Risico's herstellen en gebruikers deblokkeren

Nadat u uw onderzoek hebt voltooid, moet u actie ondernemen om de riskante gebruikers te herstellen of de blokkering ervan op te heffen. Organisaties kunnen geautomatiseerd herstel inschakelen door op risico's gebaseerd beleid in te stellen. Organisaties moeten proberen alle riskante gebruikers in een bepaalde periode te onderzoeken en op te lossen waarmee uw organisatie vertrouwd is. Microsoft raadt u aan snel te handelen, omdat tijd belangrijk is bij het werken met risico's.

Risicoherstel

Alle actieve risicodetecties dragen bij aan de berekening van het risiconiveau van de gebruiker. Het risiconiveau van de gebruiker is een indicator (laag, gemiddeld, hoog) van de kans dat het account van de gebruiker is aangetast. Als beheerder, na grondig onderzoek van de riskante gebruikers en de bijbehorende riskante aanmeldingen en detecties, wilt u de riskante gebruikers herstellen, zodat ze niet langer risico lopen en niet worden geblokkeerd.

Microsoft Entra ID Protection markeert enkele risicodetecties en de bijbehorende riskante aanmeldingen, zoals gesloten met de risicostatus Gesloten en risicodetails van Microsoft Entra ID Protection geëvalueerde aanmeldingsbeveiliging. Deze actie wordt uitgevoerd, omdat deze gebeurtenissen niet langer riskant zijn.

Beheer istrators hebben de volgende opties om te herstellen:

• Stel beleid op basis van risico's in zodat gebruikers hun risico's zelf kunnen oplossen.
• Stel het wachtwoord handmatig opnieuw in.
• Sluit het gebruikersrisico.
• Herstel in Microsoft Defender for Identity.

Zelfherstel met beleid op basis van risico's

U kunt gebruikers toestaan hun aanmeldingsrisico's en gebruikersrisico's zelf te herstellen door op risico's gebaseerd beleid in te stellen. Als gebruikers het vereiste toegangsbeheer doorgeven, zoals meervoudige verificatie of veilige wachtwoordwijziging, worden hun risico's automatisch hersteld. De bijbehorende risicodetecties, riskante aanmeldingen en riskante gebruikers worden gerapporteerd met de risicostatus Hersteld in plaats van Risico.

De vereisten voor gebruikers voordat beleid op basis van risico's kan worden toegepast om zelfherstel van risico's mogelijk te maken, zijn:

• Als u MFA wilt uitvoeren om zelf een aanmeldingsrisico op te lossen:
  • De gebruiker moet zijn geregistreerd voor meervoudige verificatie van Microsoft Entra.
• Als u een veilige wachtwoordwijziging wilt uitvoeren om zelf een gebruikersrisico op te lossen:
  • De gebruiker moet zijn geregistreerd voor meervoudige verificatie van Microsoft Entra.
  • Voor hybride gebruikers die vanuit on-premises naar de cloud worden gesynchroniseerd, moet wachtwoord terugschrijven zijn ingeschakeld.

Als een beleid op basis van risico's wordt toegepast op een gebruiker tijdens het aanmelden voordat aan de bovenstaande vereisten wordt voldaan, wordt de gebruiker geblokkeerd. Deze blokactie is omdat ze het vereiste toegangsbeheer niet kunnen uitvoeren en beheerdersinteractie is vereist om de blokkering van de gebruiker op te heffen.

Beleidsregels op basis van risico's worden geconfigureerd op basis van risiconiveaus en zijn alleen van toepassing als het risiconiveau van de aanmelding of gebruiker overeenkomt met het geconfigureerde niveau. Sommige detecties veroorzaken mogelijk geen risico op het niveau waarop het beleid van toepassing is en beheerders moeten deze riskante gebruikers handmatig afhandelen. Beheer istrators kunnen bepalen dat extra maatregelen nodig zijn, zoals het blokkeren van de toegang vanaf locaties of het verlagen van het acceptabele risico in hun beleid.

Zelfherstel met selfservice voor wachtwoordherstel

Als een gebruiker zich heeft geregistreerd voor selfservice voor wachtwoordherstel (SSPR), kunnen ze hun eigen gebruikersrisico oplossen door een selfservice voor wachtwoordherstel uit te voeren.

Handmatig wachtwoord opnieuw instellen

Als een wachtwoord opnieuw instellen met een beleid voor gebruikersrisico's geen optie is of tijd is, kunnen beheerders een riskante gebruiker herstellen door een wachtwoord opnieuw in te stellen.

Beheer istrators hebben opties waaruit ze kunnen kiezen:

• Een tijdelijk wachtwoord genereren: door een tijdelijk wachtwoord te genereren, kunt u onmiddellijk een identiteit weer in een veilige status brengen. Voor deze methode moet contact worden opgenomen met de betrokken gebruikers, omdat ze moeten weten wat het tijdelijke wachtwoord is. Omdat het wachtwoord tijdelijk is, wordt de gebruiker gevraagd het wachtwoord te wijzigen in iets nieuws tijdens de volgende aanmelding.

  • Ze kunnen wachtwoorden genereren voor cloud- en hybride gebruikers in het Microsoft Entra-beheercentrum.

  • Ze kunnen wachtwoorden genereren voor hybride gebruikers vanuit een on-premises directory wanneer wachtwoord-hashsynchronisatie en de instelling On-premises wachtwoord toestaan is ingeschakeld om gebruikersrisico's opnieuw in te stellen.

    Waarschuwing

    Selecteer niet de optie Gebruiker moet het wachtwoord wijzigen bij de volgende aanmelding. Dit wordt niet ondersteund.

• Vereisen dat de gebruiker het wachtwoord opnieuw instelt: de gebruikers verplichten om wachtwoorden opnieuw in te stellen, maakt zelfherstel mogelijk zonder contact op te leggen met de helpdesk of een beheerder.

  • Cloud- en hybride gebruikers kunnen een veilige wachtwoordwijziging voltooien. Deze methode is alleen van toepassing op gebruikers die MFA al kunnen uitvoeren. Voor gebruikers die zich niet hebben geregistreerd, is deze optie niet beschikbaar.
  • Hybride gebruikers kunnen een wachtwoordwijziging voltooien door op Ctrl+Alt+Del te drukken en hun wachtwoord te wijzigen vanaf een on-premises of hybride windows-apparaat, wanneer wachtwoord-hashsynchronisatie en de instelling On-premises wachtwoord toestaan is ingeschakeld om gebruikersrisico's opnieuw in te stellen.

On-premises wachtwoordherstel toestaan om gebruikersrisico's op te lossen (preview)

Organisaties die wachtwoord-hashsynchronisatie hebben ingeschakeld, kunnen on-premises wachtwoordwijzigingen toestaan om gebruikersrisico's op te lossen.

Deze configuratie biedt organisaties twee nieuwe mogelijkheden:

• Riskante hybride gebruikers kunnen zichzelf herstellen zonder tussenkomst van beheerders. Wanneer een wachtwoord on-premises wordt gewijzigd, wordt het gebruikersrisico nu automatisch hersteld binnen Microsoft Entra ID Protection, waardoor de huidige status van het gebruikersrisico opnieuw wordt ingesteld.
• Organisaties kunnen proactief beleid voor gebruikersrisico's implementeren waarvoor wachtwoordwijzigingen nodig zijn om hun hybride gebruikers te beveiligen. Deze optie versterkt het beveiligingspostuur van uw organisatie en vereenvoudigt het beveiligingsbeheer door ervoor te zorgen dat gebruikersrisico's onmiddellijk worden aangepakt, zelfs in complexe hybride omgevingen.

Deze instelling configureren

1. Meld u als een beveiligingsoperator aan bij het Microsoft Entra-beheercentrum.
2. Blader naar Protection>Identity Protection> Instellingen.
3. Schakel het selectievakje in om on-premises wachtwoordwijziging toe te staan om het gebruikersrisico opnieuw in te stellen.
4. Selecteer Opslaan.

Notitie

Het toestaan van on-premises wachtwoordwijziging voor het opnieuw instellen van gebruikersrisico's is een functie die alleen is aangemeld. Klanten moeten deze functie evalueren voordat ze in productieomgevingen inschakelen. Klanten raden klanten aan de on-premises wachtwoordwijziging te beveiligen of stromen opnieuw in te stellen. Als u bijvoorbeeld meervoudige verificatie vereist voordat gebruikers hun wachtwoord on-premises kunnen wijzigen met behulp van een hulpprogramma zoals de selfserviceportal voor wachtwoordherstel van Microsoft Identity Manager.

Gebruikersrisico negeren

Als u na onderzoek en bevestigt dat het gebruikersaccount geen risico loopt om te worden aangetast, kunt u ervoor kiezen om de riskante gebruiker te sluiten.

Als u gebruikersrisico's wilt negeren als ten minste een beveiligingsoperator in het Microsoft Entra-beheercentrum, bladert u naar riskante gebruikers van Protection>Identity Protection>, selecteert u de betreffende gebruiker en selecteert u Het risico van gebruiker(s) sluiten.

Wanneer u Gebruikersrisico negeren selecteert, loopt de gebruiker geen risico meer en worden alle riskante aanmeldingen van deze gebruiker en bijbehorende risicodetecties ook gesloten.

Omdat deze methode geen invloed heeft op het bestaande wachtwoord van de gebruiker, wordt de identiteit niet weer in een veilige status gebracht.

Risicostatus en detail gebaseerd op ontslag van risico

• Riskante gebruiker:
  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails (de details van het risicoherstel): "-" -> "Beheer alle risico's voor de gebruiker gesloten"
• Alle riskante aanmeldingen van deze gebruiker en de bijbehorende risicodetecties:
  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails (de details van het risicoherstel): "-" -> "Beheer alle risico's voor de gebruiker gesloten"

Bevestigen dat een gebruiker wordt aangetast

Als na onderzoek een account is bevestigd, is het volgende gecompromitteerd:

1. Selecteer de gebeurtenis of gebruiker in de rapporten Riskante aanmeldingen of Riskante gebruikers en kies 'Gecompromitteerd bevestigen'.
2. Als er geen op risico's gebaseerd beleid is geactiveerd en het risico niet zelf is hersteld, voert u een of meer van de volgende handelingen uit:
   1. Opnieuw instellen van wachtwoord aanvragen.
   2. Blokkeer de gebruiker als u vermoedt dat de aanvaller het wachtwoord opnieuw kan instellen of meervoudige verificatie voor de gebruiker kan uitvoeren.
   3. Vernieuwingstokens intrekken.
   4. Schakel alle apparaten uit die als gecompromitteerd worden beschouwd.
   5. Als u continue toegangsevaluatie gebruikt, trekt u alle toegangstokens in.

Zie de sectie How should I give risk feedback and what happens under the hood?voor meer informatie over wat er gebeurt bij het bevestigen van compromissen.

Verwijderde gebruikers

Het is niet mogelijk dat beheerders risico's negeren voor gebruikers die uit de directory zijn verwijderd. Als u verwijderde gebruikers wilt verwijderen, opent u een Microsoft-ondersteuningsaanvraag.

Gebruikers deblokkeren

Een beheerder kan ervoor kiezen om een aanmelding te blokkeren op basis van zijn/haar risicobeleid of onderzoeken. Er kan een blok optreden op basis van aanmeldings- of gebruikersrisico's.

Deblokkeren op basis van gebruikersrisico

Beheerders hebben de volgende opties om een account te deblokkeren dat is geblokkeerd vanwege gebruikersrisico's:

1. Wachtwoord opnieuw instellen: u kunt het wachtwoord van de gebruiker opnieuw instellen. Als een gebruiker is gehackt of het risico loopt te worden gehackt, moet het wachtwoord van de gebruiker opnieuw worden ingesteld om zijn of haar account en uw organisatie te beschermen.
2. Gebruikersrisico sluiten : het beleid voor gebruikersrisico's blokkeert een gebruiker als het geconfigureerde gebruikersrisiconiveau voor het blokkeren van toegang is bereikt. Als u na onderzoek zeker weet dat de gebruiker geen risico loopt te worden aangetast en het veilig is om toegang te verlenen, kunt u het risiconiveau van een gebruiker verminderen door het gebruikersrisico te negeren.
3. Sluit de gebruiker uit van beleid : als u denkt dat de huidige configuratie van uw aanmeldingsbeleid problemen veroorzaakt voor specifieke gebruikers en het veilig is om toegang te verlenen aan deze gebruikers zonder dit beleid toe te passen, kunt u ze uitsluiten van dit beleid. Zie de sectie Uitsluitingen in het artikel Instructies: Risicobeleid configureren en inschakelen voor meer informatie.
4. Beleid uitschakelen: als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor al uw gebruikers, kunt u het beleid uitschakelen. Zie het artikel Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

Blokkering opheffen op basis van aanmeldingsrisico

Beheerders hebben de volgende opties om een account te deblokkeren dat is geblokkeerd vanwege een aanmeldingsrisico:

1. Aanmelden vanaf een vertrouwde locatie of apparaat: een veelvoorkomende reden voor geblokkeerde verdachte aanmeldingen zijn aanmeldingspogingen vanaf onbekende locaties of apparaten. Uw gebruikers kunnen snel bepalen of dit de blokkeringsreden is door zich aan te melden vanaf een vertrouwde locatie of apparaat.
2. Sluit de gebruiker uit van beleid: als u denkt dat de huidige configuratie van uw aanmeldingsbeleid problemen veroorzaakt voor specifieke gebruikers, kunt u de gebruikers hiervan uitsluiten. Zie de sectie Uitsluitingen in het artikel Instructies: Risicobeleid configureren en inschakelen voor meer informatie.
3. Beleid uitschakelen: als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor al uw gebruikers, kunt u het beleid uitschakelen. Zie het artikel Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

PowerShell Preview

Met behulp van de Microsoft Graph PowerShell SDK Preview-module kunnen organisaties risico's beheren met behulp van PowerShell. De preview-modules en voorbeeldcode vindt u in de Microsoft Entra GitHub-opslagplaats.

Met Invoke-AzureADIPDismissRiskyUser.ps1 het script dat in de opslagplaats is opgenomen, kunnen organisaties alle riskante gebruikers in hun directory negeren.

Volgende stappen

Een hoog gebruikersrisico simuleren