Delen via

Risico's aanpakken en gebruikers deblokkeren

Nadat u uw risicoonderzoek hebt voltooid, moet u actie ondernemen om riskante gebruikers te herstellen of de blokkering ervan op te heffen. U kunt beleid op basis van risico's instellen om automatisch herstel in te schakelen of de risicostatus van de gebruiker handmatig bij te werken. Microsoft raadt u aan snel te handelen omdat tijd belangrijk is bij het werken met risico's.

Dit artikel bevat verschillende opties voor het automatisch en handmatig oplossen van risico's en behandelt scenario's waarin gebruikers zijn geblokkeerd vanwege gebruikersrisico's, zodat u weet hoe u ze kunt deblokkeren.

Vereiste voorwaarden

  • De Microsoft Entra ID P2- of Microsoft Entra Suite-licentie is vereist voor volledige toegang tot microsoft Entra ID Protection-functies.
  • De rol Gebruikersbeheerder is de minst bevoorrechte rol die is vereist voor het opnieuw instellen van wachtwoorden.
  • De rol Beveiligingsoperator is de minst bevoorrechte rol die is vereist om gebruikersrisico's te verwijderen.
  • De rol Beveiligingsbeheerder is de minst bevoorrechte rol die is vereist voor het maken of bewerken van beleid op basis van risico's.
  • De rol Beheerder voor voorwaardelijke toegang is de minst bevoegde rol die is vereist voor het maken of bewerken van beleid voor voorwaardelijke toegang.

Hoe risicoherstel werkt

Alle actieve risicodetecties dragen bij aan de berekening van het risiconiveau van de gebruiker, wat de kans aangeeft dat het account van de gebruiker wordt aangetast. Afhankelijk van het risiconiveau en de configuratie van uw tenant moet u mogelijk het risico onderzoeken en aanpakken. U kunt toestaan dat gebruikers hun aanmeldings- en gebruikersrisico's zelf herstellen door op risico's gebaseerd beleid in te stellen. Als gebruikers de vereiste toegangscontrole passeren, zoals multifactorauthenticatie of een veilige wachtwoordwijziging, wordt hun risico automatisch beheerd.

Als er een beleid op basis van risico's wordt toegepast tijdens het aanmelden waarbij niet aan de criteria wordt voldaan, wordt de gebruiker geblokkeerd. Dit blok treedt op omdat de gebruiker de vereiste stap niet kan uitvoeren, dus moet de beheerder de blokkering van de gebruiker opheffen.

Beleidsregels op basis van risico's worden geconfigureerd op basis van risiconiveaus en zijn alleen van toepassing als het risiconiveau van de aanmelding of gebruiker overeenkomt met het geconfigureerde niveau. Sommige detecties veroorzaken mogelijk geen risico op het niveau waarop het beleid van toepassing is, zodat beheerders deze situaties handmatig moeten afhandelen. Beheerders kunnen bepalen dat extra maatregelen nodig zijn, zoals het blokkeren van de toegang vanaf locaties of het verlagen van het acceptabele risico in hun beleid.

Zelfherstel voor eindgebruikers

Wanneer beleid voor voorwaardelijke toegang op basis van risico's is geconfigureerd, kan het oplossen van gebruikersrisico's en aanmeldingsrisico's een selfserviceproces voor gebruikers zijn. Met dit zelfherstel kunnen gebruikers hun eigen risico's oplossen zonder dat ze contact hoeven op te nemen met de helpdesk of een beheerder. Als IT-beheerder hoeft u mogelijk geen actie te ondernemen om risico's op te lossen, maar u moet wel weten hoe u het beleid configureert dat zelfherstel toestaat en wat u kunt verwachten in de gerelateerde rapporten. Voor meer informatie, zie:

Zelfherstel van inlogrisico

Als het aanmeldingsrisico van een gebruiker het niveau bereikt dat is ingesteld door uw beleid op basis van risico's, wordt de gebruiker gevraagd meervoudige verificatie (MFA) uit te voeren om aanmeldingsrisico's te verhelpen. Als ze de MFA-uitdaging hebben voltooid, wordt het aanmeldingsrisico opgelost. De risicostatus en risicogegevens voor de gebruiker, aanmeldingen en bijbehorende risicodetecties worden als volgt bijgewerkt:

  • Risicostatus: "In gevaar" -> "Hersteld"
  • Risicodetails: '-' -> "Gebruiker geslaagd voor multifactorauthenticatie"

Aanmeldingsrisico's die niet worden verholpen, beïnvloeden het gebruikersrisico. Door risicogebaseerd beleid in te voeren, kunnen gebruikers echter zelf hun aanmeldingsrisico herstellen, zodat hun gebruikersrisico niet wordt beïnvloed.

Zelfremediëring van gebruikersrisico

Als een gebruiker wordt gevraagd om selfservice voor wachtwoordherstel (SSPR) te gebruiken om gebruikersrisico's op te lossen, wordt hij of zij gevraagd het wachtwoord bij te werken, zoals wordt weergegeven in het artikel over de gebruikerservaring van Microsoft Entra ID Protection . Zodra ze hun wachtwoord hebben bijgewerkt, wordt het gebruikersrisico hersteld. De gebruiker kan zich vervolgens aanmelden met het nieuwe wachtwoord. De risicostatus en risicogegevens voor de gebruiker, aanmeldingen en bijbehorende risicodetecties worden als volgt bijgewerkt:

  • Risicostatus: "In gevaar" -> "Hersteld"
  • Risicodetails: "-" -> "Gebruiker heeft beveiligde wachtwoordherstel uitgevoerd"

Overwegingen voor cloud- en hybride gebruikers

  • Zowel cloudgebruikers als hybride gebruikers kunnen een veilige wachtwoordwijziging alleen met SSPR voltooien als ze MFA kunnen uitvoeren. Voor gebruikers die niet zijn geregistreerd, is deze optie niet beschikbaar.
  • Hybride gebruikers kunnen een wachtwoordwijziging voltooien op een on-premises of met een hybride Windows aangesloten apparaat, wanneer wachtwoord-hashsynchronisatie en de instelling Toevoegen toestaan van on-premises wachtwoordwijziging om gebruikersrisico te resetten is ingeschakeld.

Systeemgebaseerde remedie

In sommige gevallen kan Microsoft Entra ID Protection ook automatisch de risicostatus van een gebruiker negeren. Zowel de risicodetectie als de bijbehorende riskante aanmelding worden geïdentificeerd door ID Protection omdat ze geen beveiligingsrisico meer vormen. Deze automatische interventie kan optreden als de gebruiker een tweede factor biedt, zoals meervoudige verificatie (MFA) of als de realtime- en offline-evaluatie bepaalt dat de aanmelding niet langer riskant is. Deze automatische remediëring vermindert ruis in risicobewaking, zodat u zich kunt richten op de zaken die uw aandacht vereisen.

  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails: "-" -> "Microsoft Entra ID Protection beoordeelde aanmelding als veilig"

Handmatige probleemoplossing door beheerder

In sommige situaties moet een IT-beheerder aanmeldproblemen of gebruikersrisico's handmatig verhelpen. Als u geen op risico's gebaseerd beleid hebt geconfigureerd, als het risiconiveau niet voldoet aan de criteria voor zelfherstel of als de tijd van essentieel belang is, moet u mogelijk een van de volgende acties uitvoeren:

  • Genereer een tijdelijk wachtwoord voor de gebruiker.
  • Vereisen dat de gebruiker het wachtwoord opnieuw instelt.
  • Verwerp het risico van de gebruiker.
  • Controleer of de gebruiker is gecompromitteerd en onderneem actie om het account te beveiligen.
  • Blokkering van de gebruiker opheffen.

U kunt ook herstellen in Microsoft Defender for Identity.

Een tijdelijk wachtwoord genereren

Door een tijdelijk wachtwoord te genereren, kunt u onmiddellijk een identiteit weer in een veilige status brengen. Voor deze methode moet contact worden opgenomen met de betrokken gebruikers, omdat ze moeten weten wat het tijdelijke wachtwoord is. Omdat het wachtwoord tijdelijk is, wordt de gebruiker gevraagd het wachtwoord te wijzigen in iets nieuws tijdens de volgende aanmelding.

Een tijdelijk wachtwoord genereren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

    • Als u een tijdelijk wachtwoord wilt genereren op basis van de gegevens van de gebruiker, hebt u de rol Gebruikersbeheerder nodig.
    • Als u een tijdelijk wachtwoord wilt genereren op basis van id-beveiliging, hebt u zowel de rollen Beveiligingsoperator als Gebruikersbeheerder nodig.
    • Beveiligingsoperator is vereist voor toegang tot id-beveiliging en gebruikersbeheerder is vereist om wachtwoorden opnieuw in te stellen.

  2. Blader naarRiskante gebruikers van Protection>Identity Protection> en selecteer de betreffende gebruiker.

    • U kunt ook naar Alle>gebruikers bladeren en de betreffende gebruiker selecteren.

  3. Selecteer Wachtwoord opnieuw instellen.

    Schermopname van het deelvenster Riskante gebruikersdetails met het wachtwoord opnieuw instellen gemarkeerd.

  4. Controleer het bericht en selecteer Wachtwoord opnieuw instellen .

    Schermopname van de tweede knop Wachtwoord opnieuw instellen.

  5. Geef het tijdelijke wachtwoord op voor de gebruiker. De gebruiker moet het wachtwoord wijzigen wanneer deze zich de volgende keer aanmeldt.

De risicostatus en risicogegevens voor de gebruiker, aanmeldingen en bijbehorende risicodetecties worden als volgt bijgewerkt:

  • Risicostatus: "In gevaar" -> "Hersteld"
  • Risicodetails: '-' -> 'Door beheerder gegenereerd tijdelijk wachtwoord voor gebruiker'

Overwegingen voor cloud- en hybride gebruikers

Let op de volgende overwegingen bij het genereren van een tijdelijk wachtwoord voor cloud- en hybride gebruikers:

Een wachtwoordreset is vereist

U kunt vereisen dat riskante gebruikers hun wachtwoord opnieuw instellen om hun risico op te lossen. Omdat deze gebruikers niet worden gevraagd hun wachtwoord te wijzigen via een beleid op basis van risico's, moet u contact met hen opnemen om hun wachtwoord opnieuw in te stellen. Hoe het wachtwoord opnieuw wordt ingesteld, is afhankelijk van het type gebruiker:

  • Cloudgebruikers en hybride gebruikers met aan Microsoft Entra gekoppelde apparaten: voer een veilige wachtwoordwijziging uit na een geslaagde MFA-aanmelding. Gebruikers moeten al zijn geregistreerd voor MFA.
  • Hybride gebruikers met on-premises of hybride Windows-apparaten: Voer een veilige wachtwoordwijziging uit via ctrl-Alt-Delete scherm op hun Windows-apparaat.

De risicostatus en risicogegevens voor de gebruiker, aanmeldingen en bijbehorende risicodetecties worden als volgt bijgewerkt:

  • Risicostatus: "In gevaar" -> "Hersteld"
  • Risicodetails: "-" -> "Door gebruiker beveiligde wachtwoordwijziging uitgevoerd"

Risico negeren

Als u na onderzoek bevestigt dat het aanmeldings- of gebruikersaccount geen risico loopt op inbreuk, kunt u het risico negeren.

  1. Meld u als een beveiligingsoperator aan bij het Microsoft Entra-beheercentrum.
  2. Blader naarRiskante aanmeldingen of riskante gebruikers van Protection>Identity Protection> en selecteer de riskante activiteit.
  3. Selecteer Riskante aanmelding(en) sluiten of Gebruikersrisico sluiten.

Omdat met deze methode het bestaande wachtwoord van de gebruiker niet wordt gewijzigd, wordt de identiteit niet weer in een veilige status gebracht. Mogelijk moet u nog steeds contact opnemen met de gebruiker om hen te informeren over het risico en hen te adviseren hun wachtwoord te wijzigen.

De risicostatus en risicogegevens voor de gebruiker, aanmeldingen en bijbehorende risicodetecties worden als volgt bijgewerkt:

  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails: '-' -> 'Beheerder heeft het risico voor aanmelding gesloten' of 'Beheerder heeft alle risico's voor de gebruiker gesloten'

Bevestigen dat een gebruiker wordt aangetast

Als u na onderzoek bevestigt dat het aanmeldingsproces of de gebruiker risico loopt, kunt u handmatig bevestigen dat een account gecompromitteerd is.

  1. Selecteer de gebeurtenis of gebruiker in de rapporten Riskante aanmeldingen of Riskante gebruikers en kies Gecompromitteerd bevestigen.
  2. Als er geen beleid op basis van risico's is geactiveerd en het risico niet zelf is hersteld met behulp van een van de methoden die in dit artikel worden beschreven, voert u een of meer van de volgende acties uit:
    1. Vraag het opnieuw instellen van een wachtwoord aan.
    2. Blokkeer de gebruiker als u vermoedt dat de aanvaller het wachtwoord opnieuw kan instellen of meervoudige verificatie voor de gebruiker kan uitvoeren.
    3. Vernieuwingstokens intrekken.
    4. Schakel alle apparaten uit die als gecompromitteerd worden beschouwd.
    5. Als u continue toegangsevaluatie gebruikt, trekt u alle toegangstokens in.

De risicostatus en risicogegevens voor de gebruiker, aanmeldingen en bijbehorende risicodetecties worden als volgt bijgewerkt:

  • Risicostatus: "Risico" -> "Bevestigd gecompromitteerd"
  • Risicodetails: '-' -> Beheerder heeft bevestigd dat de gebruiker is gecompromitteerd

Zie Feedback geven over risico's voor meer informatie over wat er gebeurt bij het bevestigen van inbreuk.

Gebruikers deblokkeren

Op risico's gebaseerde beleidsregels kunnen worden gebruikt om accounts te blokkeren om uw organisatie te beschermen tegen gecompromitteerde accounts. U moet deze scenario's onderzoeken om te bepalen hoe u de blokkering van de gebruiker kunt opheffen en vervolgens kunt bepalen waarom de gebruiker is geblokkeerd.

Aanmelden vanaf een vertrouwde locatie of apparaat

Aanmeldingen worden vaak geblokkeerd als verdacht als de aanmeldingspoging afkomstig lijkt te zijn van een onbekende locatie of apparaat. Uw gebruikers kunnen zich aanmelden vanaf een vertrouwde locatie of apparaat om de aanmelding te proberen te deblokkeren. Als de aanmelding is geslaagd, herstelt Microsoft ID Protection automatisch het aanmeldingsrisico.

  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails: "-" -> "Microsoft Entra ID Protection beoordeelde aanmelding als veilig"

De gebruiker uitsluiten van beleid

Als u denkt dat de huidige configuratie van uw beleid voor aanmeldings- of gebruikersrisico's problemen veroorzaakt voor specifieke gebruikers, kunt u de gebruikers uitsluiten van het beleid. U moet controleren of het veilig is om toegang te verlenen aan deze gebruikers zonder dit beleid toe te passen op deze gebruikers. Zie Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

Mogelijk moet u het risico of de gebruiker handmatig verwijderen, zodat ze kunnen inloggen.

Het beleid uitschakelen

Als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor alle gebruikers, kunt u het beleid uitschakelen. Zie Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

Mogelijk moet u het risico of de gebruiker handmatig verwijderen, zodat deze zich kan aanmelden voordat het beleid wordt aangepakt.

Automatische blokkering vanwege een hoog betrouwbaarheidsrisico

Microsoft Entra ID Protection blokkeert automatisch aanmeldingen met een zeer hoge betrouwbaarheid van riskant zijn. Dit blok treedt meestal op bij aanmeldingen die worden uitgevoerd met verouderde verificatieprotocollen of het weergeven van eigenschappen van een kwaadwillende poging. Wanneer een gebruiker voor beide scenario's wordt geblokkeerd, krijgt deze een verificatiefout van 50053. In de aanmeldingslogboeken wordt de volgende blokkeringsreden weergegeven: 'Aanmelding is geblokkeerd door ingebouwde beveiligingen vanwege een hoog risico.'

Als u een account wilt deblokkeren op basis van een aanmeldingsrisico met hoge betrouwbaarheid, hebt u de volgende opties:

  • Voeg de IP-adressen toe die worden gebruikt om u aan te melden bij de instellingen van de vertrouwde locatie: als de aanmelding wordt uitgevoerd vanaf een bekende locatie voor uw bedrijf, kunt u het IP-adres toevoegen aan de vertrouwde lijst. Zie Voorwaardelijke toegang: Netwerktoewijzing voor meer informatie.
  • Gebruik een modern verificatieprotocol: Als de aanmelding wordt uitgevoerd met behulp van een verouderd protocol, wordt de poging opgeheven met een moderne methode.

On-premises wachtwoordherstel toestaan om gebruikersrisico's op te lossen

Als uw organisatie een hybride omgeving heeft, kunt u on-premises wachtwoordwijzigingen toestaan om gebruikersrisico's opnieuw in te stellen met wachtwoord-hashsynchronisatie. U moet wachtwoord-hashsynchronisatie inschakelen voordat gebruikers in deze scenario's zelf herstel kunnen uitvoeren.

  • Riskante hybride gebruikers kunnen zichzelf herstellen zonder tussenkomst van de beheerder. Wanneer de gebruiker het wachtwoord on-premises wijzigt, wordt het gebruikersrisico automatisch hersteld binnen Microsoft Entra ID Protection, waardoor de huidige status van het gebruikersrisico opnieuw wordt ingesteld.
  • Organisaties kunnen proactief beleid voor gebruikersrisico's implementeren waarvoor wachtwoordwijzigingen nodig zijn om hun hybride gebruikers te beveiligen. Deze optie versterkt het beveiligingspostuur van uw organisatie en vereenvoudigt het beveiligingsbeheer door ervoor te zorgen dat gebruikersrisico's onmiddellijk worden aangepakt, zelfs in complexe hybride omgevingen.

Notitie

Het toestaan van on-premises wachtwoordwijziging om gebruikersrisico's te verminderen, is een optionele functie waarvoor men zich kan aanmelden. Klanten moeten deze functie evalueren voordat ze deze in productieomgevingen inschakelen. Klanten wordt aangeraden het on-premises proces voor wachtwoordwijziging te beveiligen. U moet bijvoorbeeld meervoudige verificatie vereisen voordat gebruikers hun wachtwoord on-premises kunnen wijzigen met behulp van een hulpprogramma zoals de Self-Service Portal voor wachtwoordherstel van Microsoft Identity Manager.

Ga als volgt te werk om deze instelling te configureren:

  1. Meld u als een beveiligingsoperator aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Beveiliging>Identiteitsbescherming>Instellingen.
  3. Vink het vakje aan om on-premises wachtwoordwijziging toe te staan om het gebruikersrisico opnieuw in te stellen en selecteer Opslaan.

Schermopname van de locatie van het selectievakje On-premises wachtwoordwijziging toestaan om het gebruikersrisico opnieuw in te stellen.

Verwijderde gebruikers

Als een gebruiker is verwijderd uit de map met een risico, wordt die gebruiker nog steeds weergegeven in het risicorapport, ook al is het account verwijderd. Beheerders kunnen het risico voor gebruikers die zijn verwijderd uit de directory niet negeren. Als u verwijderde gebruikers wilt verwijderen, opent u een Microsoft-ondersteuningsaanvraag.

PowerShell Voorvertoning

Met behulp van de Microsoft Graph PowerShell SDK Preview-module kunnen organisaties risico's beheren met behulp van PowerShell. De preview-modules en voorbeeldcode vindt u in de Microsoft Entra GitHub-opslagplaats.

Met Invoke-AzureADIPDismissRiskyUser.ps1 het script dat in de opslagplaats is opgenomen, kunnen organisaties alle riskante gebruikers in hun directory negeren.

Gerelateerde inhoud