Den här webbläsaren stöds inte längre.
Uppgradera till Microsoft Edge och dra nytta av de senaste funktionerna och säkerhetsuppdateringarna, samt teknisk support.
Microsoft Entra ID Protection hjälper organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. Dessa risker kan matas in i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller skickas till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för vidare undersökning och korrelation.
Microsoft lägger kontinuerligt till och uppdaterar identifieringar i vår katalog för att skydda organisationer. Dessa identifieringar kommer från våra lärdomar baserat på analys av biljoner signaler varje dag från Active Directory, Microsoft-konton och spel med Xbox. Det här breda utbudet av signaler hjälper ID Protection att identifiera riskfyllda beteenden som:
Under varje inloggning kör ID Protection alla identifieringar av inloggning i realtid, vilket genererar en risknivå för inloggningssessioner som anger hur sannolikt inloggningen är komprometterad. Baserat på den här risknivån tillämpas principer för att skydda användaren och organisationen.
En fullständig lista över risker och hur de identifieras finns i artikeln Vad är risk.
Eventuella risker som identifieras på en identitet spåras med rapportering. ID Protection innehåller tre viktiga rapporter för administratörer för att undersöka risker och vidta åtgärder:
Mer information om hur du använder rapporterna finns i artikeln Så här: Undersöka risker.
Varför är automatisering kritiskt i säkerheten?
I blogginlägget Cyber Signals: Försvara mot cyberhot med den senaste forskningen, insikterna och trenderna daterad 3 februari 2022, delade Microsoft en hotanalysrapport som inkluderar följande statistik:
Analyserade... 24 biljoner säkerhetssignaler i kombination med underrättelser vi spårar genom att övervaka mer än 40 nationalstatsgrupper och över 140 hotgrupper...
... Från januari 2021 till december 2021 har vi blockerat mer än 25,6 miljarder Microsoft Entra brute force-autentiseringsattacker...
Skalan av signaler och attacker kräver automatisering för att hänga med.
Riskbaserade principer för villkorsstyrd åtkomst kan aktiveras för att kräva åtkomstkontroller, till exempel tillhandahålla en stark autentiseringsmetod, utföra multifaktorautentisering eller utföra en säker lösenordsåterställning baserat på den identifierade risknivån. Om användaren har slutfört åtkomstkontrollen åtgärdas risken automatiskt.
När användarreparation inte är aktiverat måste en administratör manuellt granska dem i rapporterna i portalen, via API:et eller i Microsoft 365 Defender. Administratörer kan utföra manuella åtgärder för att avfärda, bekräfta som säkra eller bekräfta som komprometterade risker.
Data från ID Protection kan exporteras till andra verktyg för arkivering, ytterligare undersökning och korrelation. Med Microsoft Graph-baserade API:er kan organisationer samla in dessa data för vidare bearbetning i ett verktyg som deras SIEM. Information om hur du kommer åt ID Protection-API:et finns i artikeln Kom igång med Microsoft Entra ID Protection och Microsoft Graph
Information om hur du integrerar ID Protection-information med Microsoft Sentinel finns i artikeln Anslut data från Microsoft Entra ID Protection.
Organisationer kan lagra data under längre perioder genom att ändra diagnostikinställningarna i Microsoft Entra-ID. De kan välja att skicka data till en Log Analytics-arbetsyta, arkivera data till ett lagringskonto, strömma data till Event Hubs eller skicka data till en annan lösning. Detaljerad information om hur du gör detta finns i artikeln Guide: Exportera riskdata.
ID Protection kräver att användare tilldelas en eller flera av följande roller.
| Roll | Kan göra | Går inte |
|---|---|---|
| Säkerhetsadministratör | Fullständig åtkomst till ID Protection | Återställa lösenord för en användare |
| Säkerhetsoperator | Visa alla ID Protection-rapporter och översikt Stäng användarrisken, bekräfta säker inloggning, bekräfta kompromissen |
Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera aviseringar |
| Säkerhetsläsare | Visa alla ID Protection-rapporter och översikt | Konfigurera eller ändra principer Återställa lösenord för en användare Konfigurera aviseringar Ge feedback om identifieringar |
| Global Reader | Skrivskyddad åtkomst till ID Protection | |
| Användaradministratör | Återställa användarlösenord |
För närvarande kan rollen Säkerhetsoperatör inte komma åt rapporten Riskfyllda inloggningar.
Administratörer för villkorsstyrd åtkomst kan skapa principer som räknar in användar- eller inloggningsrisker som ett villkor. Mer information finns i artikeln Villkorsstyrd åtkomst: Villkor.
För att använda den här funktionen krävs Microsoft Entra ID P2-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
| Förmåga | Detaljer | Kostnadsfritt Microsoft Entra-ID/Microsoft 365-applikationer | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Riskprinciper | Principer för inloggning och användarrisk (via ID-skydd eller villkorsstyrd åtkomst) | Nej | Nej | Ja |
| Säkerhetsrapporter | Översikt | Nej | Nej | Ja |
| Säkerhetsrapporter | Riskfyllda användare | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskfyllda inloggningar | Begränsad information. Ingen riskinformation eller risknivå visas. | Begränsad information. Ingen riskinformation eller risknivå visas. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskupptäckter | Nej | Begränsad information. Ingen informationslåda. | Fullständig åtkomst |
| Meddelanden | Aviseringar om användare i riskzonen upptäckta | Nej | Nej | Ja |
| Meddelanden | Veckosammandrag | Nej | Nej | Ja |
| Registreringspolicy för multifaktorautentisering | Nej | Nej | Ja |
Mer information om dessa omfattande rapporter finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).
Om du vill använda arbetsbelastningsidentitetsrisker, inklusive identiteter för riskfyllda arbetsbelastningar och arbetsbelastningsidentitetsdetektering i fliken Riskidentifieringar i administrationscentrets fönsterrutor, behöver du Premium-licens för arbetsbelastningsidentiteter. Mer information finns i artikeln Skydda arbetsbelastningsidentiteter.
Utbildning
Modul
Examine Microsoft Entra ID Protection - Training
This module examines how Azure Identity Protection provides organizations the same protection systems used by Microsoft to secure identities. MS-102
Certifiering
Microsoft-certifierad: Identitets- och åtkomstadministratör Associate - Certifications
Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.
Dokumentation
Riskprinciper – Microsoft Entra ID Protection - Microsoft Entra ID Protection
Aktivera och konfigurera riskprinciper i Microsoft Entra ID Protection.
Riskbaserade åtkomstprinciper för Microsoft Entra ID Protection - Microsoft Entra ID Protection
Identifiera riskbaserade principer för villkorsstyrd åtkomst
Planera en Distribution av Microsoft Entra ID Protection - Microsoft Entra ID Protection
Skapa en plan för att distribuera Microsoft Entra ID Protection.