Corrigir riscos e desbloquear usuários

Depois de concluir a investigação, você precisará tomar medidas para corrigir os usuários suspeitos ou desbloqueá-los. As organizações podem habilitar a correção automatizada configurando políticas baseadas em risco. As organizações devem tentar investigar e corrigir todos os usuários suspeitos em um período ideal para a organização. A Microsoft recomenda que sejam tomadas ações rápidas, pois o tempo é fundamental ao lidar com riscos.

Correção de risco

Todas as detecções de risco ativo contribuem para o cálculo do nível de risco do usuário. O nível de risco do usuário é um indicador (baixo, médio, alto) da probabilidade de que uma conta tenha sido comprometida. Como administrador, após uma investigação completa dos usuários de risco e das respectivas detecções e entradas de risco, você deseja corrigir os usuários de risco para que eles não corram mais riscos e não sejam bloqueados.

O Microsoft Entra ID Protection marca algumas detecções de risco e as entradas de risco correspondentes como Ignoradas com o estado de risco Ignorado e o detalhe do risco O Microsoft Entra ID Protection avaliou a entrada segura. Ele toma essa medida porque esses eventos não foram mais considerados de risco.

Os administradores têm as seguintes opções para corrigir:

• Configure as políticas baseadas em riscos para permitir que os usuários corrijam seus próprios riscos.
• Redefinir a senha manualmente.
• Ignorar o risco do usuário.
• Corrigir no Microsoft Defender para Identidade.

Autocorreção com a política baseada em risco

Você pode permitir que os usuários autocorrijam os riscos de entrada e os riscos do usuário configurando políticas baseadas em risco. Se os usuários passarem pelo controle de acesso necessário, como autenticação multifator ou alteração segura de senha, seus riscos serão corrigidos automaticamente. As detecções de risco, as entradas suspeitas e os usuários suspeitos correspondentes são relatados com o estado de risco Corrigido em vez de Em risco.

Os pré-requisitos para os usuários antes que as políticas baseadas em risco possam ser aplicadas para permitir a autocorreção de riscos são:

• Para executar a MFA para autocorrigir um risco de entrada:
  • O usuário deve ter se registrado para a autenticação multifator do Microsoft Entra.
• Para executar uma alteração de senha segura a fim de autocorrigir um risco do usuário:
  • O usuário deve ter se registrado para a autenticação multifator do Microsoft Entra.
  • O write-back de senha deve ser habilitado para usuários híbridos sincronizados do local para a nuvem.

Se uma política baseada em risco for aplicada a um usuário durante a entrada antes que os pré-requisitos acima sejam atendidos, o usuário será bloqueado. Essa ação de bloqueio ocorre porque eles não conseguem executar o controle de acesso necessário, exigindo a intervenção do administrador para desbloquear o usuário.

As políticas baseadas em risco são configuradas com base em níveis de risco e só são aplicadas se o nível de risco da entrada ou do usuário corresponder ao nível configurado. Algumas detecções podem não aumentar o risco até o nível em que a política se aplica, fazendo com que os administradores precisem lidar com esses usuários suspeitos manualmente. Os administradores podem determinar que medidas extras são necessárias, como bloquear o acesso de locais ou reduzir o risco aceitável em suas políticas.

Autocorreção com redefinição de senha por autoatendimento

Se um usuário tiver se registrado na SSPR (redefinição de senha self-service), ele poderá corrigir seu próprio risco de usuário executando uma redefinição de senha self-service.

Redefinição de senha manual

Se não houver a opção de exigir uma redefinição de senha usando uma política de risco do usuário, ou se o tempo for essencial, os administradores poderão corrigir um usuário suspeito exigindo uma redefinição de senha.

Os administradores têm as seguintes opções:

• Gerar uma senha temporária – ao gerar uma senha temporária, você pode imediatamente deixar uma identidade em um estado seguro novamente. Esse método requer interação com os usuários afetados, pois eles precisarão saber qual é a senha temporária. Como a senha é temporária, o usuário é solicitado a alterar a senha para algo novo durante a próxima entrada.

  • Eles podem gerar senhas para usuários híbridos e de nuvem no Centro de administração do Microsoft Entra.

  • Eles podem gerar senhas para usuários híbridos a partir de um diretório local quando a sincronização de hash de senha e a configuração Permitir alteração de senha local para redefinir o risco do usuário estiverem habilitadas.

    Aviso

    Não selecione a opção O usuário deve alterar a senha no próximo logon. Não há suporte para isso.

• Exigir que o usuário redefina a senha – exigir que os usuários redefinam senhas permite a autorrecuperação sem entrar em contato com o suporte técnico nem com o administrador.

  • Usuários híbridos e de nuvem podem concluir uma alteração de senha segura. Esse método só se aplica a usuários que já podem executar a MFA. Essa opção não está disponível para usuários não registrados.
  • Os usuários híbridos podem concluir uma alteração de senha pressionando Ctrl+Alt+Del e alterando sua senha em um dispositivo Windows local ou híbrido ingressado, quando a sincronização de hash de senha e a configuração Permitir alteração de senha local para redefinir o risco do usuário estiverem habilitadas.

Permitir a redefinição de senha local para corrigir os riscos do usuário (versão prévia)

As organizações que habilitaram a sincronização de hash de senha podem permitir alterações de senha no local para corrigir o risco do usuário.

Essa configuração fornece às organizações dois novos recursos:

• Os usuários híbridos suspeitos podem se autocorrigir sem a intervenção dos administradores. Quando uma senha é alterada localmente, o risco do usuário agora é corrigido automaticamente no Microsoft Entra ID Protection, redefinindo o estado atual de risco do usuário.
• As organizações podem implantar proativamente políticas de risco do usuário que exigem alterações de senha para proteger com confiança seus usuários híbridos. Essa opção fortalece a postura de segurança da sua organização e simplifica o gerenciamento de segurança, garantindo que os riscos do usuário sejam resolvidos prontamente, mesmo em ambientes híbridos complexos.

Para definir essa configuração

1. Entre no Centro de administração do Microsoft Entra como pelo menos Operador de Segurança.
2. Navegue até Proteção>Proteção de Identidade>Configurações.
3. Marque a caixa Permitir alteração de senha no local para redefinir o risco do usuário.
4. Selecione Salvar.

Observação

Permitir a alteração de senha local para redefinir o risco do usuário é um recurso somente de aceitação. Os clientes devem avaliar esse recurso antes de habilitar em ambientes de produção. Recomendamos que os clientes protejam os fluxos de alteração ou redefinição de senha local. Por exemplo, exigir autenticação multifator antes de permitir que os usuários alterem a senha local usando uma ferramenta como o Portal de redefinição de senha self-service do Microsoft Identity Manager.

Ignorar o risco de usuário

Se após a investigação e a confirmação de que a conta de usuário não corre o risco de ser comprometida, você poderá ignorar o usuário suspeito.

Para descartar o risco do usuário como pelo menos um Operador de Segurança no centro de administração do Microsoft Entra, navegue até Proteção>Proteção de Identidade>Usuários suspeitos, selecione o usuário afetado e selecione Ignorar o risco de usuários.

Quando você seleciona Ignorar o risco do usuário, o usuário não está mais em risco e todas as entradas de risco desse usuário e as respectivas detecções de risco também são ignoradas.

Como esse método não afeta a senha existente do usuário, ele não retorna a identidade relacionada a um estado seguro.

Estado de risco e detalhes considerando um risco ignorado

• Usuário suspeito:
  • Estado de risco: "Em risco" –> "Ignorado"
  • Detalhes do risco (os detalhes de correção do risco): "-" –> "O administrador ignorou todos os riscos do usuário"
• Todas as entradas suspeitas desse usuário e as detecções de risco correspondentes:
  • Estado de risco: "Em risco" –> "Ignorado"
  • Detalhes do risco (os detalhes de correção do risco): "-" –> "O administrador ignorou todos os riscos do usuário"

Confirmar se um usuário está comprometido

Se, após a investigação, uma conta for confirmada como comprometida:

1. Selecione o evento ou usuário nos relatórios de entradas arriscadas ou usuários arriscados e escolha "confirmar comprometido".
2. Se uma política baseada em risco não foi disparada e o risco não foi autocorrigido, siga um ou mais destes procedimentos:
   1. Solicitar redefinição de senha.
   2. Bloqueie o usuário se você suspeitar de que o invasor pode redefinir a senha ou fazer a autenticação multifator para o usuário.
   3. Revogar os tokens de atualização.
   4. Desabilite todos os dispositivos considerados comprometidos.
   5. Se estiver usando avaliação de acesso contínuo, revogue todos os tokens de acesso.

Para obter mais informações sobre o que acontece ao confirmar o comprometimento, consulte a seção Como devo fornecer comentários sobre riscos e o que acontece nos bastidores?.

Usuários excluídos

Não é possível aos administradores ignorar o risco dos usuários que foram excluídos do diretório. Para remover os usuários excluídos, abra um caso de suporte da Microsoft.

Desbloqueando usuários

Um administrador pode optar por bloquear uma entrada com base em políticas de risco ou investigações. Um bloqueio pode ocorrer com base no risco da entrada ou do usuário.

Desbloqueio com base no risco do usuário

Para desbloquear uma conta bloqueada devido ao risco do usuário, os administradores têm as seguintes opções:

1. Redefinir senha - você pode redefinir a senha do usuário. Se um usuário tiver sido comprometido ou estiver em risco, a senha do usuário deverá ser redefinida para proteger a conta e a organização.
2. Ignorar risco do usuário – a política de risco do usuário bloqueia um usuário se o nível de risco do usuário configurado para bloquear o acesso tiver sido atingido. Se, após a investigação, você tiver certeza de que o usuário não corre o risco de ser comprometido e é seguro permitir o acesso dele, reduza o nível de risco do usuário ignorando o risco do usuário.
3. Excluir o usuário da política – Se você acha que a configuração atual da política de entrada está causando problemas para usuários específicos e é seguro permitir acesso a esses usuários sem aplicar essa política, exclua-os dessa política. Para obter mais informações, confira a seção Exclusões no artigo Como configurar e habilitar políticas de risco.
4. Desabilitar política - se você achar que sua configuração de política está causando problemas para todos os usuários, poderá desabilitar a política. Para obter mais informações, confira o artigo Como configurar e habilitar políticas de risco.

Desbloqueio com base no risco de entrada

Para desbloquear uma conta baseada em risco de entrada, os administradores têm as seguintes opções:

1. Entrada de um local ou dispositivo familiar – uma razão comum para entradas suspeitas bloqueadas são as tentativas de entrada de locais ou de dispositivos desconhecidos. Os usuários podem determinar rapidamente se esse é o motivo do bloqueio, tentando entrar de um dispositivo ou local familiar.
2. Excluir o usuário da política – se você acredita que a configuração atual da sua política de entrada está causando problemas para usuários específicos, você pode excluir os usuários dele. Para obter mais informações, confira a seção Exclusões no artigo Como configurar e habilitar políticas de risco.
3. Desabilitar política - se você achar que sua configuração de política está causando problemas para todos os usuários, poderá desabilitar a política. Para obter mais informações, confira o artigo Como configurar e habilitar políticas de risco.

PowerShell (versão prévia)

Ao usar o módulo de versão prévia do SDK do Microsoft Graph PowerShell, as organizações podem gerenciar riscos usando o PowerShell. Os módulos de visualização e o código de exemplo podem ser encontrados no repositório GitHub do Microsoft Entra.

O script Invoke-AzureADIPDismissRiskyUser.ps1 incluído no repositório permite que as organizações ignorem todos os usuários suspeitos em seu diretório.

Próximas etapas

Simular um alto risco do usuário