Устранение рисков и разблокирование пользователей

После завершения исследования необходимо принять меры, чтобы исправить рискованных пользователей или разблокировать их. Организации могут включить автоматическое исправление, настроив политики на основе рисков. Организации должны попытаться исследовать и исправить всех рискованных пользователей в течение периода времени, который устраивает вашу организацию. Корпорация Майкрософт рекомендует действовать быстро, так как при работе с рисками важно время.

Исправление риска

Все активные обнаружения рисков способствуют вычислению уровня риска пользователя. Уровень риска пользователя — это индикатор (низкий, средний, высокий) вероятности компрометации учетной записи пользователя. Как администратор, после тщательного изучения рискованных пользователей и соответствующих рискованных входов и обнаружений вы хотите исправить рискованных пользователей, чтобы они больше не были подвержены риску и не были заблокированы.

Защита идентификации помечает некоторые обнаружения рисков и соответствующие рискованные входы в систему как отклоненные с состоянием риска "Отклонено" и подробными сведениями о риске "Защита идентификации Microsoft Entra оцененный безопасный вход". Он принимает это действие, так как эти события больше не были определены как рискованные.

Администраторы располагают следующими вариантами исправления:

• Настройте политики на основе рисков , чтобы позволить пользователям самостоятельно устранять свои риски.
• Сброс пароля вручную.
• Увольняет риск пользователя.
• Исправление в Microsoft Defender для удостоверений.

Самостоятельное исправление с помощью политики на основе рисков

Вы можете разрешить пользователям самостоятельно устранять риски входа и риски пользователей, настроив политики на основе рисков. Если пользователи передают необходимый контроль доступа, например Microsoft Entra многофакторную проверку подлинности или безопасную смену пароля, их риски автоматически устраняются. О соответствующих обнаружениях рисков, рискованных входах и рискованных пользователях сообщается с состоянием риска "Устранено" вместо "В группе риска".

Ниже приведены предварительные требования для пользователей, прежде чем к ним можно применить политики на основе рисков, чтобы разрешить самостоятельное исправление рисков.

• Чтобы выполнить многофакторную проверку подлинности для самостоятельного устранения риска при входе, выполните приведенные далее действия.
  • Пользователь должен быть зарегистрирован для Microsoft Entra многофакторной проверки подлинности.
• Чтобы выполнить безопасное изменение пароля для самостоятельного устранения риска пользователя, выполните приведенные далее действия.
  • Пользователь должен быть зарегистрирован для Microsoft Entra многофакторной проверки подлинности.
  • Для гибридных пользователей, которые синхронизируются из локальной среды в облако, для них должна быть включена обратная запись паролей.

Если политика на основе рисков применяется к пользователю во время входа до выполнения указанных выше предварительных требований, пользователь блокируется. Это действие блокировки связано с тем, что они не могут выполнить необходимый контроль доступа, а для разблокировки пользователя требуется вмешательство администратора.

Политики на основе рисков настраиваются на основе уровней риска и применяются только в том случае, если уровень риска входа или пользователя совпадает с настроенным уровнем. Некоторые обнаружения не могут вызывать риск до уровня, на котором применяется политика, и администраторам необходимо обрабатывать этих пользователей, совершающих риск, вручную. Администраторы могут по своему усмотрению назначить дополнительные меры, например блокировку доступа из некоторых расположений или снижение приемлемого риска в настройках политик.

Самостоятельное исправление с помощью самостоятельного сброса пароля

Если пользователь зарегистрировался для самостоятельного сброса пароля (SSPR), он также может устранить свой собственный риск, выполнив самостоятельный сброс пароля.

Сброс паролей вручную

Если требование сброса пароля с помощью политики рисков пользователя не является вариантом, администраторы могут исправить рискованных пользователей, требуя сброс пароля.

При сбросе паролей для пользователей администраторы располагают двумя вариантами.

• Создание временного пароля — создав временный пароль, можно немедленно вернуть удостоверение в безопасное состояние. Этот способ требует обращения к затронутым пользователям, так как им нужно знать временный пароль. Так как пароль является временным, при следующем входе пользователю предлагается сменить пароль на новый.

• Требование от пользователя сбросить пароль — требование сброса пароля от пользователей позволяет включить самостоятельное восстановление без обращения в службу технической поддержки или к администратору. Этот метод применяется только к пользователям, зарегистрированным для Microsoft Entra многофакторной проверки подлинности и SSPR. Для пользователей, которые еще не зарегистрированы, этот параметр недоступен.

Параметр "Закрыть уведомление о риске для пользователя"

Если после исследования и подтверждения того, что учетная запись пользователя не рискует быть скомпрометирована, вы можете закрыть рискованных пользователей.

Чтобы закрыть риск для пользователей в центре администрирования Microsoft Entra, перейдите в раздел Защита>удостоверений>рискованных пользователей, выберите затронутого пользователя и выберите Закрыть риск для пользователей.

При выборе параметра Закрыть риск пользователя пользователь больше не находится под угрозой, а все рискованные входы этого пользователя и соответствующие обнаружения рисков также отклоняются.

Так как этот метод не влияет на существующий пароль пользователя, он не возвращает его удостоверение в безопасное состояние.

Состояние риска и подробные сведения на основе увольнения риска

• Пользователь, совершая рискованные действия:
  • Состояние риска: "В группе риска" -> "Отклонено"
  • Сведения о риске (сведения об устранении рисков): "-" —> "Администратор отклонил все риски для пользователя"
• Все рискованные входы этого пользователя и соответствующие обнаружения рисков:
  • Состояние риска: "В группе риска" -> "Отклонено"
  • Сведения о риске (сведения об устранении рисков): "-" —> "Администратор отклонил все риски для пользователя"

Подтверждение компрометации пользователя

Если после исследования учетная запись подтверждена скомпрометирована:

1. Выберите событие или пользователя в отчетах о рискованных входах или пользователях, совершающих рискованные действия, затем щелкните "Подтверждение компрометации".
2. Если политика на основе рисков не была активирована и риск не был устранен самостоятельно, выполните одно или несколько из следующих действий.
   1. Запросите сброс пароля.
   2. Заблокируйте пользователя, если вы подозреваете, что злоумышленник может сбросить пароль или выполнить многофакторную проверку подлинности для пользователя.
   3. Отзовите маркеры обновления.
   4. Отключите все устройства , которые считаются скомпрометируемыми.
   5. Если используется непрерывная оценка доступа, отзовите все маркеры доступа.

Дополнительные сведения о действиях при подтверждении компрометации см. в разделе Как следует предоставлять отзывы о рисках и что происходит внутри системы?

Удаленные пользователи

Администраторы не могут закрыть риск для пользователей, которые были удалены из каталога. Чтобы убрать удаленных пользователей, откройте обращение в службу поддержки Майкрософт.

Разблокировка пользователей

Администратор может заблокировать вход на основании политики рисков или исследования. Блокировка может выполняться на основании риска при входе или риска пользователя.

Разблокировка на основании риска пользователя

Чтобы разблокировать учетную запись, заблокированную из-за риска, связанного с пользователем, администратор может использовать следующие средства.

1. Смена пароля. Вы можете сбросить пароль пользователя. Если пользователь был скомпрометирован или рискует быть скомпрометированным, пароль пользователя необходимо сбросить, чтобы защитить учетную запись и организацию.
2. Закрытие уведомления о риске для пользователя. Политика рисков пользователей блокирует пользователя при достижении заданного уровня риска для пользователя. Если после исследования вы уверены, что пользователь не рискует быть скомпрометирован, и вы безопасно разрешите ему доступ, вы можете снизить уровень риска пользователя, отклонив риск пользователя.
3. Исключить пользователя из политики . Если вы считаете, что текущая конфигурация политики входа вызывает проблемы у конкретных пользователей и вы можете предоставить доступ этим пользователям, не применяя к ним эту политику, вы можете исключить их из этой политики. Дополнительные сведения см. в разделе "Исключения" в статье Настройка и включение политик риска.
4. Отключение политики. Если вы считаете, что конфигурация политики является причиной проблем всех пользователей, то ее можно отключить. Дополнительные сведения см. в статье Настройка и включение политик риска.

Разблокировка на основании риска при входе

Чтобы разблокировать учетную запись, заблокированную на основании риска при входе, администраторы могут использовать следующие параметры.

1. Вход из знакомого расположения или устройства. Распространенная причина блокировки подозрительного входа — попытки входа с незнакомого расположения или устройства. Пользователи могут быстро определить, является ли это причиной блокировки, выполнив попытку входа из знакомого расположения или устройства.
2. Исключение пользователя из политики. Если вы считаете, что текущая конфигурация политики входа вызывает проблемы у конкретных пользователей, можно исключить из нее пользователей. Дополнительные сведения см. в разделе "Исключения" в статье Настройка и включение политик риска.
3. Отключение политики. Если вы считаете, что конфигурация политики является причиной проблем всех пользователей, то ее можно отключить. Дополнительные сведения см. в статье Настройка и включение политик риска.

Предварительная версия PowerShell

Используя модуль предварительной версии пакета SDK для Microsoft Graph PowerShell, организации могут управлять рисками с помощью PowerShell. Предварительные версии модулей и примеры кода можно найти в репозитории Microsoft Entra GitHub.

Скрипт Invoke-AzureADIPDismissRiskyUser.ps1, входящий в репозиторий, позволяет организациям отклонять всех пользователей, совершающих рискованные действия, в своем каталоге.

Дальнейшие действия

Общие сведения о Защита идентификации Microsoft Entra см. в обзоре Защита идентификации Microsoft Entra.