Pasta de trabalho: Análise de impacto das políticas de acesso baseadas em risco

Recomendamos que todos habilitem políticas de Acesso Condicional baseadas em risco, entendemos que essa implantação requer tempo, gerenciamento de alterações e, às vezes, um escrutínio cuidadoso por liderança para entender qualquer impacto indesejado. Damos aos administradores o poder de fornecer respostas com confiança a esses cenários para adotar políticas baseadas em risco necessárias para proteger seu ambiente rapidamente.

Em vez de criar políticas de Acesso Condicional baseadas em risco no modo somente relatório e esperar algumas semanas/meses para ter resultados, você pode usar a Análise de impacto das políticas de acesso baseadas em risco de pasta de trabalho, o que permite exibir o impacto imediatamente com base nos logs de entrada.

Descrição

A pasta de trabalho ajuda você a entender seu ambiente antes de habilitar políticas que podem impedir seus usuários de entrar, exigir autenticação multifator ou executar uma alteração de senha segura. Ela fornece um detalhamento com base em um intervalo de datas de sua escolha de entradas, incluindo:

• Um resumo do impacto das políticas de acesso baseadas em risco recomendadas, incluindo uma visão geral de:
  • Cenários de risco do usuário
  • Cenários de risco de entrada e de rede confiável
• Detalhes do impacto, incluindo detalhes de usuários exclusivos:
  • Cenários de risco do usuário, como:
    • Usuários de alto risco não bloqueados por uma política de acesso baseada em risco.
    • Usuários de alto risco não solicitados a alterar sua senha por uma política de acesso baseada em risco.
    • Usuários que alteraram a senha devido a uma política de acesso baseada em risco.
    • Usuários suspeitos que não se conectam com sucesso devido a uma política de acesso baseada em risco.
    • Usuários que corrigiram o risco por meio de uma redefinição de senha local.
    • Usuários que corrigiram o risco por meio de uma redefinição de senha baseada em nuvem.
  • Cenários de política de risco de entrada, como:
    • Entradas de alto risco não bloqueadas por uma política de acesso baseada em risco.
    • Entradas de alto risco sem autocorreção usando autenticação multifator por uma política de acesso baseada em risco.
    • Entradas suspeitas que não foram bem-sucedidas devido a uma política de acesso baseada em risco.
    • Entradas suspeitas corrigidas pela autenticação multifator.
  • Detalhes da rede, incluindo os principais endereços IP não listados como uma rede confiável.

Os administradores podem usar essas informações para ver quais usuários podem ser afetados durante um período de tempo se as políticas de Acesso Condicional baseadas em risco estiverem habilitadas.

Como acessar a pasta de trabalho

Esta pasta de trabalho não exige que você crie políticas de Acesso Condicional, mesmo as do modo somente relatório. O único pré-requisito é que você envie seus logs de entrada para um workspace do Log Analytics. Para obter mais informações sobre como habilitar esse pré-requisito, confira o artigo Como usar as pastas de trabalho do Microsoft Entra. Você pode acessar a pasta de trabalho diretamente na folha do Identity Protection ou ir para Pastas de trabalho para obter uma versão editável:

Na folha Proteção de identidade:

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
2. Navegue até o Relatório de Análise de Impacto da Proteção de Identidade de Proteção>>.

Nas pastas de trabalho:

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
2. Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.
3. Selecione a pasta de trabalho Análise de impacto das políticas de acesso baseadas em risco no Identity Protection.

Navegar na pasta de trabalho

Depois de estar na pasta de trabalho, há alguns parâmetros no canto superior direito. Você pode definir de qual espaço de trabalho a pasta de trabalho é preenchida e ativar ou desativar o guia.

Assim como todas as pastas de trabalho, você pode exibir ou editar o KQL (Linguagem de Consulta Kusto) consultas que estão alimentando os visuais. Se você fizer alterações, sempre poderá reverter para o modelo original.

Resumo

A primeira seção é um resumo e mostra o número agregado de usuários ou sessões afetadas durante o intervalo de tempo selecionado. Se você rolar mais para baixo, os detalhes associados estarão disponíveis.

Os cenários mais importantes abordados no resumo são os cenários um e dois para cenários de risco de entrada e usuário. Elas mostram usuários altos ou entradas que não foram bloqueadas, solicitadas para alteração de senha ou corrigidas pela MFA; o que significa que os usuários de alto risco ainda podem estar em seu ambiente.

Em seguida, você pode rolar para baixo e ver os detalhes de exatamente quem seriam esses usuários. Cada componente de resumo tem detalhes correspondentes a seguir.

Cenários de risco do usuário

Os cenários de risco do usuário três e quatro ajudarão você se você já tiver algumas políticas de acesso baseadas em risco habilitadas; eles mostram usuários que alteraram sua senha ou usuários de alto risco que foram impedidos de entrar devido às suas políticas de acesso baseadas em risco. Se você ainda tiver usuários de alto risco aparecendo nos cenários de risco do usuário um e dois (não sendo bloqueados ou não sendo solicitados a alterar a senha) quando você pensou que todos eles cairiam nesses buckets, pode haver lacunas em suas políticas.

Cenários de risco de entrada

Em seguida, vamos examinar os cenários de risco de entrada três e quatro. Se você usar a MFA, provavelmente terá atividade aqui mesmo se não tiver nenhuma política de acesso baseada em risco habilitada. Os riscos de entrada são corrigidos automaticamente quando a MFA é executada com êxito. O cenário quatro analisa as entradas de alto risco que não foram bem-sucedidas devido a políticas de acesso baseadas em risco. Se você tiver políticas habilitadas, mas ainda estiver vendo entradas que espera ser bloqueadas ou corrigidas com a MFA, você poderá ter lacunas em suas políticas. Se esse for o caso, recomendamos revisar suas políticas e usar a seção de detalhes desta pasta de trabalho para ajudar a investigar quaisquer lacunas.

Os cenários 5 e 6 para cenários de risco do usuário mostram que a correção está acontecendo. Esta seção fornece informações sobre quantos usuários estão alterando a senha do local ou por meio da SSPR (redefinição de senha por autoatendimento). Se esses números não fizerem sentido para seu ambiente, por exemplo, você não achou que a SSPR estava habilitada, use os detalhes para investigar.

O cenário de entrada 5, endereços IP não confiáveis, exibe os endereços IP de todas as entradas no intervalo de tempo selecionados e exibe os IPs que não são considerados confiáveis.

Cenários federados de política de risco de entrada

Para clientes que usam vários provedores de identidade, a próxima seção será útil para ver se há sessões arriscadas sendo redirecionadas para esses provedores externos para MFA ou para outras formas de correção. Esta seção pode fornecer informações sobre onde a correção está ocorrendo e se está acontecendo conforme o esperado. Para que esses dados sejam preenchidos, “federatedIdpMfaBehavior” precisa estar definido em seu ambiente federado para impor a MFA proveniente de um provedor de identidade federado.

Políticas de Proteção de Identidade Herdada

A próxima seção acompanha quantas políticas de entrada e de usuário herdado ainda estão em seu ambiente e deve migrar até outubro de 2026. É importante estar ciente dessa linha do tempo e começar a migrar políticas para o portal de Acesso Condicional o mais rápido possível. Você deseja tempo suficiente para testar as novas políticas, limpar as políticas desnecessárias ou duplicadas e verificar se não há lacunas na cobertura. Você pode ler mais sobre como migrar políticas herdadas seguindo este link, migrar políticas de risco.

Detalhes da rede confiável

Esta seção fornece uma lista detalhada desses endereços IP que não são considerados confiáveis. De onde vêm esses IPs, quem os possui? Eles devem ser considerados "confiáveis"? Este exercício pode ser um esforço entre equipes com seus administradores de rede; no entanto, é benéfico fazer isso, pois ter uma lista de IP confiável precisa ajuda a reduzir detecções de risco falsos positivos. Se houver um endereço IP que pareça questionável para seu ambiente, é hora de investigar.

Perguntas frequentes:

E se eu não usar o Microsoft Entra para autenticação multifator?

Se você não usar a autenticação multifator do Microsoft Entra, ainda poderá ver o risco de entrada corrigido em seu ambiente se você usar um provedor de MFA que não seja da Microsoft. Métodos de autenticação externa possibilitar a correção de risco ao usar um provedor de MFA não Microsoft.

E se eu estiver em um ambiente híbrido?

O risco do usuário pode ser auto-corrigido usando uma alteração de senha segura se a redefinição de senha de autoatendimento estiver habilitada com write-back de senha. Se apenas a sincronização de hash de senha estiver habilitada, considere habilitar permitir a redefinição de senha local para corrigir o risco do usuário.

Acabei de receber um alerta de alto risco, mas eles não estão aparecendo neste relatório?

Se o usuário tiver um alto risco atribuído, mas ainda não tiver entrado, você não os verá neste relatório. O relatório usa apenas logs de entrada para preencher esses dados. Se você tiver usuários de alto risco que não entraram, eles não serão contados neste relatório.

Próximas etapas

• O que são as pastas de trabalho do Microsoft Entra?
• Como Investigar o risco
• O que são detecções de risco?