Correggere i rischi e sbloccare gli utenti

Dopo aver completato l'indagine sui rischi, è necessario intervenire per correggere gli utenti rischiosi o sbloccarli. È possibile configurare criteri basati sul rischio per abilitare la correzione automatica o aggiornare manualmente lo stato di rischio dell'utente. Microsoft consiglia di agire rapidamente perché il tempo è importante quando si lavora con i rischi.

Questo articolo offre diverse opzioni per la correzione automatica e manuale dei rischi e illustra gli scenari in cui gli utenti sono stati bloccati a causa del rischio utente, in modo da sapere come sbloccarli.

Prerequisiti

• La licenza Microsoft Entra ID P2 o Microsoft Entra Suite è necessaria per l'accesso completo alle funzionalità di Microsoft Entra ID Protection.
  • Per un elenco dettagliato delle funzionalità per ogni livello di licenza, vedere Che cos'è Microsoft Entra ID Protection.
• Il ruolo Amministratore utenti è il ruolo con privilegi minimi necessario per reimpostare le password.
• Il ruolo Operatore di sicurezza è il ruolo con privilegi minimi necessario per ignorare il rischio utente.
• Il ruolo Amministratore della sicurezza è il ruolo con privilegi minimi necessario per creare o modificare criteri basati sui rischi.
• Il ruolo Amministratore accesso condizionale è il ruolo con privilegi minimi necessario per creare o modificare i criteri di accesso condizionale.

Funzionamento della correzione dei rischi

Tutti i rilevamenti di rischi attivi contribuiscono al calcolo del livello di rischio dell'utente, che indica la probabilità che l'account dell'utente sia compromesso. A seconda del livello di rischio e della configurazione del tenant, potrebbe essere necessario analizzare e risolvere il rischio. È possibile consentire agli utenti di correggere automaticamente i rischi di accesso e utente configurando criteri basati sul rischio. Se gli utenti passano il controllo di accesso necessario, ad esempio l'autenticazione a più fattori o la modifica della password sicura, i rischi vengono corretti automaticamente.

Se un criterio basato sul rischio viene applicato durante l'accesso in cui i criteri non vengono soddisfatti, l'utente viene bloccato. Questo blocco si verifica perché l'utente non può eseguire il passaggio richiesto, quindi è necessario l'intervento dell'amministratore per sbloccare l'utente.

I criteri basati sui rischi vengono configurati in base ai livelli di rischio e si applicano solo se il livello di rischio dell'accesso o dell'utente corrisponde al livello configurato. Alcuni rilevamenti potrebbero non aumentare il rischio al livello in cui si applicano i criteri, quindi gli amministratori devono gestire manualmente tali situazioni. Gli amministratori possono determinare che sono necessarie misure aggiuntive, ad esempio bloccare l'accesso da posizioni o ridurre il rischio accettabile nei propri criteri.

Correzione automatica dell'utente finale

Quando sono configurati criteri di accesso condizionale basati sul rischio, la correzione del rischio utente e il rischio di accesso possono essere un processo self-service per gli utenti. Questa correzione automatica consente agli utenti di risolvere i propri rischi senza dover contattare l'help desk o un amministratore. Gli amministratori IT potrebbero non dover intervenire per correggere i rischi, ma è necessario sapere come configurare i criteri che consentono la correzione automatica e cosa aspettarsi nei report correlati. Per altre informazioni, vedere:

• Configurare e abilitare i criteri di rischio
• Esperienza di correzione automatica con Microsoft Entra ID Protection e accesso condizionale
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Implementare la sincronizzazione dell'hash delle password

Correzione automatica del rischio di accesso

Se il rischio di accesso di un utente raggiunge il livello impostato dai criteri basati sui rischi, all'utente viene richiesto di eseguire l'autenticazione a più fattori (MFA) per correggere il rischio di accesso. Se hanno completato correttamente la richiesta di autenticazione a più fattori, il rischio di accesso viene risolto. I dettagli dello stato di rischio e del rischio per l'utente, gli accessi e i rilevamenti di rischio corrispondenti vengono aggiornati come segue:

• Stato di rischio: "A rischio" -> "Rimediato"
• Dettagli del rischio: "-" -> "L'utente ha superato l'autenticazione a più fattori"

I rischi di accesso che non sono corretti influiscono sul rischio utente, quindi la presenza di criteri basati sul rischio consente agli utenti di correggere autonomamente il rischio di accesso, in modo che il rischio utente non sia interessato.

Correzione automatica del rischio utente

Se viene richiesto a un utente di usare la reimpostazione della password self-service (SSPR) per correggere il rischio utente, viene richiesto di aggiornare la password, come illustrato nell'articolo Esperienza utente di Microsoft Entra ID Protection . Dopo aver aggiornato la password, il rischio utente viene corretto. L'utente può quindi continuare ad accedere con la nuova password. I dettagli dello stato di rischio e del rischio per l'utente, gli accessi e i rilevamenti di rischio corrispondenti vengono aggiornati come segue:

• Stato di rischio: "A rischio" -> "Risolto"
• Dettagli rischio: "-" -> "L'utente ha eseguito la reimpostazione della password protetta"

Considerazioni per gli utenti cloud e ibridi

• Sia gli utenti cloud che gli utenti ibridi possono completare un cambiamento di password sicuro con SSPR solo se possono eseguire l'autenticazione a più fattori. Per gli utenti non registrati, questa opzione non è disponibile.
• Gli utenti ibridi possono completare una modifica della password da un dispositivo Windows locale o ibrido aggiunto, quando la sincronizzazione dell'hash delle password e l'impostazione Consenti modifica password locale per reimpostare il rischio utente è abilitata.

Correzione basata sul sistema

In alcuni casi, Microsoft Entra ID Protection può anche ignorare automaticamente lo stato di rischio di un utente. Sia il rilevamento dei rischi che l'accesso rischioso corrispondente sono identificati da Protezione ID come non più una minaccia per la sicurezza. Questo intervento automatico può verificarsi se l'utente fornisce un secondo fattore, ad esempio l'autenticazione a più fattori (MFA) o se la valutazione in tempo reale e offline determina che l'accesso non è più rischioso. Questa correzione automatica riduce il rumore nel monitoraggio dei rischi, in modo da poter concentrarsi sulle cose che richiedono attenzione.

• Stato di rischio: "A rischio" -> "Ignorato"
• Dettagli del rischio: "-" -> "Microsoft Entra ID Protection ha valutato l'accesso sicuro"

Correzione manuale dell'amministratore

Alcune situazioni richiedono a un amministratore IT di correggere manualmente il rischio di accesso o utente. Se non sono configurati criteri basati sui rischi, se il livello di rischio non soddisfa i criteri per la correzione automatica o se il tempo è essenziale, potrebbe essere necessario eseguire una delle azioni seguenti:

• Generare una password temporanea per l'utente.
• Richiedere all'utente di reimpostare la password.
• Ignorare il rischio dell'utente.
• Verificare che l'utente sia compromesso e intervenire per proteggere l'account.
• Sbloccare l'utente.

È anche possibile correggere in Microsoft Defender per identità.

Generare una password temporanea

Generando una password temporanea, è possibile ripristinare immediatamente un'identità in uno stato sicuro. Questo metodo richiede di contattare gli utenti interessati perché devono sapere qual è la password temporanea. Poiché la password è temporanea, all'accesso successivo all'utente verrà chiesto di modificare la password.

Per generare una password temporanea:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

   • Per generare una password temporanea dai dettagli dell'utente, è necessario il ruolo Amministratore utenti .
   • Per generare una password temporanea da Protezione ID, sono necessari sia i ruoli Operatore di sicurezza che Amministratore utenti .
   • È necessario un operatore di sicurezza per accedere alla protezione ID e un amministratore utenti per reimpostare le password.

2. Passare a Protezione>Protezione dell'identità>Utenti a rischio e selezionare l'utente interessato.

   • In alternativa, passare a Utenti>Tutti gli utenti e selezionare l'utente interessato.

3. Selezionare Reimposta password.

   

4. Esaminare il messaggio e selezionare di nuovo Reimposta password .

   

5. Fornire la password temporanea all'utente. L'utente deve modificare la password al successivo accesso.

I dettagli dello stato di rischio e del rischio per l'utente, gli accessi e i rilevamenti di rischio corrispondenti vengono aggiornati come segue:

• Stato di rischio: "A rischio" -> "Risolto"
• Dettaglio del rischio: "-" -> "Password temporanea generata dall'amministratore per l'utente"

Considerazioni per gli utenti cloud e ibridi

Prestare attenzione alle considerazioni seguenti quando si genera una password temporanea per gli utenti cloud e ibridi:

• È possibile generare password per gli utenti cloud e ibridi nell'interfaccia di amministrazione di Microsoft Entra.
• È possibile generare password per gli utenti ibridi dalla directory locale se sono presenti le impostazioni seguenti:
  • Abilitare la sincronizzazione dell'hash delle password, incluso lo script di PowerShell nella sezione Sincronizzazione delle password temporanee .
  • Abilitare l'impostazione Consenti modifica password locale per reimpostare il rischio utente in Microsoft Entra ID Protection.Enable the Allow on-premises password change to reset user risk setting in Microsoft Entra ID Protection.
  • Abilitare la reimpostazione della password self-service.
  • In Active Directory, seleziona solo l'opzione L'utente deve cambiare la password al prossimo accesso dopo aver abilitato tutte le opzioni menzionate nei punti precedenti.

Richiedere una reimpostazione della password

È possibile richiedere agli utenti rischiosi di reimpostare la password per correggere il rischio. Poiché questi utenti non vengono richiesti di modificare la password tramite criteri basati sul rischio, è necessario contattarli per reimpostare la password. La modalità di reimpostazione della password dipende dal tipo di utente:

• Utenti cloud e utenti ibridi con dispositivi aggiunti a Microsoft Entra: eseguire una modifica della password sicura dopo un accesso MFA riuscito. Gli utenti devono essere già registrati per l'autenticazione a più fattori.
• Utenti ibridi con dispositivi Windows locali o aggiunti all'ambiente ibrido: eseguire una modifica della password sicura tramite la schermata CTRL-Alt-Delete nel dispositivo Windows.
  • L'impostazione Consenti modifica della password locale per reimpostare il rischio utente deve essere abilitata.
  • Se l'impostazione l'utente deve cambiare la password al prossimo accesso è abilitata in Active Directory, all'utente verrà richiesto di cambiare la propria password la prossima volta che effettua l'accesso. Questa opzione è disponibile solo se sono disponibili le impostazioni nella sezione Considerazioni per gli utenti cloud e ibridi .

I dettagli dello stato di rischio e del rischio per l'utente, gli accessi e i rilevamenti di rischio corrispondenti vengono aggiornati come segue:

• Stato di rischio: "A rischio" -> "Risolto"
• Dettagli del rischio: "-" -> "L'utente ha eseguito la modifica della password sicura"

Ignorare il rischio

Se dopo l'indagine, si conferma che l'account utente o di accesso non è a rischio di compromissione, è possibile ignorare il rischio.

1. Effettua l'accesso al Centro amministrativo di Microsoft Entra come almeno un Operatore di sicurezza.
2. Passare a Protezione>Protezione dell'identità>Accessi a rischio o Utenti rischiosi, quindi selezionare l'attività rischiosa.
3. Selezionare Ignora accessi a rischio o Ignora rischio utente.

Poiché questo metodo non modifica la password esistente dell'utente, non riporta la propria identità in uno stato sicuro. Potrebbe comunque essere necessario contattare l'utente per informarli del rischio e consigliargli di modificare la password.

I dettagli dello stato di rischio e del rischio per l'utente, gli accessi e i rilevamenti di rischio corrispondenti vengono aggiornati come segue:

• Stato di rischio: "A rischio" -> "Ignorato"
• Dettagli rischio: "-" -> "L'amministratore ha ignorato il rischio per l'accesso" o "L'amministratore ha ignorato tutti i rischi per l'utente"

Confermare la compromissione di un utente

Se dopo l'indagine, si conferma che l'accesso o l'utente è a rischio, è possibile verificare manualmente che un account sia compromesso:

1. Selezionare l'evento o l'utente nei report Accessi a rischio o Utenti rischiosi e scegliere Conferma compromesso.
2. Se non è stato attivato un criterio basato sul rischio e il rischio non è stato corretto automaticamente usando uno dei metodi descritti in questo articolo, eseguire una o più delle azioni seguenti:
   1. Richiedere la reimpostazione della password.
   2. Bloccare l'utente se si sospetta che l'utente malintenzionato possa reimpostare la password o eseguire l'autenticazione a più fattori per l'utente.
   3. Revocare i token di aggiornamento.
   4. Disabilitare tutti i dispositivi considerati compromessi.
   5. Se si usa la valutazione degli accessi continui, revocare tutti i token di accesso.

I dettagli dello stato di rischio e del rischio per l'utente, gli accessi e i rilevamenti di rischio corrispondenti vengono aggiornati come segue:

• Stato di rischio: "A rischio" -> "Confermato compromesso"
• Dettagli del rischio: "-" -> "Utente compromesso confermato dall'amministratore"

Per altre informazioni su cosa accade quando si conferma la compromissione, vedere Come fornire commenti e suggerimenti sui rischi.

Sbloccare utenti

I criteri basati sui rischi possono essere usati per bloccare gli account per proteggere l'organizzazione da account compromessi. È consigliabile esaminare questi scenari per determinare come sbloccare l'utente e quindi determinare il motivo per cui l'utente è stato bloccato.

Accedere da una posizione o un dispositivo familiare

Gli accessi vengono spesso bloccati come sospetti se il tentativo di accesso sembra provenire da una posizione o un dispositivo sconosciuto. Gli utenti possono accedere da una posizione o un dispositivo familiare per provare a sbloccare l'accesso. Se l'accesso ha esito positivo, Microsoft ID Protection corregge automaticamente il rischio di accesso.

• Stato di rischio: "A rischio" -> "Ignorato"
• Dettagli del rischio: "-" -> "l'accesso è stato valutato sicuro da Microsoft Entra ID Protection"

Escludere l'utente dalla policy

Se si ritiene che la configurazione corrente dei criteri di accesso o di rischio utente causi problemi per utenti specifici , è possibile escludere gli utenti dai criteri. È necessario verificare che sia sicuro concedere l'accesso a questi utenti senza applicare questa policy a loro. Per altre informazioni, vedere Procedura: Configurare e abilitare i criteri di rischio.

Potrebbe essere necessario rimuovere manualmente il rischio o l'utente per consentire loro di eseguire l'accesso.

Disabilitare il criterio

Se si ritiene che la configurazione dei criteri causi problemi per tutti gli utenti, è possibile disabilitare i criteri. Per altre informazioni, vedere Procedura: Configurare e abilitare i criteri di rischio.

Potrebbe essere necessario eliminare manualmente il rischio o permettere all'utente di accedere affinché possa affrontare la policy.

Blocco automatico a causa di un rischio di attendibilità elevata

Microsoft Entra ID Protection blocca automaticamente gli accessi che hanno una probabilità molto elevata di essere rischiosi. Questo blocco si verifica più comunemente negli accessi eseguiti usando protocolli di autenticazione legacy o visualizzando proprietà di un tentativo dannoso. Quando un utente viene bloccato per entrambi gli scenari, riceve un errore di autenticazione 50053. I log di accesso visualizzano il motivo del blocco seguente: "L'accesso è stato bloccato dalle protezioni predefinite a causa dell'elevata attendibilità del rischio".

Per sbloccare un account in base al rischio di accesso con attendibilità elevata, sono disponibili le opzioni seguenti:

• Aggiungi gli indirizzi IP utilizzati per accedere nelle impostazioni di località attendibili: se l'accesso viene effettuato da una posizione nota per l'azienda, puoi aggiungere l'indirizzo IP alla lista attendibile. Per altre informazioni, vedere Accesso condizionale: assegnazione di rete.
• Usare un protocollo di autenticazione moderno: se l'accesso viene eseguito usando un protocollo legacy, il passaggio a un metodo moderno sblocca il tentativo.

Consentire la reimpostazione della password locale per correggere i rischi utente

Se l'organizzazione ha un ambiente ibrido, è possibile consentire le modifiche alle password locali per reimpostare i rischi utente con la sincronizzazione dell'hash delle password. È necessario abilitare la sincronizzazione dell'hash delle password prima che gli utenti possano correggere automaticamente in questi scenari.

• Gli utenti ibridi rischiosi possono correggere automaticamente senza l'intervento dell'amministratore. Quando l'utente modifica la password in locale, il rischio utente viene automaticamente risolto all'interno di Microsoft Entra ID Protection, reimpostando lo stato di rischio utente corrente.
• Le organizzazioni possono distribuire in modo proattivo criteri di rischio utente che richiedono modifiche alle password per proteggere gli utenti ibridi. Questa opzione rafforza il comportamento di sicurezza dell'organizzazione e semplifica la gestione della sicurezza assicurando che i rischi utente vengano risolti tempestivamente, anche in ambienti ibridi complessi.

Nota

Consentire la modifica della password locale per correggere il rischio utente è una funzionalità di solo consenso esplicito. I clienti devono valutare questa funzionalità prima di abilitarla negli ambienti di produzione. È consigliabile proteggere il processo di modifica delle password locale. Ad esempio, richiedere l'autenticazione a più fattori prima di consentire agli utenti di modificare la password in locale usando uno strumento come il portale di reimpostazione della password Self-Service di Microsoft Identity Manager.

Per configurare questa impostazione:

1. Effettua l'accesso al Centro amministrativo di Microsoft Entra come almeno un Operatore di sicurezza.
2. Passare a Protezione>Protezione identità>Impostazioni.
3. Selezionare la casella Consenti la modifica della password locale per reimpostare il rischio utente e selezionare Salva.

Gli utenti eliminati

Se un utente è stato eliminato dalla directory che presentava un rischio, tale utente viene comunque visualizzato nel report dei rischi anche se l'account è stato eliminato. Gli amministratori non possono ignorare il rischio per gli utenti eliminati dalla directory. Per rimuovere gli utenti eliminati, aprire un caso di supporto Tecnico Microsoft.

Anteprima di PowerShell

Usando il modulo in anteprima Microsoft Graph PowerShell SDK, le organizzazioni possono gestire i rischi usando PowerShell. I moduli di anteprima e il codice di esempio sono disponibili nel repository GitHub di Microsoft Entra.

Lo Invoke-AzureADIPDismissRiskyUser.ps1 script incluso nel repository consente alle organizzazioni di ignorare tutti gli utenti rischiosi nella directory.

Contenuto correlato

• Simulare un rischio utente elevato