Często zadawane pytania dotyczące usługi Identity Protection w usłudze Azure Active Directory

Odrzucanie znanych problemów dotyczących ryzyka związanego z użytkownikiem

Odrzuć ryzyko użytkownika w klasycznej usłudze Identity Protection ustawia aktora w historii ryzyka użytkownika w usłudze Identity Protection, aby Azure AD.

Odrzuć ryzyko użytkownika w usłudze Identity Protection ustawia aktora w historii ryzyka użytkownika w usłudze Identity Protection w celu <Administracja nazwy z hiperlinkiem wskazującym blok> użytkownika.

Występuje obecny znany problem powodujący opóźnienie w przepływie odrzucania ryzyka użytkownika. Jeśli masz zasady "Zasady ryzyka użytkownika", te zasady przestaną być stosowane do odrzuconych użytkowników w ciągu kilku minut od kliknięcia pozycji "Odrzuć ryzyko użytkownika". Istnieją jednak znane opóźnienia odświeżania środowiska użytkownika "Stan ryzyka" odrzuconych użytkowników. Aby obejść ten problem, odśwież stronę na poziomie przeglądarki, aby wyświetlić najnowszego użytkownika "Stan ryzyka".

Często zadawane pytania

Dlaczego użytkownik stwarza zagrożenie?

Jeśli jesteś klientem usługi Azure AD Identity Protection, przejdź do widoku ryzykownych użytkowników i wybierz ryzykownego użytkownika. W szufladzie u dołu na karcie "Historia ryzyka" zostaną wyświetlone wszystkie zdarzenia, które doprowadziły do zmiany ryzyka użytkownika. Aby wyświetlić wszystkie ryzykowne logowania dla użytkownika, wybierz pozycję "Ryzykowne logowania użytkownika". Aby wyświetlić wszystkie wykrycia ryzyka dla tego użytkownika, wybierz pozycję "Wykrywanie ryzyka użytkownika".

Dlaczego logowanie zostało zablokowane, ale usługa Identity Protection nie wygenerowała wykrycia ryzyka?

Logowania mogą być blokowane z kilku powodów. Należy pamiętać, że usługa Identity Protection generuje wykrywanie ryzyka tylko wtedy, gdy w żądaniu uwierzytelniania są używane poprawne poświadczenia. Jeśli użytkownik używa nieprawidłowych poświadczeń, nie będzie oflagowany przez usługę Identity Protection, ponieważ nie ma ryzyka naruszenia poświadczeń, chyba że nieprawidłowy aktor używa poprawnych poświadczeń. Niektóre przyczyny, dla których użytkownik może być zablokowany przed podpisaniem, które nie spowoduje wygenerowania wykrywania usługi Identity Protection, to:

  • Adres IP może zostać zablokowany z powodu złośliwego działania z adresu IP. Komunikat o zablokowanym adresie IP nie różni się od tego, czy poświadczenia były poprawne, czy nie. Jeśli adres IP jest zablokowany i nie są używane poprawne poświadczenia, nie wygeneruje wykrywania usługi Identity Protection
  • Blokada inteligentna może zablokować logowanie konta po wielu nieudanych próbach
  • Można wymusić zasady dostępu warunkowego , które używają warunków innych niż poziom ryzyka w celu blokowania żądania uwierzytelniania

Jak mogę uzyskać raport o wykryciu określonego typu?

Przejdź do widoku wykrywania ryzyka i filtruj według pozycji "Typ wykrywania". Następnie możesz pobrać ten raport w .CSV lub . Format JSON przy użyciu przycisku Pobierz u góry. Aby uzyskać więcej informacji, zobacz artykuł Instrukcje: Badanie ryzyka.

Dlaczego nie mogę ustawić własnych poziomów ryzyka dla każdego wykrywania ryzyka?

Poziomy ryzyka w usłudze Identity Protection są oparte na precyzji wykrywania i obsługiwanego przez nasze nadzorowane uczenie maszynowe. Aby dostosować środowisko, które użytkownicy są prezentowani, administrator może uwzględnić/wykluczyć niektórych użytkowników/grup z obszaru Ryzyko użytkownika i Sign-In zasady ryzyka.

Dlaczego lokalizacja logowania nie odpowiada miejscu, z którego użytkownik faktycznie się zalogował?

Mapowanie geolokalizacji adresów IP stanowi wyzwanie dla całej branży. Jeśli uważasz, że lokalizacja wymieniona w raporcie logowania nie jest zgodna z rzeczywistą lokalizacją, skontaktuj się z pomocą techniczną firmy Microsoft.

Jak mogę zamknąć określone wykrycia ryzyka, tak jak w starym interfejsie użytkownika?

Możesz przekazać opinię na temat wykrywania ryzyka, potwierdzając połączone logowanie jako naruszone lub bezpieczne. Opinia udzielona na temat logowania sprowadza się do wszystkich wykryć wprowadzonych w tym logowaniu. Jeśli chcesz zamknąć wykrywanie, które nie są połączone z logowaniem, możesz przekazać te opinie na poziomie użytkownika. Aby uzyskać więcej informacji, zobacz artykuł How to: Give risk feedback in Azure AD Identity Protection (Porady: przekazywanie opinii o ryzyku w usłudze Azure AD Identity Protection).

Jak daleko mogę wrócić w czasie, aby zrozumieć, co się dzieje z moim użytkownikiem?

Jak dowiedzieć się więcej na temat konkretnego wykrywania?

Wszystkie wykrycia ryzyka są udokumentowane w artykule Co to jest ryzyko. Możesz umieścić wskaźnik myszy na symbolu (i) obok wykrywania w Azure Portal, aby dowiedzieć się więcej na temat wykrywania.

Jak działają mechanizmy opinii w usłudze Identity Protection?

Potwierdzenie naruszenia zabezpieczeń (podczas logowania) — informuje Azure AD Identity Protection, że logowanie nie zostało wykonane przez właściciela tożsamości i wskazuje na naruszenie zabezpieczeń.

  • Po otrzymaniu tej opinii przenosimy stan ryzyka logowania i użytkownika do poziomu Potwierdzono naruszone bezpieczeństwo i poziom ryzyka na Wysoki.

  • Ponadto udostępniamy informacje naszym systemom uczenia maszynowego na potrzeby przyszłych ulepszeń oceny ryzyka.

    Uwaga

    Jeśli użytkownik jest już skorygowany, nie wybieraj pozycji Potwierdź naruszone , ponieważ przenosi stan logowania i ryzyka użytkownika na Potwierdzono naruszone bezpieczeństwo i poziom ryzyka na Wysoki.

Potwierdź bezpieczeństwo (podczas logowania) — informuje Azure AD Identity Protection, że logowanie zostało wykonane przez właściciela tożsamości i nie wskazuje naruszenia zabezpieczeń.

  • Po otrzymaniu tej opinii przenosimy stan ryzyka logowania (a nie użytkownika) na Wartość Potwierdzono bezpieczne i poziom ryzyka na Wartość Brak.

  • Ponadto udostępniamy informacje naszym systemom uczenia maszynowego na potrzeby przyszłych ulepszeń oceny ryzyka.

    Uwaga

    Obecnie wybranie opcji Potwierdź bezpieczne logowanie nie uniemożliwia zalogowania się w przyszłości z tymi samymi właściwościami, które są oflagowane jako ryzykowne. Najlepszym sposobem trenowania systemu w celu uzyskania informacji o właściwościach użytkownika jest użycie ryzykownych zasad logowania za pomocą uwierzytelniania wieloskładnikowego. Gdy zostanie wyświetlony monit o zalogowanie ryzykowne dla uwierzytelniania wieloskładnikowego, a użytkownik pomyślnie odpowie na żądanie, logowanie może zakończyć się powodzeniem i pomóc w wytrenowaniu systemu w prawidłowym zachowaniu użytkownika.

    Jeśli uważasz, że użytkownik nie został naruszony, użyj opcji Odrzuć ryzyko użytkownika na poziomie użytkownika zamiast użyć opcji Potwierdzono bezpieczne na poziomie logowania. Odrzucenie ryzyka użytkownika na poziomie użytkownika zamyka ryzyko użytkownika i wszystkie wcześniejsze ryzykowne logowania i wykrycia ryzyka.

Dlaczego widzę użytkownika o niskiej ocenie ryzyka (lub powyżej poziomu ryzyka), nawet jeśli w usłudze Identity Protection nie są wyświetlane ryzykowne logowania ani wykrycia ryzyka?

Biorąc pod uwagę, że ryzyko użytkownika ma charakter skumulowany i nie wygasa, użytkownik może mieć ryzyko wystąpienia niskiego lub wyższego ryzyka, nawet jeśli nie ma ostatnich ryzykownych logów ani wykrywania ryzyka w usłudze Identity Protection. Taka sytuacja może wystąpić, jeśli jedyne złośliwe działanie użytkownika miało miejsce poza przedziałem czasu, dla którego przechowujemy szczegóły ryzykownych logowań i wykrywania ryzyka. Nie wygasamy ryzyka związanego z użytkownikiem, ponieważ źli aktorzy byli znani, aby pozostać w środowisku klientów w ciągu 140 dni za naruszoną tożsamością przed zwiększeniem ich ataku. Klienci mogą przejrzeć oś czasu ryzyka użytkownika, aby zrozumieć, dlaczego użytkownik jest zagrożony, przechodząc do: Azure portal > Azure Active Directory > Risky users report > select an at-risk user > details drawer > Risk history tab

Dlaczego logowanie ma wynik "ryzyko logowania (agregacja)" wysoki, gdy wykrycia skojarzone z nim są o niskim lub średnim ryzyku?

Wysoki zagregowany wynik ryzyka może być oparty na innych funkcjach logowania lub o tym, że dla tego logowania jest wyzwolonych więcej niż jedno wykrywanie. I odwrotnie, logowanie może mieć ryzyko logowania (agregacja) medium, nawet jeśli wykrycia skojarzone z logowaniem są wysokiego ryzyka.

Jaka jest różnica między wykrywaniem "Aktywność z anonimowego adresu IP" i "Anonimowy adres IP"?

Źródło wykrywania "Anonimowego adresu IP" jest Azure AD Identity Protection, podczas gdy wykrywanie "Działanie z anonimowego adresu IP" jest zintegrowane z Microsoft Defender for Cloud Apps). Chociaż mają podobne nazwy i mogą pojawić się nakładające się na nie sygnały, mają one różne wykrycia zaplecza.