Analizzare i rischi con protezione ID in Microsoft Entra per ID esterno
Si applica a: 
Tenant della forza lavoro 
Tenant esterni (altre informazioni)
Microsoft Entra ID Protection offre un rilevamento continuo dei rischi per il tenant esterno. Consente alle organizzazioni di individuare, analizzare e correggere i rischi basati sulle identità. Protezione ID include report sui rischi che possono essere usati per analizzare i rischi di identità nei tenant esterni. Questo articolo spiega come analizzare e mitigare i rischi.
Creazione di report di Protezione ID
Protezione ID fornisce due report. Il report Utenti a rischio è il documento in cui gli amministratori possono individuare gli utenti a rischio e ottenere dettagli sui rilevamenti. Il report Rilevamenti dei rischi fornisce informazioni su ogni rilevamento dei rischi. Questo report include il tipo di rischio, gli altri rischi che si sono attivati contemporaneamente, la posizione in cui si è verificato il tentativo di accesso e altro ancora.
Ogni report viene avviato con un elenco di tutti i rilevamenti relativi al periodo indicato nella parte superiore del report. I report possono essere filtrati usando i filtri disponibili nella parte superiore del report. Gli amministratori possono scegliere di scaricare i dati o usare l'API di Microsoft Graph e l’SDK di Microsoft Graph PowerShell per esportare i dati in modo continuo.
Limitazioni e considerazioni sul servizio
Quando si usa protezione ID, tenere presenti i punti seguenti:
- Protezione ID non è disponibile nei tenant di valutazione.
- Protezione ID è attivata per impostazione predefinita.
- Protezione ID è disponibile sia per le identità locali che per le identità di social networking, ad esempio Google o Facebook. Il rilevamento è limitato perché il provider di identità esterno gestisce le credenziali degli account dei social network.
- Attualmente nei tenant esterni di Microsoft Entra è disponibile un subset dei rilevamenti dei rischi di Protezione dell’identità di Microsoft Entra ID. Microsoft Entra per ID esterno supporta i rilevamenti di rischio seguenti:
| Tipo di rilevamento dei rischi | Descrizione |
|---|---|
| Spostamento fisico atipico | Accesso da una posizione insolita in base agli accessi recenti dell'utente. |
| Indirizzo IP anonimo | Accesso da un indirizzo IP anonimo (ad esempio Tor Browser, VPN per navigazione in anonimato). |
| Indirizzo IP collegato a malware | Accesso da un indirizzo IP collegato a malware. |
| Proprietà di accesso insolite | Accesso con proprietà non osservate di recente per l'utente specificato. |
| L'amministratore ha confermato che l'utente è compromesso | Un amministratore ha indicato che un utente è stato compromesso. |
| Password spraying | Accesso tramite un attacco password spraying. |
| Intelligence sulle minacce per Microsoft Entra | Le origini di intelligence Microsoft per le minacce interne ed esterne hanno identificato uno schema di attacco noto. |
Esaminare gli utenti a rischio
Le informazioni contenute nel report Utenti a rischio permettono agli amministratori di trovare:
- Lo stato del rischio, che indica quali utenti sono a rischio, sono stati esposti a un rischio corretto o il cui rischio è stato ignorato
- Dettagli sui rilevamenti
- Cronologia di tutti gli accessi a rischio
- Cronologia rischio
Gli amministratori possono quindi scegliere di intervenire su questi eventi. Gli amministratori possono scegliere di:
- Reimpostare la password dell'utente
- Confermare la compromissione dell'utente
- Ignorare il rischio utente
- Impedire all'utente di accedere
- Eseguire ulteriori analisi usando Azure ATP
Un amministratore può scegliere di ignorare il rischio di un utente nell'Interfaccia di amministrazione di Microsoft Entra o a livello di codice tramite l'API Ignora rischio utente di Microsoft Graph. Sono necessari privilegi di amministratore per ignorare il rischio di un utente. L'utente a rischio o un amministratore che lavora per conto dell'utente può correggere il rischio, ad esempio reimpostando la password.
Esplorazione del report degli utenti a rischio
Accedi all'Interfaccia di amministrazione di Microsoft Entra.
Assicurarsi di usare la directory che contiene il tenant esterno di Microsoft Entra: selezionare l'icona Impostazioni
sulla barra degli strumenti e trovare il tenant esterno nel menu Directory e sottoscrizioni. Se non è la directory corrente, selezionare Cambia.Andare a Protezione>Protezione dell'identità.
In Reportselezionare Utenti a rischio.
La selezione di singole voci espande una finestra dei dettagli sotto i rilevamenti. La visualizzazione dei dettagli consente agli amministratori di analizzare ed eseguire azioni su ogni rilevamento.
Report dei rilevamenti dei rischi
Il report Rilevamenti dei rischi contiene dati filtrabili riferiti agli ultimi 90 giorni (3 mesi).
Con le informazioni contenute nel report rilevamenti di rischi gli amministratori possono trovare:
- Informazioni su ogni rilevamento di rischi, incluso il tipo.
- Altri rischi attivati contemporaneamente.
- Posizione del tentativo di accesso.
Gli amministratori possono quindi scegliere di tornare al report utenti a rischio o accessi a rischio per eseguire azioni in base alle informazioni raccolte.
Esplorazione del report dei rilevamenti dei rischi
Accedi all'Interfaccia di amministrazione di Microsoft Entra.
Andare a Protezione>Protezione dell'identità.
In Reportselezionare Rilevamenti dei rischi.