Изучение риска с помощью защиты идентификаторов в Внешняя идентификация Microsoft Entra
Область применения: 
клиенты рабочей силы внешние
клиенты (дополнительные сведения)
Защита идентификаторов Microsoft Entra обеспечивает постоянное обнаружение рисков для внешнего клиента. Она позволяет организациям обнаруживать, исследовать и устранять риски на основе удостоверений. Защита идентификаторов поставляется с отчетами о рисках, которые можно использовать для изучения рисков идентификации во внешних клиентах. Их этой статьи вы узнаете, как исследовать и устранять риски.
Отчеты по защите идентификаторов
Защита идентификаторов предоставляет два отчета. В отчете о пользователях, совершающих рискованные действия, администраторы могут найти пользователей, которые подвергаются риску, и сведения об обнаружении. Отчет об обнаружении рисков содержит сведения о каждом обнаружении рисков. Этот отчет включает тип риска, другие риски, активированные одновременно, расположение попытки входа и многое другое.
Каждый отчет содержит список всех обнаружений за период, показанный в верхней части отчета. С помощью фильтров в верхней части отчета можно фильтровать данные в отчете. Администраторы могут загрузить данные или использовать MS API Graph и пакет SDK для Microsoft Graph PowerShell для непрерывного экспорта данных.
Ограничения службы и рекомендации
При использовании защиты идентификаторов учитывайте следующие моменты:
- Защита идентификаторов недоступна в клиентах пробной версии.
- Защита идентификаторов включена по умолчанию.
- Защита идентификаторов доступна как для местных, так и для социальных удостоверений, таких как Google или Facebook. Обнаружение ограничено, так как внешний поставщик удостоверений управляет учетными данными учетной записи социальных сетей.
- В настоящее время в внешних клиентах Microsoft Entra доступно подмножество Защита идентификации Microsoft Entra обнаружения рисков. Внешняя идентификация Microsoft Entra поддерживает следующие обнаружения рисков:
| Тип обнаружения риска | Description |
|---|---|
| Необычное перемещение | Вход из необычного расположения (на основе недавних входов пользователя). |
| Анонимный IP-адрес | Вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN). |
| IP-адрес, связанный с вредоносным ПО | Вход с вредоносного IP-адреса. |
| Необычные свойства входа | Вход с свойствами, которые мы недавно не видели для данного пользователя. |
| Подтвержденная администратором компрометация пользователя | Администратор указал, что пользователь был скомпрометирован. |
| Распыление пароля | Вход с использованием атаки путем распыления пароля. |
| Аналитика угроз Microsoft Entra | Источниками внутренней и внешней аналитики угроз Майкрософт обнаружено известный шаблон атак. |
Изучение поведения пользователей, совершающих рискованные действия
С помощью сведений, предоставленных отчетом о рискованных пользователях , администраторы могут найти следующее:
- Состояние риска указывает, какие пользователи совершают рискованные действия, были ли риски исправлены или отклонены.
- Детальные сведения об обнаружении
- Все события рисков при входе
- Журнал рисков
Затем администраторы могут предпринять действия с этими событиями. Администраторы могут:
- Сбросить пароль пользователя
- Подтвердить компрометацию пользователя
- Закрыть уведомление о риске для пользователя
- Блокировать вход для выбранного пользователя
- Изучать с помощью Azure ATP
Администратор может закрыть риск пользователя в Центре администрирования Microsoft Entra или программным способом с помощью API Microsoft Graph, чтобы закрыть риск пользователя. Для отклонения риска пользователя требуются права администратора. Рискованные пользователи или администратор, работающие от имени пользователя, могут исправить риск, например с помощью сброса пароля.
Перемещение по отчету о пользователях, совершающих рискованные действия
Войдите в центр администрирования Microsoft Entra.
Убедитесь, что вы используете каталог, содержащий внешний клиент Microsoft Entra: щелкните значок
параметров на панели инструментов и найдите внешний клиент из меню каталогов и подписок. Если это не текущий каталог, выберите переключатель.Перейдите к защите> идентификации.
В разделе "Отчет" выберите "Рискованные пользователи".
Выбор отдельных записей расширяет окно сведений под обнаружением. Детальный вид позволяет администраторам исследовать и выполнять действия при каждом обнаружении.
Отчет об обнаружении рисков
Отчет об обнаружении рисков содержит отфильтрованные данные до последних 90 дней (три месяца).
Информация, доступная в отчете об обнаружении рисков, поможет администратору найти следующие сведения:
- сведения о каждом обнаружении рисков, включая тип.
- другие риски, активированные в то же время;
- расположение попытки входа.
Затем администраторы могут вернуться к отчету о рисках или о входах пользователей для выполнения действий на основе собранных данных.
Перемещение по отчету об обнаружении рисков
Войдите в центр администрирования Microsoft Entra.
Перейдите к защите> идентификации.
В разделе "Отчет" выберите "Обнаружение рисков".