Risico's onderzoeken met Identity Protection in Microsoft Entra Externe ID
Microsoft Entra Identity Protection biedt doorlopende risicodetectie voor uw externe tenant. Hiermee kunnen organisaties risico's op basis van identiteiten detecteren, onderzoeken en oplossen. Identity Protection wordt geleverd met risicorapporten die kunnen worden gebruikt om identiteitsrisico's in externe tenants te onderzoeken. In dit artikel leert u hoe u risico's kunt onderzoeken en beperken.
Rapportage over Identity Protection
Identity Protection biedt twee rapporten. In het rapport Riskante gebruikers kunnen beheerders vinden welke gebruikers risico lopen en informatie over detecties. Het rapport risicodetectie geeft informatie over elke risicodetectie. Dit rapport omvat het risicotype, andere risico's die tegelijkertijd worden geactiveerd, de locatie van de aanmeldingspoging en meer.
Elk rapport begint met een lijst met alle detecties voor de periode die boven aan het rapport wordt weergegeven. Rapporten kunnen worden gefilterd met behulp van de filters bovenaan het rapport. Beheer istrators kunnen ervoor kiezen om de gegevens te downloaden of te gebruiken MS Graph API en Microsoft Graph PowerShell SDK om de gegevens continu te exporteren.
Beperkingen en overwegingen ten aanzien van de service
Houd rekening met de volgende punten bij het gebruik van Identity Protection:
- Identity Protection is niet beschikbaar in proeftenants.
- Identiteitsbeveiliging is standaard ingeschakeld.
- Identity Protection is beschikbaar voor zowel lokale als sociale identiteiten, zoals Google of Facebook. Detectie is beperkt omdat de externe id-provider de referenties van het sociale account beheert.
- Momenteel in externe Microsoft Entra-tenants is een subset van de risicodetecties van Microsoft Entra ID Protection beschikbaar. Microsoft Entra Externe ID ondersteunt de volgende risicodetecties:
| Risicodetectietype | Beschrijving |
|---|---|
| Ongewoon traject | Meld u aan vanaf een atypische locatie op basis van de recente aanmeldingen van de gebruiker. |
| Anoniem IP-adres | Meld u aan vanaf een anoniem IP-adres (bijvoorbeeld: Tor browser, anonymizer VPN's). |
| Aan malware gekoppeld IP-adres | Meld u aan vanaf een aan malware gekoppeld IP-adres. |
| Onbekende aanmeldingseigenschappen | Aanmelden met eigenschappen die we onlangs niet hebben gezien voor de opgegeven gebruiker. |
| Door beheerder bevestigd misbruik van gebruiker | Een beheerder heeft aangegeven dat er misbruik is gemaakt een gebruiker. |
| Wachtwoordspray | Meld u aan via een wachtwoordspray-aanval. |
| Bedreigingsinformatie van Microsoft Entra | De interne en externe bedreigingsinformatiebronnen van Microsoft hebben een bekend aanvalspatroon geïdentificeerd. |
Riskante gebruikers onderzoeken
Met de informatie die wordt verstrekt door het rapport Riskante gebruikers , kunnen beheerders het volgende vinden:
- De risicostatus, die aangeeft welke gebruikers risico lopen, risico's hebben opgelost of risico's hebben gesloten
- Details van detecties
- Geschiedenis van alle riskante aanmeldingen
- Risicogeschiedenis
Beheerders kunnen er vervolgens voor kiezen om actie te ondernemen voor deze gebeurtenissen. Beheerders kunnen kiezen voor het volgende:
- Het gebruikerswachtwoord opnieuw instellen
- Gebruikersinbreuk bevestigen
- Gebruikersrisico negeren
- Voorkomen dat een gebruiker zich aanmeldt
- Verder onderzoek doen met behulp van Azure ATP
Een beheerder kan ervoor kiezen om het risico van een gebruiker in het Microsoft Entra-beheercentrum te sluiten of programmatisch via de Microsoft Graph API Gebruikersrisico sluiten. Beheer machtigingen zijn vereist om het risico van een gebruiker te negeren. De riskante gebruiker of beheerder die namens de gebruiker werkt, kan het risico verhelpen, bijvoorbeeld via het opnieuw instellen van een wachtwoord.
Navigeren in het rapport riskante gebruikers
Meld u aan bij het Microsoft Entra-beheercentrum.
Zorg ervoor dat u de map gebruikt die uw externe Microsoft Entra-tenant bevat: selecteer het pictogram
Instellingen op de werkbalk en zoek uw externe tenant in het menu Mappen en abonnementen. Als dit niet de huidige map is, selecteert u Overschakelen.Blader naar Identity>Protection>Security Center.
Selecteer Identity Protection.
Selecteer onder Rapport riskante gebruikers.
Als u afzonderlijke vermeldingen selecteert, wordt een detailvenster onder de detecties uitgevouwen. Met de detailweergave kunnen beheerders acties voor elke detectie onderzoeken en uitvoeren.
Rapport risicodetecties
Het rapport Risicodetecties bevat filterbare gegevens tot de afgelopen 90 dagen (drie maanden).
Met de verstrekte informatie in het rapport met riskante risicodetecties kunnen beheerders het volgende vinden:
- Informatie over elke risicodetectie, inclusief het type.
- Andere risico's die tegelijkertijd worden geactiveerd.
- Locatie van aanmeldingspoging.
Beheerders kunnen er vervolgens voor kiezen om terug te keren naar het risico- of aanmeldingsrapport van de gebruiker om actie te ondernemen op basis van verzamelde gegevens.
Navigeren in het rapport risicodetecties
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Identity>Protection>Security Center.
Selecteer Identity Protection.
Selecteer onder Rapport risicodetecties.