Share via

Undersöka risker med Identity Protection i microsoft entra externt ID

  • Artikel

Gäller för:Vit cirkel med en grå X-symbol.Personalklientorganisationer Grön cirkel med en vit bockmarkeringssymbol. Externa klienter (läs mer)

Microsoft Entra Identity Protection ger kontinuerlig riskidentifiering för din externa klientorganisation. Det gör det möjligt för organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. Identity Protection levereras med riskrapporter som kan användas för att undersöka identitetsrisker i externa klienter. I den här artikeln får du lära dig hur du undersöker och minimerar risker.

Identity Protection-rapportering

Identity Protection innehåller två rapporter. Rapporten Riskfyllda användare är där administratörer kan hitta vilka användare som är i riskzonen och information om identifieringar. Rapporten om riskidentifieringar ger information om varje riskidentifiering. Den här rapporten innehåller risktypen, andra risker som utlöses samtidigt, platsen för inloggningsförsöket med mera.

Varje rapport startas med en lista över alla identifieringar för perioden som visas överst i rapporten. Rapporter kan filtreras med hjälp av filtren överst i rapporten. Administratörer kan välja att ladda ned data eller använda MS Graph API och Microsoft Graph PowerShell SDK för att kontinuerligt exportera data.

Tjänstbegränsningar och överväganden

Tänk på följande när du använder Identity Protection:

  • Identity Protection är inte tillgängligt i utvärderingsklientorganisationer.
  • Identitetsskydd är aktiverat som standard.
  • Identity Protection är tillgängligt för både lokala och sociala identiteter, till exempel Google eller Facebook. Identifieringen är begränsad eftersom den externa identitetsprovidern hanterar autentiseringsuppgifterna för det sociala kontot.
  • För närvarande finns en delmängd av Microsoft Entra ID Protection-riskidentifieringar tillgängliga i externa Microsoft Entra-klientorganisationer . Microsoft Entra Externt ID stöder följande riskidentifieringar:
Typ av riskidentifiering beskrivning
Ovanlig resa Logga in från en atypisk plats baserat på användarens senaste inloggningar.
Anonym IP-adress Logga in från en anonym IP-adress (till exempel: Tor browser, anonymizer VPN).
IP-adress länkad till skadlig kod Logga in från en länkad IP-adress för skadlig kod.
Obekanta inloggningsegenskaper Logga in med egenskaper som vi inte har sett nyligen för den angivna användaren.
Administratören bekräftade att användaren har komprometterats En administratör har angett att en användare har komprometterats.
Lösenordsspray Logga in via en lösenordssprayattack.
Microsoft Entra-hotinformation Microsofts interna och externa hotinformationskällor har identifierat ett känt attackmönster.

Undersöka riskfyllda användare

Med den information som tillhandahålls av rapporten Riskfyllda användare kan administratörer hitta:

  • Risktillståndet, som visar vilka användare som är utsatta för risk, har haft risk åtgärdat eller haft risk
  • Information om identifieringar
  • Historik över alla riskfyllda inloggningar
  • Riskhistorik

Administratörer kan sedan välja att vidta åtgärder för dessa händelser. Administratörer kan välja att:

  • Återställa användarlösenordet
  • Bekräfta att användaren har komprometterats
  • Ignorera användarrisken
  • Blockera användare från att logga in
  • Undersöka ytterligare med Hjälp av Azure ATP

En administratör kan välja att stänga en användares risk i administrationscentret för Microsoft Entra eller programmatiskt via Microsoft Graph-API :et Stäng användarrisk. Administratörsbehörigheter krävs för att stänga en användares risk. Den riskfyllda användaren eller en administratör som arbetar för användarens räkning kan åtgärda risken, till exempel genom en lösenordsåterställning.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Kontrollera att du använder katalogen som innehåller din externa Microsoft Entra-klientorganisation: Välj ikonen Inställningar i verktygsfältet och leta reda på den externa klientorganisationen på menyn Kataloger + prenumerationer. Om det inte är den aktuella katalogen väljer du Växla.

  3. Bläddra till Identity>Protection>Security Center.

  4. Välj Identitetsskydd.

  5. Under Rapport väljer du Riskfyllda användare.

    Om du väljer enskilda poster expanderas ett informationsfönster under identifieringarna. Med informationsvyn kan administratörer undersöka och utföra åtgärder för varje identifiering.

Riskidentifieringsrapport

Rapporten Riskidentifieringar innehåller filterbara data i upp till de senaste 90 dagarna (tre månader).

Med den information som tillhandahålls av riskidentifieringsrapporten kan administratörer hitta:

  • Information om varje riskidentifiering, inklusive typ.
  • Andra risker som utlöses samtidigt.
  • Inloggningsförsöksplats.

Administratörer kan sedan välja att återgå till användarens risk- eller inloggningsrapport för att vidta åtgärder baserat på insamlad information.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Bläddra till Identity>Protection>Security Center.

  3. Välj Identitetsskydd.

  4. Under Rapport väljer du Riskidentifieringar.