, ketika sinkronisasi hash kata sandi dan pengaturan Izinkan perubahan kata sandi lokal untuk mengatur ulang risiko pengguna diaktifkan.

Izinkan pengaturan ulang kata sandi lokal untuk memulihkan risiko pengguna (Pratinjau)

Organisasi yang telah mengaktifkan sinkronisasi hash kata sandi dapat mengizinkan perubahan kata sandi lokal untuk memulihkan risiko pengguna.

Konfigurasi ini menyediakan dua kemampuan baru kepada organisasi:

• Pengguna hibrid berisiko dapat memulihkan diri tanpa intervensi administrator. Ketika kata sandi diubah secara lokal, risiko pengguna sekarang secara otomatis diperbaiki dalam Microsoft Entra ID Protection, mengatur ulang status risiko pengguna saat ini.
• Organisasi dapat secara proaktif menyebarkan kebijakan risiko pengguna yang memerlukan perubahan kata sandi untuk melindungi pengguna hibrid mereka dengan percaya diri. Opsi ini memperkuat postur keamanan organisasi Anda dan menyederhanakan manajemen keamanan dengan memastikan bahwa risiko pengguna segera ditangani, bahkan di lingkungan hibrid yang kompleks.

Untuk mengonfigurasi pengaturan ini

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Operator Keamanan.
2. Telusuri Perlindungan>> Identitas Pengaturan.
3. Centang kotak untuk Mengizinkan perubahan kata sandi lokal untuk mengatur ulang risiko pengguna.
4. Pilih Simpan.

Catatan

Mengizinkan perubahan kata sandi lokal untuk mengatur ulang risiko pengguna adalah fitur keikutsertaan saja. Pelanggan harus mengevaluasi fitur ini sebelum mengaktifkan di lingkungan produksi. Sebaiknya pelanggan mengamankan perubahan kata sandi lokal atau alur reset. Misalnya, memerlukan autentikasi multifaktor sebelum memungkinkan pengguna mengubah kata sandi mereka secara lokal menggunakan alat seperti Portal Pengaturan Ulang Kata Sandi Mandiri Microsoft Identity Manager.

Menghilangkah risiko pengguna

Jika setelah penyelidikan dan mengonfirmasi bahwa akun pengguna tidak berisiko disusupi, maka Anda dapat memilih untuk menutup pengguna berisiko.

Untuk Menutup risiko pengguna sebagai setidaknya Operator Keamanan di pusat admin Microsoft Entra, telusuri pengguna Riskan Perlindungan Identitas>Perlindungan>Identitas, pilih pengguna yang terpengaruh, dan pilih Tutup risiko pengguna.

Ketika Anda memilih Tutup risiko pengguna, pengguna tidak lagi berisiko, dan semua rincian masuk berisiko pengguna ini dan deteksi risiko yang sesuai juga diberhentikan.

Karena metode ini tidak memengaruhi kata sandi pengguna yang ada, metode ini tidak membawa identitas mereka kembali ke status aman.

Status risiko dan detail berdasarkan pemecatan risiko

• Pengguna berisiko:
  • Status risiko: "Berisiko" -> "Diberhentikan"
  • Detail risiko (detail remediasi risiko): "-" -> "Admin menutup semua risiko untuk pengguna"
• Semua proses masuk berisiko pengguna ini dan deteksi risiko yang sesuai:
  • Status risiko: "Berisiko" -> "Diberhentikan"
  • Detail risiko (detail remediasi risiko): "-" -> "Admin menutup semua risiko untuk pengguna"

Mengonfirmasi pengguna yang akan disusupi

Jika setelah diselidiki, akun dikonfirmasi disusupi:

1. Pilih kejadian atau pengguna dalam laporan Proses masuk riskan atau Pengguna berisiko dan pilih "Konfirmasi disusupi".
2. Jika kebijakan berbasis risiko tidak dipicu, dan risikonya tidak diperbaiki sendiri, lakukan satu atau beberapa hal berikut:
   1. Minta pengaturan ulang kata sandi.
   2. Blokir pengguna jika Anda mencurigai penyerang dapat mengatur ulang kata sandi atau melakukan autentikasi multifaktor untuk pengguna.
   3. Cabut token refresh.
   4. Nonaktifkan perangkat apa pun yang dianggap disusupi.
   5. Jika menggunakan evaluasi akses berkelanjutan, cabut semua token akses.

Untuk informasi lebih lanjut tentang apa yang terjadi ketika mengkonfirmasi penyusupan, lihat bagian Bagaimana cara memberikan umpan balik risiko dan apa yang terjadi di latar belakang?.

Pengguna yang dihapus

Administrator tidak mungkin mengabaikan risiko bagi pengguna yang telah dihapus dari direktori. Untuk menghapus pengguna yang dihapus, buka kasus dukungan Microsoft.

Membuka blokir pengguna

Administrator dapat memilih untuk memblokir proses masuk berdasarkan kebijakan risiko atau investigasi mereka. Blokir dapat terjadi berdasarkan risiko masuk atau pengguna.

Membuka blokir berdasarkan risiko pengguna

Untuk membuka blokir akun yang diblokir karena risiko pengguna, administrator memiliki opsi berikut:

1. Mengatur ulang kata sandi - Anda dapat mengatur ulang kata sandi pengguna. Jika pengguna telah disusupi atau berisiko disusupi, kata sandi pengguna harus diatur ulang untuk melindungi akun mereka dan organisasi Anda.
2. Mengabaikan risiko pengguna - Kebijakan risiko pengguna memblokir pengguna jika tingkat risiko pengguna yang dikonfigurasi untuk memblokir akses telah tercapai. Jika setelah penyelidikan, Anda yakin bahwa pengguna tidak berisiko disusupi, dan aman untuk mengizinkan akses mereka, maka Anda dapat mengurangi tingkat risiko pengguna dengan menutup risiko pengguna mereka.
3. Kecualikan pengguna dari kebijakan - Jika Anda berpikir bahwa konfigurasi kebijakan masuk Anda saat ini menyebabkan masalah bagi pengguna tertentu, dan aman untuk memberikan akses ke pengguna ini tanpa menerapkan kebijakan ini kepada mereka, maka Anda dapat mengecualikannya dari kebijakan ini. Untuk informasi selengkapnya, lihat bagian Pengecualian dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
4. Menonaktifkan kebijakan - Jika menurut Anda konfigurasi kebijakan Anda menyebabkan masalah bagi semua pengguna, Anda dapat menonaktifkan kebijakan tersebut. Untuk informasi selengkapnya, lihat artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.

Membuka blokir berdasarkan risiko proses masuk

Untuk membuka blokir akun berdasarkan risiko proses masuk, admin memiliki opsi berikut:

1. Masuk dari lokasi atau perangkat yang dikenal - Alasan umum pemblokiran upaya masuk yang mencurigakan adalah upaya masuk dari lokasi atau perangkat yang tidak dikenal. Pengguna Anda dapat dengan cepat menentukan apakah alasan ini adalah alasan pemblokiran dengan mencoba masuk dari lokasi atau perangkat yang sudah dikenal.
2. Mengecualikan pengguna dari kebijakan - Jika menurut Anda konfigurasi kebijakan proses masuk Anda saat ini menyebabkan masalah bagi pengguna tertentu, Anda dapat mengecualikan pengguna dari kebijakan tersebut. Untuk informasi selengkapnya, lihat bagian Pengecualian dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
3. Menonaktifkan kebijakan - Jika menurut Anda konfigurasi kebijakan Anda menyebabkan masalah bagi semua pengguna, Anda dapat menonaktifkan kebijakan tersebut. Untuk informasi selengkapnya, lihat artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.

Pratinjau PowerShell

Dengan menggunakan modul Pratinjau Microsoft Graph PowerShell SDK, organisasi dapat mengelola risiko menggunakan PowerShell. Modul pratinjau dan kode sampel dapat ditemukan di repositori Microsoft Entra GitHub.

Invoke-AzureADIPDismissRiskyUser.ps1 Skrip yang disertakan dalam repositori memungkinkan organisasi untuk menutup semua pengguna berisiko di direktori mereka.

Langkah berikutnya

Mensimulasikan risiko pengguna yang tinggi