Anvisningar: Ge riskfeedback i Microsoft Entra ID Protection
Med Microsoft Entra ID Protection kan du ge feedback om riskbedömningen. I följande dokument visas scenarier där du vill ge feedback om Microsoft Entra ID Protection riskbedömning och hur vi införlivar den.
Din feedback hjälper oss att optimera identifieringar i framtiden, förbättra deras noggrannhet och minska falska positiva identifieringar.
Vad är en identifiering?
Identifiering av ID Protection är en indikator på misstänkt aktivitet ur ett identitetsriskperspektiv. Dessa misstänkta aktiviteter kallas riskidentifieringar. Dessa identitetsbaserade identifieringar kan baseras på heuristik, maskininlärning eller komma från partnerprodukter. Dessa identifieringar används för att fastställa inloggningsrisk och användarrisk,
- Användarrisken representerar sannolikheten för att en identitet komprometteras.
- Inloggningsrisken representerar sannolikheten för att en inloggning komprometteras (till exempel har identitetsägaren inte godkänt inloggningen).
Varför ska jag ge riskfeedback till riskbedömningar?
Det finns flera orsaker till varför du bör ge riskfeedback:
- Du har upptäckt att Microsoft Entra ID Protection-användare eller inloggningsriskbedömning är felaktig. En inloggning som visas i rapporten Riskfyllda inloggningar var till exempel godartad och alla identifieringar på inloggningen var falska positiva identifieringar.
- Du har verifierat att Microsoft Entra ID Protection-användare eller riskbedömning för inloggning var korrekt. En inloggning som visas i rapporten Riskfyllda inloggningar var till exempel skadlig och du vill att Microsoft Entra-ID ska veta att alla identifieringar på inloggningen var sanna positiva.
- Du har åtgärdat risken för den användaren utanför Microsoft Entra ID Protection och vill att användarens risknivå ska uppdateras.
Hur använder Microsoft min riskfeedback?
Microsoft använder din feedback för att uppdatera risken för den underliggande användaren och/eller inloggningen och noggrannheten för dessa händelser. Den här feedbacken hjälper till att skydda slutanvändaren. När du till exempel har bekräftat att en inloggning har komprometterats ökar vi omedelbart användarens risk och inloggningens aggregerade risk (inte realtidsrisk) till hög. Om den här användaren ingår i din användarriskprincip för att tvinga högriskanvändare att återställa sina lösenord på ett säkert sätt kan de automatiskt åtgärda det nästa gång de loggar in.
Administratörer kan vidta åtgärder vid riskfyllda inloggningshändelser och välja att:
- Bekräfta att inloggningen har komprometterats – Den här åtgärden bekräftar att inloggningen är en sann positiv åtgärd. Inloggningen anses vara riskfylld tills reparationsåtgärder har vidtagits.
- Bekräfta inloggningssäkert – Den här åtgärden bekräftar att inloggningen är en falsk positiv identifiering. Liknande inloggningar bör inte betraktas som riskfyllda i framtiden.
- Stäng inloggningsrisk – Den här åtgärden används för en godartad sann positiv åtgärd. Den här inloggningsrisken som vi har identifierat är verklig, men inte skadlig, som de från ett känt intrångstest eller känd aktivitet som genereras av ett godkänt program. Liknande inloggningar bör fortsätta att utvärderas för risker framöver.
Åtgärder på användarnivå gäller för alla identifieringar som för närvarande är associerade med den användaren. Administratörer kan vidta åtgärder mot användare och välja att:
- Återställ lösenord – Den här åtgärden återkallar användarens aktuella sessioner.
- Bekräfta att användaren har komprometterats – Den här åtgärden vidtas på ett verkligt positivt sätt. ID Protection anger användarrisken till hög och lägger till en ny identifiering, administratören bekräftade att användaren komprometterades. Användaren anses vara riskfylld tills reparationsåtgärder har vidtagits.
- Bekräfta att användaren är säker – Den här åtgärden vidtas på ett falskt positivt sätt. Detta tar bort risker och identifieringar för den här användaren och placerar den i inlärningsläge för att lära om användningsegenskaperna. Du kan använda det här alternativet för att markera falska positiva identifieringar.
- Stäng användarrisk – Den här åtgärden vidtas på en godartad positiv användarrisk. Den här användarrisken som vi upptäckte är verklig, men inte skadlig, som den från ett känt intrångstest. Liknande användare bör fortsätta att utvärderas för risker framöver.
- Blockera användare – Den här åtgärden blockerar en användare från att logga in om angriparen har åtkomst till lösenord eller möjlighet att utföra MFA.
- Undersök med Microsoft 365 Defender – Den här åtgärden tar administratörer till Microsoft Defender-portalen så att en administratör kan undersöka ytterligare.
Feedback om riskidentifieringar i ID Protection bearbetas offline och kan ta lite tid att uppdatera. Kolumnen tillstånd för riskbearbetning ger det aktuella tillståndet för feedbackbearbetning.