Delen via

Werkmap: Impactanalyse van op risico gebaseerd toegangsbeleid

  • Artikel

We raden iedereen aan beleid voor voorwaardelijke toegang op basis van risico's in te schakelen, we begrijpen dat deze implementatie tijd, wijzigingsbeheer en soms zorgvuldige controle door leiderschap vereist om inzicht te krijgen in ongewenste gevolgen. We geven beheerders de mogelijkheid om met vertrouwen antwoorden te geven op deze scenario's om op risico's gebaseerde beleidsregels te implementeren die nodig zijn om hun omgeving snel te beschermen.

In plaats van beleid voor voorwaardelijke toegang op basis van risico's te maken in de rapportmodus en een paar weken/maanden te wachten met resultaten, kunt u de impactanalyse van op risico's gebaseerde toegangsbeleidswerkmap gebruiken, waarmee u de impact direct kunt bekijken op basis van aanmeldingslogboeken.

Een schermopname van de impactanalyse van op risico's gebaseerde toegangsbeleidswerkmap.

Beschrijving

De werkmap helpt u inzicht te hebben in uw omgeving voordat u beleidsregels inschakelt waardoor uw gebruikers zich mogelijk niet kunnen aanmelden, meervoudige verificatie vereisen of een veilige wachtwoordwijziging kunnen uitvoeren. U krijgt een uitsplitsing op basis van een datumbereik van uw keuze voor aanmeldingen, waaronder:

  • Een impactoverzicht van aanbevolen op risico's gebaseerd toegangsbeleid, waaronder een overzicht van:
    • Scenario's voor gebruikersrisico's
    • Aanmeldingsrisico's en vertrouwde netwerkscenario's
  • Impactdetails, inclusief details voor unieke gebruikers:
    • Scenario's voor gebruikersrisico's zoals:
      • Gebruikers met een hoog risico die niet worden geblokkeerd door een op risico gebaseerd toegangsbeleid.
      • Gebruikers met een hoog risico wordt niet gevraagd hun wachtwoord te wijzigen door een op risico gebaseerd toegangsbeleid.
      • Gebruikers die hun wachtwoord hebben gewijzigd vanwege een op risico gebaseerd toegangsbeleid.
      • Riskante gebruikers kunnen zich niet aanmelden vanwege een op risico gebaseerd toegangsbeleid.
      • Gebruikers die risico's hebben opgelost door een on-premises wachtwoordherstel.
      • Gebruikers die risico's hebben opgelost door een cloudwachtwoord opnieuw in te stellen.
    • Scenario's voor beleid voor aanmeldingsrisico's, zoals:
      • Aanmeldingen met een hoog risico worden niet geblokkeerd door een op risico's gebaseerd toegangsbeleid.
      • Aanmeldingen met een hoog risico kunnen niet zelf worden hersteld met behulp van meervoudige verificatie door een op risico gebaseerd toegangsbeleid.
      • Riskante aanmeldingen die niet zijn geslaagd vanwege een op risico gebaseerd toegangsbeleid.
      • Riskante aanmeldingen die worden hersteld door meervoudige verificatie.
    • Netwerkdetails, inclusief de belangrijkste IP-adressen die niet worden vermeld als een vertrouwd netwerk.

Beheerders kunnen deze informatie gebruiken om te zien welke gebruikers mogelijk gedurende een bepaalde periode worden beïnvloed als beleid voor voorwaardelijke toegang op basis van risico's is ingeschakeld.

Toegang krijgen tot de werkmap

Voor deze werkmap is niet vereist dat u beleid voor voorwaardelijke toegang maakt, zelfs niet in de modus Alleen-rapporten. De enige vereiste is dat uw aanmeldingslogboeken naar een Log Analytics-werkruimte worden verzonden. Zie het artikel Microsoft Entra Workbooks gebruiken voor meer informatie over het inschakelen van deze vereiste.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
  2. Blader naar Werkmappen voor identiteitsbewaking>en -status>.
  3. Selecteer de impactanalyse van op risico's gebaseerde toegangsbeleidswerkmap onder Identity Protection.

Zodra u zich in de werkmap bevindt, bevinden zich een aantal parameters in de rechterbovenhoek. U kunt instellen vanuit welke werkruimte de werkmap is gevuld en de handleiding in- of uitschakelen.

Schermopname waarin de parameters en de handleidingsectie van de werkmap worden gemarkeerd.

Net als elke werkmap kunt u de Kusto-querytaal (KQL)-query's bekijken of bewerken die de visuals voeden. Als u wijzigingen aanbrengt, kunt u altijd terugkeren naar de oorspronkelijke sjabloon.

Samenvatting

De eerste sectie is een samenvatting en toont het totale aantal gebruikers of sessies dat is beïnvloed tijdens het geselecteerde tijdsbereik. Als u verder omlaag schuift, zijn de bijbehorende gegevens beschikbaar.

Schermopname van de overzichtssectie van de werkmap.

De belangrijkste scenario's die in de samenvatting worden behandeld, zijn scenario's één en twee voor scenario's met gebruikers- en aanmeldingsrisico's. Deze tonen hoge gebruikers of aanmeldingen die niet zijn geblokkeerd, gevraagd om wachtwoordwijziging of herstel door MFA; wat betekent dat gebruikers met een hoog risico mogelijk nog steeds in uw omgeving zijn.

U kunt vervolgens omlaag schuiven en de details bekijken van precies wie die gebruikers zouden zijn. Elk samenvattingsonderdeel bevat bijbehorende details die volgen.

Scenario's voor gebruikersrisico's

Schermopname van de secties over gebruikersrisico's van de werkmap.

Scenario's voor gebruikersrisico's drie en vier helpen u als u al een op risico gebaseerd toegangsbeleid hebt ingeschakeld; ze tonen gebruikers die hun wachtwoord of gebruikers met een hoog risico hebben gewijzigd die zijn geblokkeerd om zich aan te melden vanwege uw op risico's gebaseerde toegangsbeleid. Als er nog steeds gebruikers met een hoog risico worden weergegeven in scenario's met gebruikersrisico's één en twee (niet worden geblokkeerd of niet wordt gevraagd om wachtwoordwijziging) wanneer u dacht dat ze allemaal in deze buckets zouden vallen, zijn er mogelijk hiaten in uw beleid.

Scenario's voor aanmeldingsrisico's

Schermopname van de secties voor aanmeldingsrisico's van de werkmap.

Laten we vervolgens kijken naar scenario's met aanmeldingsrisico's drie en vier. Als u MFA gebruikt, hebt u waarschijnlijk hier activiteit, zelfs als u geen op risico's gebaseerd toegangsbeleid hebt ingeschakeld. Aanmeldingsrisico's worden automatisch hersteld wanneer MFA is uitgevoerd. Scenario vier kijkt naar de aanmeldingen met een hoog risico die niet zijn geslaagd vanwege op risico's gebaseerd toegangsbeleid. Als u beleid hebt ingeschakeld, maar nog steeds aanmeldingen ziet die u verwacht te worden geblokkeerd of hersteld met MFA, hebt u mogelijk hiaten in uw beleid. Als dat het geval is, raden we u aan uw beleid te controleren en de sectie details van deze werkmap te gebruiken om eventuele hiaten te onderzoeken.

Scenario's 5 en 6 voor scenario's met gebruikersrisico's laten zien dat herstel plaatsvindt. In deze sectie krijgt u inzicht in het aantal gebruikers dat hun wachtwoord wijzigt van on-premises of via selfservice voor wachtwoordherstel (SSPR). Als deze getallen niet zinvol zijn voor uw omgeving, bijvoorbeeld dat SSPR niet is ingeschakeld, gebruikt u de details om te onderzoeken.

Aanmeldingsscenario 5, IP-adressen die niet worden vertrouwd, geeft de IP-adressen weer van alle aanmeldingen in het geselecteerde tijdsbereik en geeft deze IP-adressen weer die niet als vertrouwd worden beschouwd.

Scenario's voor beleid voor federatieve aanmeldingsrisico's

Voor klanten die meerdere id-providers gebruiken, is de volgende sectie handig om te zien of er riskante sessies worden omgeleid naar die externe providers voor MFA of voor andere vormen van herstel. In deze sectie kunt u inzicht krijgen in waar herstel plaatsvindt en of dit gebeurt zoals verwacht. Om deze gegevens in te vullen, moet 'federatedIdpMfaBehavior' worden ingesteld in uw federatieve omgeving om MFA af te dwingen die afkomstig is van een federatieve id-provider.

Schermopname van de scenario's voor het beleid voor federatieve aanmeldingsrisico's van de werkmap.

Verouderde beleidsregels voor identiteitsbeveiliging

In de volgende sectie wordt bijgehouden hoeveel verouderde gebruikers- en aanmeldingsbeleidsregels zich nog in uw omgeving bevinden en moeten worden gemigreerd tegen oktober 2026. Het is belangrijk dat u op de hoogte bent van deze tijdlijn en zo snel mogelijk begint met het migreren van beleid naar de portal voor voorwaardelijke toegang. U wilt voldoende tijd hebben om het nieuwe beleid te testen, overbodige of gedupliceerde beleidsregels op te schonen en te controleren of er geen hiaten in de dekking zijn. U kunt meer lezen over het migreren van verouderde beleidsregels door deze koppeling te volgen, Risicobeleid migreren.

Schermopname van de sectie Verouderd Identity Protection-beleid van de werkmap.

Details van vertrouwd netwerk

Deze sectie bevat een gedetailleerde lijst met ip-adressen die niet als vertrouwd worden beschouwd. Waar komen deze IP-adressen vandaan, wie is eigenaar? Moeten ze worden beschouwd als 'vertrouwd'? Deze oefening kan een teamoverschrijdende inspanning met uw netwerkbeheerders zijn; Het is echter handig om te doen omdat het hebben van een nauwkeurige vertrouwde IP-lijst helpt om fout-positieve risicodetecties te verminderen. Als er een IP-adres is dat er twijfelachtige uitziet voor uw omgeving, is het tijd om te onderzoeken.

Schermopname van de sectie vertrouwd netwerk van de werkmap.

Veelgestelde vragen:

Wat gebeurt er als ik Microsoft Entra niet gebruik voor meervoudige verificatie?

Als u geen meervoudige verificatie van Microsoft Entra gebruikt, ziet u mogelijk nog steeds aanmeldingsrisico's in uw omgeving als u een niet-Microsoft MFA-provider gebruikt. Met externe verificatiemethoden kunt u risico's oplossen wanneer u een niet-Microsoft MFA-provider gebruikt.

Wat gebeurt er als ik in een hybride omgeving ben?

Gebruikersrisico's kunnen zelf worden hersteld met behulp van een veilige wachtwoordwijziging als selfservice voor wachtwoordherstel is ingeschakeld met wachtwoord terugschrijven. Als alleen wachtwoord-hashsynchronisatie is ingeschakeld, kunt u overwegen om on-premises wachtwoordherstel in te schakelen om gebruikersrisico's op te lossen.

Ik heb net een waarschuwing met een hoog risico ontvangen, maar ze worden niet weergegeven in dit rapport?

Als de gebruiker een hoog risico krijgt, maar zich nog niet heeft aangemeld, ziet u deze niet in dit rapport. In het rapport worden alleen aanmeldingslogboeken gebruikt om deze gegevens te vullen. Als u gebruikers met een hoog risico hebt die zich niet hebben aangemeld, worden ze niet meegeteld in dit rapport.

Volgende stappen