Tanya jawab umum sekeliling Microsoft Entra ID Protection

Artikel ini menyertakan jawaban atas tanya jawab umum tentang Microsoft Entra ID Protection. Bagian FAQ meliputi: deteksi, kredensial bocor, remediasi, lisensi, dan pengguna B2B.

Untuk informasi selengkapnya, lihat Gambaran umum Perlindungan ID Microsoft Entra.

Detections

Bagaimana cara mensimulasikan risiko untuk memahami mengapa pengguna ditandai?

Kami memiliki panduan tentang cara mensimulasikan risiko. Panduan ini menyediakan beberapa opsi untuk mensimulasikan berbagai jenis risiko. Anda juga dapat menggunakan alat WhatIf Akses Bersyarkat untuk melihat bagaimana kebijakan spesifik diterapkan. We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need.

Saya baru saja menerima pemberitahuan berisiko tinggi tetapi tidak muncul di buku kerja "Analisis dampak kebijakan berbasis risiko". Why?

Jika pengguna diberi risiko tinggi, tetapi belum masuk, Anda tidak akan melihatnya dalam laporan ini. Laporan hanya menggunakan log masuk untuk mengisi data ini.

Bagaimana jika kredensial yang salah digunakan untuk mencoba masuk?

Perlindungan ID menghasilkan deteksi risiko hanya ketika kredensial yang benar digunakan. Jika kredensial yang salah digunakan pada proses masuk, kredensial tersebut tidak mewakili risiko penyusupan kredensial.

Apakah sinkronisasi hash kata sandi diperlukan?

Deteksi risiko seperti kredensial yang bocor memerlukan adanya hash kata sandi agar deteksi terjadi. Untuk informasi selengkapnya tentang sinkronisasi hash kata sandi, lihat Menerapkan sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.

Mengapa deteksi risiko dihasilkan untuk akun yang dinonaktifkan?

Pertama, penting untuk mengetahui bahwa akun pengguna dalam status dinonaktifkan dapat diaktifkan kembali. Jika kredensial akun yang dinonaktifkan disusupi, dan akun diaktifkan kembali, pelaku kejahatan mungkin menggunakan kredensial ini untuk mendapatkan akses. Perlindungan ID menghasilkan deteksi risiko untuk aktivitas mencurigakan terhadap akun yang dinonaktifkan ini untuk memperingatkan pelanggan tentang potensi penyusupan akun.

Jika akun tidak lagi digunakan dan tidak akan dapat diaktifkan kembali, pelanggan harus mempertimbangkan untuk menghapusnya untuk mencegah kompromi. Tidak ada deteksi risiko yang dibuat untuk akun yang dihapus.

Saya mencoba mengurutkan laporan Deteksi risiko menggunakan kolom "Waktu deteksi", tetapi tidak berfungsi.

Sorting by Detection time in the Risk detections report might not always give the correct result because of a known technical constraint. To sort by Detection time, open the report in the Microsoft Entra admin center and select Download to export the data as a CSV file and sort accordingly.

Di mana Microsoft menemukan kredensial yang bocor? Seberapa sering mereka diproses?

Microsoft menemukan kredensial yang bocor di berbagai tempat, termasuk:

• Situs tempel publik tempat pelaku jahat biasanya memposting materi tersebut.
• Lembaga penegak hukum.
• Grup lain di Microsoft melakukan penelitian web gelap.

Kredensial yang bocor diproses segera setelah ditemukan, biasanya dalam beberapa batch per hari.

Mengapa saya tidak melihat kredensial yang bocor?

Kredensial yang bocor diproses kapan saja ketika Microsoft menemukan batch baru yang tersedia untuk umum. Karena sifatnya sensitif, maka kredensial yang bocor dihapus tak lama setelah diproses. Only new leaked credentials found after you enable password hash synchronization (PHS) are processed against your tenant. Proses verifikasi terhadap pasangan kredensial yang sebelumnya ditemukan tidak dilakukan.

Untuk melihat bagaimana kredensial yang bocor dapat muncul di Perlindungan ID untuk penyewa Anda, coba simulasikan kredensial bocor di GitHub untuk Identitas Beban Kerja. Untuk informasi selengkapnya, lihat Mensimulasikan deteksi risiko di Microsoft Entra ID Protection.

Jika Anda tidak melihat peristiwa risiko kredensial yang bocor, itu karena alasan berikut:

• Anda tidak mengaktifkan sinkronisasi hash kata sandi untuk penyewa Anda.
• Microsoft tidak menemukan pasangan kredensial bocor yang cocok dengan pengguna Anda.

Remediation

Kapan Perlindungan ID meremediasi risiko masuk otomatis tanpa kebijakan berbasis risiko di tempat?

Perlindungan ID mengotomatiskan risiko masuk ketika pengguna segera memberikan faktor kedua, seperti autentikasi multifaktor (MFA) setelah proses masuk berisiko mereka. Menyediakan faktor kedua ini menyusun autentikasi yang kuat.

ID Protection juga mengoperasikan dua model untuk penilaian risiko saat masuk. Yang pertama adalah model real-time yang menggunakan informasi terbatas untuk membuat penentuan cepat selama masuk. Kedua adalah model offline yang menggunakan data masuk lainnya setelah proses masuk selesai. Model offline dapat menutup risiko ketika menilai kembali skor risiko sebagai aman. Penilaian ini berlaku untuk deteksi real time dan offline dari tingkat risiko apa pun.

Kapan Perlindungan ID meremediasi risiko pengguna secara otomatis tanpa kebijakan berbasis risiko di tempat?

Perlindungan ID otomatis mengatasi pengguna dengan risiko pengguna rendah setelah enam bulan tanpa peningkatan risiko pengguna. Pengguna berisiko dengan risiko sedang atau tinggi tidak diselesaikan secara otomatis tanpa kebijakan risiko atau pemecatan admin.

Bagaimana jika saya tidak menggunakan Microsoft Entra untuk autentikasi multifaktor?

Jika Anda tidak menggunakan autentikasi multifaktor Microsoft Entra, Anda mungkin masih melihat risiko masuk diperbaiki di lingkungan Anda jika Anda menggunakan penyedia MFA non-Microsoft. Metode autentikasi eksternal memungkinkan untuk memulihkan risiko saat menggunakan penyedia MFA non-Microsoft.

Apa kontrol Akses Bersyar terbaik untuk akun yang tanpa kata sandi?

Lihat panduan kami tentang menyebarkan autentikasi tanpa kata sandi yang tahan pengelabuan: Mulai menggunakan penyebaran autentikasi tanpa kata sandi tahan phishing

Haruskah kita menambahkan "Terapkan frekuensi masuk - Setiap saat" ke kebijakan Akses Bersyarat kita untuk risiko tinggi?

Pengaturan ini tergantung pada toleransi risiko organisasi Anda. Beberapa organisasi mungkin memilih untuk memblokir risiko tinggi. Memberlakukan masuk setiap kali dapat menyebabkan kelelahan masuk atau MFA, yang dapat meningkatkan kemungkinan serangan phishing.

We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need. Anda juga dapat memeriksa analisis Dampak buku kerja kebijakan berbasis risiko di Perlindungan ID.

Bagaimana jika saya berada di lingkungan hibrid?

Risiko pengguna dapat diperbaiki sendiri menggunakan perubahan kata sandi yang aman jika pengaturan ulang kata sandi mandiri diaktifkan dengan tulis balik kata sandi. Jika hanya sinkronisasi hash kata sandi yang diaktifkan, pertimbangkan untuk mengaktifkan izin pengaturan ulang kata sandi di tempat untuk mengurangi risiko pengguna.

Untuk informasi selengkapnya, lihat Cara memulihkan risiko dan membuka blokir pengguna.

Jika saya menyebarkan kebijakan risiko, apakah sistem akan meremediasi pengguna secara otomatis secara berbeda atau apakah saya perlu mengulangi remediasi sebelumnya?

Sistem bergantung pada kontrol pemberian yang ditentukan dalam kebijakan Akses Bersyar untuk semua remediasi. Pendekatan berbasis kebijakan ini memberi Anda lebih banyak kontrol atas akses ke sumber daya. Jika kebijakan risiko pengguna memerlukan blokir, Akses Bersyarat memberlakukannya. Jika kebijakan risiko masuk memerlukan MFA, Akses Bersyarat memberlakukan tantangan MFA baru (ketika tidak ada klaim MFA pada token yang ada). Jadi, jika Alice selalu melakukan proses masuk riskannya secara otomatis berkat kebijakan MFA lain, tidak ada perubahan dalam pengalaman penggunanya ketika Anda menyebarkan kebijakan risiko yang memerlukan MFA.

Licensing

Lisensi apa yang saya perlukan untuk menggunakan Microsoft Entra ID Protection?

Ada beberapa kemampuan dalam Microsoft Entra ID Protection yang memerlukan lisensi yang berbeda. Misalnya, Anda bisa mendapatkan informasi terbatas dalam laporan proses masuk berisiko dengan lisensi Microsoft Entra ID Free, tetapi Anda mendapatkan akses penuh ke laporan ini dengan lisensi Microsoft Entra ID P2 atau Microsoft Entra Suite. Untuk informasi selengkapnya, lihat Persyaratan lisensi Microsoft Entra ID Protection.

Microsoft Entra ID Protection juga menggunakan sinyal dari produk Pertahanan Microsoft yang dilisensikan secara terpisah. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra ID Protection?.

B2B users

Mengapa saya tidak dapat memulihkan pengguna kolaborasi B2B berisiko di direktori saya?

Evaluasi risiko dan remediasi untuk pengguna B2B terjadi di direktori beranda mereka, sehingga pengguna tamu tidak muncul dalam laporan pengguna berisiko di direktori sumber daya. Admin di direktori sumber daya tidak dapat memaksa pengaturan ulang kata sandi aman untuk pengguna ini.

Apa yang harus saya lakukan jika pengguna kolaborasi B2B diblokir karena kebijakan berbasis risiko di organisasi saya?

Jika pengguna B2B berisiko di direktori Anda diblokir oleh kebijakan berbasis risiko Anda, pengguna perlu memulihkan risiko tersebut di direktori asal mereka. Pengguna dapat memulihkan risiko mereka dengan melakukan reset kata sandi yang aman di direktori beranda mereka. Jika mereka tidak mengaktifkan pengaturan ulang kata sandi layanan mandiri di direktori beranda mereka, mereka perlu menghubungi Staf IT organisasi mereka sendiri untuk meminta administrator menutup risiko mereka secara manual atau mengatur ulang kata sandi mereka. Untuk informasi selengkapnya, lihat Memulihkan risiko pengguna.

Bagaimana cara mencegah kebijakan berbasis risiko memengaruhi pengguna kolaborasi B2B?

Tidak termasuk pengguna B2B dari kebijakan Akses Bersyarkat berbasis risiko organisasi Anda mencegah pengguna B2B terpengaruh oleh evaluasi risiko. Untuk mengecualikan pengguna B2B ini, buat grup di ID Microsoft Entra yang berisi semua pengguna tamu organisasi Anda. Kemudian, tambahkan grup ini sebagai pengecualian untuk risiko pengguna Perlindungan ID bawaan dan kebijakan risiko masuk Anda, dan kebijakan Akses Bersyarat apa pun yang menggunakan risiko masuk sebagai kondisi.

Artikel ini menyertakan jawaban atas tanya jawab umum tentang Microsoft Entra ID Protection. Bagian FAQ meliputi: deteksi, kredensial bocor, remediasi, lisensi, dan pengguna B2B.

Untuk informasi selengkapnya, lihat Gambaran umum Perlindungan ID Microsoft Entra.

Kami memiliki panduan tentang cara mensimulasikan risiko. Panduan ini menyediakan beberapa opsi untuk mensimulasikan berbagai jenis risiko. Anda juga dapat menggunakan alat WhatIf Akses Bersyarkat untuk melihat bagaimana kebijakan spesifik diterapkan. We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need.

Jika pengguna diberi risiko tinggi, tetapi belum masuk, Anda tidak akan melihatnya dalam laporan ini. Laporan hanya menggunakan log masuk untuk mengisi data ini.

Perlindungan ID menghasilkan deteksi risiko hanya ketika kredensial yang benar digunakan. Jika kredensial yang salah digunakan pada proses masuk, kredensial tersebut tidak mewakili risiko penyusupan kredensial.

Deteksi risiko seperti kredensial yang bocor memerlukan adanya hash kata sandi agar deteksi terjadi. Untuk informasi selengkapnya tentang sinkronisasi hash kata sandi, lihat Menerapkan sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.

Pertama, penting untuk mengetahui bahwa akun pengguna dalam status dinonaktifkan dapat diaktifkan kembali. Jika kredensial akun yang dinonaktifkan disusupi, dan akun diaktifkan kembali, pelaku kejahatan mungkin menggunakan kredensial ini untuk mendapatkan akses. Perlindungan ID menghasilkan deteksi risiko untuk aktivitas mencurigakan terhadap akun yang dinonaktifkan ini untuk memperingatkan pelanggan tentang potensi penyusupan akun.

Jika akun tidak lagi digunakan dan tidak akan dapat diaktifkan kembali, pelanggan harus mempertimbangkan untuk menghapusnya untuk mencegah kompromi. Tidak ada deteksi risiko yang dibuat untuk akun yang dihapus.

Sorting by Detection time in the Risk detections report might not always give the correct result because of a known technical constraint. To sort by Detection time, open the report in the Microsoft Entra admin center and select Download to export the data as a CSV file and sort accordingly.

Microsoft menemukan kredensial yang bocor di berbagai tempat, termasuk:

• Situs tempel publik tempat pelaku jahat biasanya memposting materi tersebut.
• Lembaga penegak hukum.
• Grup lain di Microsoft melakukan penelitian web gelap.

Kredensial yang bocor diproses segera setelah ditemukan, biasanya dalam beberapa batch per hari.

Kredensial yang bocor diproses kapan saja ketika Microsoft menemukan batch baru yang tersedia untuk umum. Karena sifatnya sensitif, maka kredensial yang bocor dihapus tak lama setelah diproses. Only new leaked credentials found after you enable password hash synchronization (PHS) are processed against your tenant. Proses verifikasi terhadap pasangan kredensial yang sebelumnya ditemukan tidak dilakukan.

Untuk melihat bagaimana kredensial yang bocor dapat muncul di Perlindungan ID untuk penyewa Anda, coba simulasikan kredensial bocor di GitHub untuk Identitas Beban Kerja. Untuk informasi selengkapnya, lihat Mensimulasikan deteksi risiko di Microsoft Entra ID Protection.

Jika Anda tidak melihat peristiwa risiko kredensial yang bocor, itu karena alasan berikut:

• Anda tidak mengaktifkan sinkronisasi hash kata sandi untuk penyewa Anda.
• Microsoft tidak menemukan pasangan kredensial bocor yang cocok dengan pengguna Anda.

Perlindungan ID mengotomatiskan risiko masuk ketika pengguna segera memberikan faktor kedua, seperti autentikasi multifaktor (MFA) setelah proses masuk berisiko mereka. Menyediakan faktor kedua ini menyusun autentikasi yang kuat.

ID Protection juga mengoperasikan dua model untuk penilaian risiko saat masuk. Yang pertama adalah model real-time yang menggunakan informasi terbatas untuk membuat penentuan cepat selama masuk. Kedua adalah model offline yang menggunakan data masuk lainnya setelah proses masuk selesai. Model offline dapat menutup risiko ketika menilai kembali skor risiko sebagai aman. Penilaian ini berlaku untuk deteksi real time dan offline dari tingkat risiko apa pun.

Perlindungan ID otomatis mengatasi pengguna dengan risiko pengguna rendah setelah enam bulan tanpa peningkatan risiko pengguna. Pengguna berisiko dengan risiko sedang atau tinggi tidak diselesaikan secara otomatis tanpa kebijakan risiko atau pemecatan admin.

Jika Anda tidak menggunakan autentikasi multifaktor Microsoft Entra, Anda mungkin masih melihat risiko masuk diperbaiki di lingkungan Anda jika Anda menggunakan penyedia MFA non-Microsoft. Metode autentikasi eksternal memungkinkan untuk memulihkan risiko saat menggunakan penyedia MFA non-Microsoft.

Lihat panduan kami tentang menyebarkan autentikasi tanpa kata sandi yang tahan pengelabuan: Mulai menggunakan penyebaran autentikasi tanpa kata sandi tahan phishing

Pengaturan ini tergantung pada toleransi risiko organisasi Anda. Beberapa organisasi mungkin memilih untuk memblokir risiko tinggi. Memberlakukan masuk setiap kali dapat menyebabkan kelelahan masuk atau MFA, yang dapat meningkatkan kemungkinan serangan phishing.

We also recommend turning on Conditional Access policies in Report-Only mode to understand how policies work in the tenant without affecting your users' ability to access the resources they need. Anda juga dapat memeriksa analisis Dampak buku kerja kebijakan berbasis risiko di Perlindungan ID.

Risiko pengguna dapat diperbaiki sendiri menggunakan perubahan kata sandi yang aman jika pengaturan ulang kata sandi mandiri diaktifkan dengan tulis balik kata sandi. Jika hanya sinkronisasi hash kata sandi yang diaktifkan, pertimbangkan untuk mengaktifkan izin pengaturan ulang kata sandi di tempat untuk mengurangi risiko pengguna.

Untuk informasi selengkapnya, lihat Cara memulihkan risiko dan membuka blokir pengguna.

Sistem bergantung pada kontrol pemberian yang ditentukan dalam kebijakan Akses Bersyar untuk semua remediasi. Pendekatan berbasis kebijakan ini memberi Anda lebih banyak kontrol atas akses ke sumber daya. Jika kebijakan risiko pengguna memerlukan blokir, Akses Bersyarat memberlakukannya. Jika kebijakan risiko masuk memerlukan MFA, Akses Bersyarat memberlakukan tantangan MFA baru (ketika tidak ada klaim MFA pada token yang ada). Jadi, jika Alice selalu melakukan proses masuk riskannya secara otomatis berkat kebijakan MFA lain, tidak ada perubahan dalam pengalaman penggunanya ketika Anda menyebarkan kebijakan risiko yang memerlukan MFA.

Ada beberapa kemampuan dalam Microsoft Entra ID Protection yang memerlukan lisensi yang berbeda. Misalnya, Anda bisa mendapatkan informasi terbatas dalam laporan proses masuk berisiko dengan lisensi Microsoft Entra ID Free, tetapi Anda mendapatkan akses penuh ke laporan ini dengan lisensi Microsoft Entra ID P2 atau Microsoft Entra Suite. Untuk informasi selengkapnya, lihat Persyaratan lisensi Microsoft Entra ID Protection.

Microsoft Entra ID Protection juga menggunakan sinyal dari produk Pertahanan Microsoft yang dilisensikan secara terpisah. Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra ID Protection?.

Evaluasi risiko dan remediasi untuk pengguna B2B terjadi di direktori beranda mereka, sehingga pengguna tamu tidak muncul dalam laporan pengguna berisiko di direktori sumber daya. Admin di direktori sumber daya tidak dapat memaksa pengaturan ulang kata sandi aman untuk pengguna ini.

Jika pengguna B2B berisiko di direktori Anda diblokir oleh kebijakan berbasis risiko Anda, pengguna perlu memulihkan risiko tersebut di direktori asal mereka. Pengguna dapat memulihkan risiko mereka dengan melakukan reset kata sandi yang aman di direktori beranda mereka. Jika mereka tidak mengaktifkan pengaturan ulang kata sandi layanan mandiri di direktori beranda mereka, mereka perlu menghubungi Staf IT organisasi mereka sendiri untuk meminta administrator menutup risiko mereka secara manual atau mengatur ulang kata sandi mereka. Untuk informasi selengkapnya, lihat Memulihkan risiko pengguna.

Tidak termasuk pengguna B2B dari kebijakan Akses Bersyarkat berbasis risiko organisasi Anda mencegah pengguna B2B terpengaruh oleh evaluasi risiko. Untuk mengecualikan pengguna B2B ini, buat grup di ID Microsoft Entra yang berisi semua pengguna tamu organisasi Anda. Kemudian, tambahkan grup ini sebagai pengecualian untuk risiko pengguna Perlindungan ID bawaan dan kebijakan risiko masuk Anda, dan kebijakan Akses Bersyarat apa pun yang menggunakan risiko masuk sebagai kondisi.