Korygowanie zagrożeń i odblokowywanie użytkowników

Po zakończeniu badania należy podjąć działania w celu skorygowania ryzykownych użytkowników lub odblokowania ich. Organizacje mogą włączyć zautomatyzowane korygowanie, konfigurując zasady oparte na ryzyku. Organizacje powinny starać się zbadać i skorygować wszystkich ryzykownych użytkowników w danym okresie, z którego organizacja jest komfortowo. Microsoft zaleca szybkie działanie, ponieważ czas ma znaczenie podczas pracy z ryzykiem.

Korygowanie ryzyka

Wszystkie aktywne wykrycia ryzyka przyczyniają się do obliczania poziomu ryzyka użytkownika. Poziom ryzyka użytkownika jest wskaźnikiem (niskim, średnim, wysokim) prawdopodobieństwa naruszenia zabezpieczeń konta użytkownika. Jako administrator po dokładnym zbadaniu ryzykownych użytkowników i odpowiednich ryzykownych logowaniu i wykrywaniu chcesz skorygować ryzykownych użytkowników, aby nie byli już narażeni i nie zostaną zablokowani.

Niektóre wykrycia ryzyka i odpowiednie ryzykowne logowania mogą być oznaczone przez usługę Identity Protection jako odrzucone ze stanem ryzyka "Odrzucone" i szczegóły ryzyka "Azure AD Identity Protection ocenione logowanie", ponieważ te zdarzenia nie były już zdeterminowane, aby były ryzykowne.

Administratorzy mają następujące opcje korygowania:

  • Konfigurowanie zasad opartych na ryzyku , aby umożliwić użytkownikom samodzielne korygowanie ryzyka
  • Ręczne resetowanie hasła
  • Odrzucenie ryzyka związanego z użytkownikiem

Samodzielne korygowanie przy użyciu zasad opartych na ryzyku

Możesz zezwolić użytkownikom na samodzielne korygowanie ryzyka związanego z logowaniem i ryzykiem związanym z użytkownikiem, konfigurując zasady oparte na ryzyku. Jeśli użytkownicy przejdą wymaganą kontrolę dostępu, taką jak Azure AD uwierzytelnianie wieloskładnikowe (MFA) lub bezpieczna zmiana hasła, ich ryzyko zostanie automatycznie skorygowane. Odpowiednie wykrycia ryzyka, ryzykowne logowania i ryzykowni użytkownicy będą zgłaszani ze stanem ryzyka "Skorygowane" zamiast "Ryzykowne".

Poniżej przedstawiono wymagania wstępne dotyczące użytkowników przed zastosowaniem do nich zasad opartych na ryzyku, aby umożliwić samodzielne korygowanie ryzyka:

  • Aby przeprowadzić uwierzytelnianie wieloskładnikowe w celu samodzielnego skorygowania ryzyka związanego z logowaniem:
    • Użytkownik musi zarejestrować się w celu Azure AD uwierzytelniania wieloskładnikowego.
  • Aby przeprowadzić bezpieczną zmianę hasła w celu samodzielnego skorygowania ryzyka związanego z użytkownikiem:
    • Użytkownik musi zarejestrować się w celu Azure AD uwierzytelniania wieloskładnikowego.
    • W przypadku użytkowników hybrydowych synchronizowanych ze środowiska lokalnego do chmury należy włączyć funkcję zapisywania zwrotnego haseł.

Jeśli zasady oparte na ryzyku są stosowane do użytkownika podczas logowania przed spełnieniem powyższych wymagań wstępnych, użytkownik zostanie zablokowany, ponieważ nie będzie mógł wykonać wymaganej kontroli dostępu, a interwencja administratora będzie wymagana do odblokowania użytkownika.

Zasady oparte na ryzyku są konfigurowane na podstawie poziomów ryzyka i będą stosowane tylko wtedy, gdy poziom ryzyka logowania lub użytkownika jest zgodny ze skonfigurowanym poziomem. Niektóre wykrycia mogą nie zwiększać ryzyka do poziomu, na którym będą stosowane zasady, a administratorzy będą musieli ręcznie obsługiwać tych ryzykownych użytkowników. Administratorzy mogą określić, że konieczne są dodatkowe środki, takie jak blokowanie dostępu z lokalizacji lub obniżanie dopuszczalnego ryzyka w zasadach.

Samodzielne korygowanie przy użyciu samoobsługowego resetowania hasła

Jeśli użytkownik zarejestrował się na potrzeby samoobsługowego resetowania hasła (SSPR), może również skorygować własne ryzyko użytkownika, wykonując samoobsługowe resetowanie hasła.

Ręczne resetowanie hasła

Jeśli nie jest możliwe wymaganie resetowania hasła przy użyciu zasad ryzyka związanego z użytkownikiem, administratorzy mogą skorygować ryzykownego użytkownika, wymagając zresetowania hasła.

Administratorzy otrzymują dwie opcje resetowania hasła dla użytkowników:

  • Generowanie hasła tymczasowego — generując tymczasowe hasło, możesz natychmiast przywrócić tożsamość do bezpiecznego stanu. Ta metoda wymaga skontaktowania się z użytkownikami, których dotyczy problem, ponieważ muszą wiedzieć, jakie jest hasło tymczasowe. Ponieważ hasło jest tymczasowe, użytkownik jest monitowany o zmianę hasła na coś nowego podczas następnego logowania.

  • Wymagaj od użytkownika zresetowania hasła — wymaganie od użytkowników zresetowania haseł umożliwia samodzielne odzyskiwanie bez kontaktowania się z pomocą techniczną lub administratorem. Ta metoda dotyczy tylko użytkowników zarejestrowanych w usłudze Azure AD uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. W przypadku użytkowników, którzy nie zostali zarejestrowani, ta opcja nie jest dostępna.

Odrzucenie ryzyka związanego z użytkownikiem

Jeśli po zbadaniu i potwierdzeniu, że konto użytkownika nie jest zagrożone naruszeniem zabezpieczeń, możesz odrzucić ryzykownego użytkownika.

Aby odrzucić ryzyko związane z użytkownikiem, wyszukaj i wybierz pozycję Azure AD Ryzykowni użytkownicy w portalu Azure Portal lub Entra, wybierz użytkownika, którego dotyczy problem, a następnie wybierz pozycję Odrzuć ryzyko użytkowników.

Po wybraniu pozycji Odrzuć ryzyko związane z użytkownikiem użytkownik nie będzie już narażony, a wszystkie ryzykowne logowania tego użytkownika i odpowiednie wykrycia ryzyka również zostaną odrzucone.

Ponieważ ta metoda nie ma wpływu na istniejące hasło użytkownika, nie przywraca tożsamości do bezpiecznego stanu.

Stan ryzyka i szczegóły oparte na zwolnieniu ryzyka

  • Ryzykowny użytkownik:
    • Stan ryzyka: "Zagrożone" —> "Odrzucono"
    • Szczegóły ryzyka (szczegóły korygowania ryzyka): "-" —> "Administracja odrzucił wszystkie ryzyko dla użytkownika"
  • Wszystkie ryzykowne logowania tego użytkownika i odpowiednie wykrycia ryzyka:
    • Stan ryzyka: "Zagrożone" —> "Odrzucono"
    • Szczegóły ryzyka (szczegóły korygowania ryzyka): "-" —> "Administracja odrzucił wszystkie ryzyko dla użytkownika"

Potwierdzanie naruszenia zabezpieczeń użytkownika

Jeśli po zbadaniu konto zostanie potwierdzone z naruszeniem zabezpieczeń:

  1. Wybierz zdarzenie lub użytkownika w raportach Ryzykownych logowań lub Ryzykownych użytkowników , a następnie wybierz pozycję "Potwierdź naruszenie zabezpieczeń".
  2. Jeśli zasady oparte na ryzyku nie zostały wyzwolone, a ryzyko nie zostało skorygowane samodzielnie, wykonaj co najmniej jedną z następujących czynności:
    1. Zażądaj zresetowania hasła.
    2. Zablokuj użytkownika, jeśli podejrzewasz, że osoba atakująca może zresetować hasło lub wykonać uwierzytelnianie wieloskładnikowe za użytkownika.
    3. Odwołaj tokeny odświeżania.
    4. Wyłącz wszystkie urządzenia , które są uznawane za naruszone.
    5. W przypadku korzystania z ciągłej oceny dostępu odwołaj wszystkie tokeny dostępu.

Aby uzyskać więcej informacji na temat tego, co się dzieje podczas potwierdzania naruszenia zabezpieczeń, zobacz sekcję Jak należy przekazać opinię na temat ryzyka i co się dzieje pod maską?.

Usunięci użytkownicy

Administratorzy nie mogą odrzucać ryzyka dla użytkowników, którzy zostali usunięci z katalogu. Aby usunąć usuniętych użytkowników, otwórz zgłoszenie do pomocy technicznej Microsoft.

Odblokowywanie użytkowników

Administrator może zablokować logowanie na podstawie zasad ryzyka lub badań. Może wystąpić blokada na podstawie ryzyka związanego z logowaniem lub użytkownikiem.

Odblokowywanie na podstawie ryzyka związanego z użytkownikiem

Aby odblokować konto zablokowane z powodu ryzyka związanego z użytkownikiem, administratorzy mają następujące opcje:

  1. Resetowanie hasła — możesz zresetować hasło użytkownika. Jeśli bezpieczeństwo użytkownika zostało naruszone lub może zostać naruszone, hasło użytkownika powinno zostać zresetowane, aby chronić swoje konto i organizację.
  2. Odrzucanie ryzyka związanego z użytkownikiem — zasady ryzyka związanego z użytkownikiem blokują użytkownika, jeśli osiągnięto skonfigurowany poziom ryzyka związanego z blokowaniem dostępu. Jeśli po zbadaniu masz pewność, że użytkownik nie jest narażony na naruszenie zabezpieczeń i jest bezpieczny, aby zezwolić na dostęp, możesz zmniejszyć poziom ryzyka użytkownika, odrzucając ryzyko użytkownika.
  3. Wyklucz użytkownika z zasad — jeśli uważasz, że bieżąca konfiguracja zasad logowania powoduje problemy dla określonych użytkowników i można bezpiecznie udzielić im dostępu bez stosowania tych zasad, możesz je wykluczyć z tych zasad. Aby uzyskać więcej informacji, zobacz sekcję Wykluczenia w artykule Instrukcje: konfigurowanie i włączanie zasad ryzyka.
  4. Wyłącz zasady — jeśli uważasz, że konfiguracja zasad powoduje problemy dla wszystkich użytkowników, możesz wyłączyć zasady. Aby uzyskać więcej informacji, zobacz artykuł How To: Configure and enable risk policies (Instrukcje: konfigurowanie i włączanie zasad ryzyka).

Odblokowywanie na podstawie ryzyka związanego z logowaniem

Aby odblokować konto na podstawie ryzyka związanego z logowaniem, administratorzy mają następujące opcje:

  1. Logowanie ze znanej lokalizacji lub urządzenia — częstą przyczyną zablokowanych podejrzanych logowań są próby logowania z nieznanych lokalizacji lub urządzeń. Użytkownicy mogą szybko określić, czy jest to przyczyna blokowania, próbując zalogować się ze znanej lokalizacji lub urządzenia.
  2. Wykluczenie użytkownika z zasad — jeśli uważasz, że bieżąca konfiguracja zasad logowania powoduje problemy dla określonych użytkowników, możesz wykluczyć z niej użytkowników. Aby uzyskać więcej informacji, zobacz sekcję Wykluczenia w artykule Instrukcje: konfigurowanie i włączanie zasad ryzyka.
  3. Wyłącz zasady — jeśli uważasz, że konfiguracja zasad powoduje problemy dla wszystkich użytkowników, możesz wyłączyć zasady. Aby uzyskać więcej informacji, zobacz artykuł How To: Configure and enable risk policies (Instrukcje: konfigurowanie i włączanie zasad ryzyka).

PowerShell (wersja zapoznawcza)

Korzystając z modułu Microsoft Graph PowerShell SDK w wersji zapoznawczej, organizacje mogą zarządzać ryzykiem przy użyciu programu PowerShell. Moduły w wersji zapoznawczej i przykładowy kod można znaleźć w repozytorium GitHub usługi Azure AD.

Skrypt Invoke-AzureADIPDismissRiskyUser.ps1 zawarty w repozytorium umożliwia organizacjom odrzucanie wszystkich ryzykownych użytkowników w katalogu.

Następne kroki

Aby zapoznać się z omówieniem usługi Azure AD Identity Protection, zobacz omówienie usługi Azure AD Identity Protection.