Badanie ryzyka przy użyciu ochrony identyfikatorów w Tożsamość zewnętrzna Microsoft Entra
Dotyczy:
Dzierżawcy siły roboczej — dzierżawcy zewnętrzni 
(dowiedz się więcej)
Usługa Microsoft Entra ID Protection zapewnia ciągłe wykrywanie ryzyka dla dzierżawy zewnętrznej. Umożliwia ona organizacjom odnajdywanie, badanie i korygowanie zagrożeń opartych na tożsamościach. Usługa ID Protection zawiera raporty o podwyższonym ryzyku, które mogą służyć do badania zagrożeń związanych z tożsamością w dzierżawach zewnętrznych. Z tego artykułu dowiesz się, jak badać i ograniczać ryzyko.
Raportowanie ochrony identyfikatorów
Usługa ID Protection udostępnia dwa raporty. Raport Ryzykownych użytkowników to miejsce, w którym administratorzy mogą znaleźć użytkowników zagrożonych i szczegółowe informacje o wykrywaniu. Raport dotyczący wykrywania ryzyka zawiera informacje o każdym wykryciu ryzyka. Ten raport zawiera typ ryzyka, inne czynniki ryzyka wyzwalane w tym samym czasie, lokalizację próby logowania i nie tylko.
Każdy raport jest uruchamiany z listą wszystkich wykryć dla okresu wyświetlanego w górnej części raportu. Raporty można filtrować przy użyciu filtrów w górnej części raportu. Administratorzy mogą pobierać dane lub używać interfejsu MS Graph API i zestawu SDK programu PowerShell programu Microsoft Graph do ciągłego eksportowania danych.
Ograniczenia i zagadnienia dotyczące usługi
Podczas korzystania z ochrony identyfikatorów należy wziąć pod uwagę następujące kwestie:
- Usługa ID Protection nie jest dostępna w dzierżawach wersji próbnej.
- Ochrona identyfikatorów jest domyślnie włączona.
- Usługa ID Protection jest dostępna zarówno dla tożsamości lokalnych, jak i społecznościowych, takich jak Google lub Facebook. Wykrywanie jest ograniczone, ponieważ zewnętrzny dostawca tożsamości zarządza poświadczeniami konta społecznościowego.
- Obecnie w dzierżawach zewnętrznych firmy Microsoft dostępny jest podzbiór wykrywania ryzyka Ochrona tożsamości Microsoft Entra. Tożsamość zewnętrzna Microsoft Entra obsługuje następujące wykrycia ryzyka:
| Typ wykrywania ryzyka | opis |
|---|---|
| Nietypowa podróż | Zaloguj się z nietypowej lokalizacji na podstawie ostatnich logów użytkownika. |
| Anonimowy adres IP | Zaloguj się z anonimowego adresu IP (na przykład: przeglądarka Tor, sieci VPN anonimizatora). |
| Adres IP połączony ze złośliwym oprogramowaniem | Zaloguj się ze połączonego adresu IP złośliwego oprogramowania. |
| Nieznane właściwości logowania | Zaloguj się przy użyciu właściwości, których ostatnio nie widzieliśmy dla danego użytkownika. |
| Administrator potwierdził naruszenie zabezpieczeń użytkownika | Administrator wskazał, że naruszono bezpieczeństwo użytkownika. |
| Spray haseł | Zaloguj się za pośrednictwem ataku sprayu haseł. |
| Microsoft Entra threat intelligence | Wewnętrzne i zewnętrzne źródła analizy zagrożeń firmy Microsoft zidentyfikowały znany wzorzec ataku. |
Badanie ryzykownych użytkowników
Dzięki informacjom dostarczonym przez raport Ryzykowni użytkownicy administratorzy mogą znaleźć:
- Stan ryzyka, pokazujący, którzy użytkownicy są narażeni, miał ryzyko Skorygowane lub ryzyko odrzucone
- Szczegółowe informacje o wykrywaniu
- Historia wszystkich ryzykownych logowania
- Historia ryzyka
Administratorzy mogą następnie podejmować działania na tych zdarzeniach. Administratorzy mogą wybrać:
- Resetowanie hasła użytkownika
- Potwierdzanie naruszenia zabezpieczeń użytkownika
- Odrzucenie ryzyka związanego z użytkownikiem
- Blokuj logowanie użytkownika
- Dalsze badanie przy użyciu usługi Azure ATP
Administrator może odrzucić ryzyko użytkownika w centrum administracyjnym firmy Microsoft Entra lub programowo za pomocą interfejsu API programu Microsoft Graph odrzucić ryzyko użytkownika. Uprawnienia administratora są wymagane do odrzucenia ryzyka użytkownika. Ryzykowny użytkownik lub administrator pracujący w imieniu użytkownika może skorygować ryzyko, na przykład za pomocą resetowania hasła.
Nawigowanie po raportach ryzykownych użytkowników
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Upewnij się, że używasz katalogu zawierającego zewnętrzną dzierżawę firmy Microsoft Entra: wybierz ikonę
Ustawienia na pasku narzędzi i znajdź dzierżawę zewnętrzną z menu Katalogi i subskrypcje. Jeśli nie jest to bieżący katalog, wybierz pozycję Przełącz.Przejdź do sekcji Ochrona tożsamości.>
W obszarze Raport wybierz pozycję Ryzykowni użytkownicy.
Wybranie poszczególnych wpisów spowoduje rozwinięcie okna szczegółów poniżej wykryć. Widok szczegółów umożliwia administratorom badanie i wykonywanie akcji na każdym wykryciu.
Raport dotyczący wykrywania ryzyka
Raport Wykrywanie ryzyka zawiera dane z możliwością filtrowania do ostatnich 90 dni (trzy miesiące).
Dzięki informacjom dostarczonym przez raport wykrywania ryzyka administratorzy mogą znaleźć:
- Informacje o każdym wykryciu ryzyka, w tym o typie.
- Inne zagrożenia zostały wyzwolone w tym samym czasie.
- Lokalizacja próby logowania.
Administratorzy mogą następnie wrócić do raportu o ryzyku lub logowaniu użytkownika w celu podjęcia działań na podstawie zebranych informacji.
Nawigowanie po raporcie dotyczącym wykrywania ryzyka
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do sekcji Ochrona tożsamości.>
W obszarze Raport wybierz pozycję Wykrycia ryzyka.