Investigar o risco com a Proteção de Identidade na ID externa do Microsoft Entra
Aplica-se a: 
Locatários da força de trabalho 
Locatários externos (saiba mais)
O Microsoft Entra Identity Protection fornece detecção contínua de riscos para seu locatário externo. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. A Proteção de Identidade tem relatórios de risco que podem ser usados para investigar os riscos de identidade em locatários externos. Neste artigo, você aprenderá a investigar e mitigar os riscos.
Relatório de Identity Protection
O Identity Protection fornece dois relatórios. O relatório de Usuários suspeitos é o local em que os administradores podem descobrir quais usuários estão em risco e detalhes sobre as detecções. O relatório de detecções de risco fornece informações sobre cada detecção de risco. Esse relatório inclui o tipo de risco, outros riscos disparados ao mesmo tempo, o local da tentativa de entrada e muito mais.
Cada relatório é iniciado com uma lista de todas as detecções do período que aparece na parte superior do relatório. Os relatórios podem ser filtrados usando-se os filtros na parte superior do relatório. Os administradores podem optar por baixar os dados ou usar a API do MS Graph e o SDK do Microsoft Graph para PowerShell para exportar os dados continuamente.
Limitações e considerações do serviço
Considere os seguintes pontos ao usar o Identity Protection:
- O Identity Protection não está disponível em locatários de avaliação.
- Por padrão, o Identity Protection está ativado.
- O Identity Protection está disponível para identidades locais e sociais, como Google ou Facebook. A detecção é limitada porque o provedor de identidade externo gerencia as credenciais da conta de rede social.
- Atualmente, nos locatários externos do Microsoft Entra, um subconjunto das Detecções de risco da Proteção do Microsoft Entra ID está disponível. A ID Externa do Microsoft Entra dá suporte às seguintes detecções de risco:
| Tipo de detecção de risco | Descrição |
|---|---|
| Viagem atípica | Conexão proveniente de uma localização atípica com base nas conexões recentes do usuário. |
| Endereço IP anônimo | Conexão de um endereço IP anônimo (por exemplo: navegador Tor, VPNs para anonimato). |
| Endereço IP vinculado a malware | Conexão de um endereço IP vinculado a malware. |
| Propriedades de entrada desconhecidas | Conexão com propriedades que não foram vistas recentemente para o usuário especificado. |
| Usuário comprometido confirmado pelo administrador | Um administrador indicou que um usuário foi comprometido. |
| Pulverização de senha | Conexão por meio de um ataque de pulverização de senha. |
| Inteligência contra ameaças do Microsoft Entra | As fontes internas e externas de inteligência contra ameaças da Microsoft identificaram um padrão de ataque conhecido. |
Investigar usuários arriscados
Com as informações fornecidas pelo relatório de usuários suspeitos, os administradores podem descobrir:
- No Estado de risco, mostrando, entre os usuários que estão Em risco, quais tiveram o risco Corrigido ou Ignorado
- Detalhes sobre as detecções
- Histórico de todas as entradas suspeitas
- Histórico de risco
Depois, os administradores poderão optar por tomar medidas sobre esses eventos. Os administradores podem escolher:
- Redefinir a senha do usuário
- Confirmar usuário comprometido
- Ignorar o risco do usuário
- Bloquear a entrada de um usuário
- Investigar mais usando o ATP do Azure
Um administrador pode optar por ignorar o risco de um usuário no centro de administrador do Microsoft Entra ou programaticamente por meio da API do Microsoft Graph Ignorar o Risco do Usuário. São necessários privilégios de administrador para ignorar o risco de um usuário. O usuário suspeito ou um administrador trabalhando em nome do usuário pode remediar o risco, por exemplo, redefinindo a senha.
Navegando no relatório de usuários suspeitos
Verifique se você está usando o diretório que contém o locatário externo do Microsoft Entra: selecione o ícone Configurações
na barra de ferramentas e localize o locatário externo no menu Diretórios + assinaturas. Se não for o diretório atual, selecione Alternar.Navegue até Identidade>Proteção>Central de Segurança.
Selecione Identity Protection.
Em Relatório, selecione Usuários suspeitos.
A seleção de entradas individuais expande uma janela de detalhes abaixo das detecções. A exibição de detalhes permite que os administradores investiguem e executem ações em cada detecção.
Relatório de detecções de risco
O relatório de detecções de risco contém dados filtráveis para até os últimos 90 dias (três meses).
Com as informações fornecidas pelo relatório de detecções de risco, os administradores podem descobrir:
- Informações sobre cada detecção de risco, incluindo o tipo.
- Outros riscos disparados ao mesmo tempo.
- Local da tentativa de entrada.
Depois, os administradores poderão optar por retornar ao relatório de risco ou de entradas do usuário para executar ações com base nas informações coletadas.
Como navegar no relatório de detecções de risco
Navegue até Identidade>Proteção>Central de Segurança.
Selecione Identity Protection.
Em Relatório, escolha Detecções de risco.