Riskleri düzeltme ve kullanıcıların engelini kaldırma

Araştırmanızı tamamladıktan sonra riskli kullanıcıları düzeltmek veya engellerini kaldırmak için işlem yapmanız gerekir. Kuruluşlar risk tabanlı ilkeler ayarlayarak otomatik düzeltmeyi etkinleştirebilir. Kuruluşlar, kuruluşunuzun rahat olduğu bir süre içinde tüm riskli kullanıcıları araştırmaya ve düzeltmeye çalışmalıdır. Microsoft, risklerle çalışırken zaman önemli olduğundan hızlı davranmanızı önerir.

Risk düzeltme

Tüm etkin risk algılamaları, kullanıcının risk düzeyinin hesaplanmasına katkıda bulunur. Kullanıcı risk düzeyi, kullanıcı hesabının gizliliğinin ihlal edilmiş olma olasılığının göstergesidir (düşük, orta, yüksek). Yönetici olarak, riskli kullanıcılar ve buna karşılık gelen riskli oturum açma işlemleri ve algılamalar hakkında kapsamlı bir araştırma yaptıktan sonra, riskli kullanıcıları artık risk altında kalmamaları ve engellenmemeleri için düzeltmek istersiniz.

Microsoft Entra Kimlik Koruması bazı risk algılamalarını ve ilgili riskli oturum açmaları risk durumuyla kapatılmış olarak işaretlerKapatılan ve risk ayrıntıları Microsoft Entra Kimlik Koruması oturum açma güvenli olarak değerlendirildi. Bu eylem, bu olayların artık riskli olduğu belirlenemediği için gerçekleştirilir.

Yönetici istrator'lar düzeltmek için aşağıdaki seçeneklere sahiptir:

• Kullanıcıların risklerini kendi kendine düzeltmesine olanak sağlamak için risk tabanlı ilkeler ayarlayın.
• Parolalarını el ile sıfırlayın.
• Kullanıcı risklerini kapatma.
• Kimlik için Microsoft Defender düzeltin.

Risk tabanlı ilke ile kendi kendine düzeltme

Risk tabanlı ilkeler ayarlayarak kullanıcıların oturum açma risklerini ve kullanıcı risklerini kendi kendine düzeltmesine olanak sağlayabilirsiniz. Kullanıcılar çok faktörlü kimlik doğrulaması veya güvenli parola değişikliği gibi gerekli erişim denetimini geçirirse riskleri otomatik olarak düzeltilir. İlgili risk algılamaları, riskli oturum açma işlemleri ve riskli kullanıcılar Risk Altında yerine Düzeltildi risk durumuyla bildirilir.

Risk tabanlı ilkelerin uygulanabilmesi ve risklerin kendi kendine düzeltilmesine olanak sağlamak için kullanıcıların önkoşulları şunlardır:

• Oturum açma riskini kendi kendine düzeltmek için MFA gerçekleştirmek için:
  • Kullanıcının Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı olması gerekir.
• Bir kullanıcı riskini kendi kendine düzeltmek için güvenli parola değişikliği gerçekleştirmek için:
  • Kullanıcının Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı olması gerekir.
  • Şirket içinden buluta eşitlenen karma kullanıcılar için parola geri yazma etkinleştirilmelidir.

Yukarıdaki önkoşullar karşılanmadan önce kullanıcıya oturum açma sırasında risk tabanlı bir ilke uygulanırsa, kullanıcı engellenir. Bu engelleme eyleminin nedeni, gerekli erişim denetimini gerçekleştirememeleri ve kullanıcının engelini kaldırmak için yönetici müdahalesi yapılmasıdır.

Risk tabanlı ilkeler risk düzeylerine göre yapılandırılır ve yalnızca oturum açma veya kullanıcının risk düzeyi yapılandırılan düzeyle eşleşiyorsa geçerlidir. Bazı algılamalar, ilkenin geçerli olduğu düzeye kadar risk oluşturmayabilir ve yöneticilerin bu riskli kullanıcıları el ile işlemesi gerekir. Yönetici istrator'lar, konumlardan erişimi engelleme veya ilkelerindeki kabul edilebilir riski azaltma gibi ek önlemlerin gerekli olduğunu belirleyebilir.

Self servis parola sıfırlama ile kendi kendine düzeltme

Bir kullanıcı self servis parola sıfırlama (SSPR) için kaydolmuşsa, self servis parola sıfırlaması yaparak kendi kullanıcı riskini düzeltebilir.

El ile parola sıfırlama

Kullanıcı risk ilkesi kullanarak parola sıfırlamayı zorunlu kılma bir seçenek değilse veya zaman önemliyse, yöneticiler parola sıfırlaması gerektirerek riskli bir kullanıcıyı düzeltebilir.

Yönetici istrator'ların aralarından seçim yapabilecekleri seçenekler vardır:

• Geçici parola oluşturma - Geçici bir parola oluşturarak, kimliği hemen güvenli bir duruma getirebilirsiniz. Bu yöntem, geçici parolanın ne olduğunu bilmeleri gerektiğinden etkilenen kullanıcılarla iletişime geçmeyi gerektirir. Parola geçici olduğundan, kullanıcıdan bir sonraki oturum açma sırasında parolayı yeni bir şeyle değiştirmesi istenir.

  • Microsoft Entra yönetim merkezinde bulut ve karma kullanıcılar için parolalar oluşturabilirler.

  • Parola karması eşitlemesi ve Kullanıcı riskini sıfırlamak için şirket içi parola değişikliğine izin ver ayarı etkinleştirildiğinde şirket içi dizinden karma kullanıcılar için parola oluşturabilirler.

    Uyarı

    Kullanıcının bir sonraki oturum açmada parolayı değiştirmesi gerekir seçeneğini belirtmeyin. Bu desteklenmiyor.

• Kullanıcının parola sıfırlamasını gerektir - Kullanıcıların parola sıfırlamasını zorunlu kılması, yardım masasına veya yöneticiye başvurmadan kendi kendine kurtarmayı etkinleştirir.

  • Bulut ve karma kullanıcılar güvenli bir parola değişikliğini tamamlayabilir. Bu yöntem yalnızca MFA'yi zaten gerçekleştirebilen kullanıcılar için geçerlidir. Kaydolmamış kullanıcılar için bu seçenek kullanılamaz.
  • Karma kullanıcılar, parola karması eşitlemesi ve Kullanıcı riskini sıfırlamak için şirket içi parola değişikliğine izin ver ayarı etkinleştirildiğinde Ctrl+Alt+Del tuşlarına basarak ve parolalarını şirket içi veya karma katılmış bir Windows cihazından değiştirerek parola değişikliğini tamamlayabilir.

Kullanıcı risklerini düzeltmek için şirket içi parola sıfırlamaya izin ver (Önizleme)

Parola karması eşitlemesini etkinleştiren kuruluşlar, kullanıcı riskini düzeltmek için şirket içinde parola değişikliklerine izin verebilir.

Bu yapılandırma kuruluşlara iki yeni özellik sağlar:

• Riskli karma kullanıcılar, yöneticiler müdahalesi olmadan kendi kendine düzeltme yapabilir. Şirket içinde parola değiştirildiğinde, kullanıcı riski artık Microsoft Entra Kimlik Koruması içinde otomatik olarak düzeltilir ve geçerli kullanıcı riski durumu sıfırlanır.
• Kuruluşlar, karma kullanıcılarını güvenle korumak için parola değişiklikleri gerektiren kullanıcı risk ilkelerini proaktif olarak dağıtabilir. Bu seçenek, karmaşık karma ortamlarda bile kullanıcı risklerinin hemen ele alınmasını sağlayarak kuruluşunuzun güvenlik duruşlarını güçlendirir ve güvenlik yönetimini basitleştirir.

Bu ayarı yapılandırmak için

1. Microsoft Entra yönetim merkezinde en az bir Güvenlik Operatörü olarak oturum açın.
2. Koruma Kimlik Koruması'na >>göz atın Ayarlar.
3. Kullanıcı riskini sıfırlamak için Şirket içi parola değişikliğine izin ver kutusunu işaretleyin.
4. Kaydet'i seçin.

Not

Kullanıcı riskini sıfırlamak için şirket içi parola değişikliğine izin vermek yalnızca kabul etme özelliğidir. Müşterilerin üretim ortamlarında etkinleştirmeden önce bu özelliği değerlendirmesi gerekir. Müşterilerin şirket içi parola değiştirme veya sıfırlama akışlarının güvenliğini sağlamasını öneririz. Örneğin, kullanıcıların Microsoft Identity Manager'ın Self Servis Parola Sıfırlama Portalı gibi bir araç kullanarak şirket içinde parolalarını değiştirmelerine izin vermeden önce çok faktörlü kimlik doğrulaması gerektirme.

Kullanıcı riskini kapatma

Araştırmadan ve kullanıcı hesabının gizliliğinin tehlikeye atılma riski olmadığını onayladıktan sonra riskli kullanıcıyı kapatmayı seçebilirsiniz.

Microsoft Entra yönetim merkezinde kullanıcı riskini en az bir Güvenlik Operatörü olarak kapatmak için Koruma>Kimliği Koruması>Riskli kullanıcılar'a gidin, etkilenen kullanıcıyı seçin ve Kullanıcı riskini kapat'ı seçin.

Kullanıcı riskini kapat'ı seçtiğinizde, kullanıcı artık risk altında değildir ve bu kullanıcının tüm riskli oturum açma işlemleri ve buna karşılık gelen risk algılamaları da kapatılır.

Bu yöntem kullanıcının mevcut parolasını etkilemediğinden, kimliğini güvenli duruma getirmez.

Riskin kapatılma durumuna göre risk durumu ve ayrıntıları

• Riskli kullanıcı:
  • Risk durumu: "Risk altında" -> "Kapatıldı"
  • Risk ayrıntıları (risk düzeltme ayrıntısı): "-" -> "Yönetici kullanıcı için tüm riski reddetti"
• Bu kullanıcının tüm riskli oturum açma işlemleri ve buna karşılık gelen risk algılamaları:
  • Risk durumu: "Risk altında" -> "Kapatıldı"
  • Risk ayrıntıları (risk düzeltme ayrıntısı): "-" -> "Yönetici kullanıcı için tüm riski reddetti"

Bir kullanıcının gizliliğinin aşıldığını onaylayın

Araştırmadan sonra hesabın gizliliğinin tehlikeye atıldığı doğrulanır:

1. Riskli oturum açma işlemleri veya Riskli kullanıcılar raporlarında olayı veya kullanıcıyı seçin ve "Güvenliğin aşıldığını onaylayın" seçeneğini belirleyin.
2. Risk tabanlı bir ilke tetiklenmemişse ve risk kendi kendine düzeltilmemişse, aşağıdakilerden birini veya birkaçını yapın:
   1. Parola sıfırlama isteğinde bulunun.
   2. Saldırganın parolayı sıfırlayamadığını veya kullanıcı için çok faktörlü kimlik doğrulaması yapabileceğini düşünüyorsanız kullanıcıyı engelleyin.
   3. Yenileme belirteçlerini iptal edin.
   4. Güvenliği aşıldığı düşünülen tüm cihazları devre dışı bırakın.
   5. Sürekli erişim değerlendirmesi kullanılıyorsa tüm erişim belirteçlerini iptal edin.

Güvenliğin aşılması onaylanırken ne olacağı hakkında daha fazla bilgi için Risk geri bildirimini nasıl ve ne olur? bölümüne bakın.

Silinen kullanıcılar

Yöneticilerin dizinden silinmiş kullanıcılar için riski kapatması mümkün değildir. Silinen kullanıcıları kaldırmak için bir Microsoft destek olayı açın.

Kullanıcıların engelini kaldırma

Yönetici risk ilkesine veya araştırmalarına dayanarak bir oturum açma işlemini engellemeyi seçebilir. Blok, oturum açma veya kullanıcı riskine bağlı olarak oluşabilir.

Kullanıcı riskine göre engellemeyi kaldırma

Kullanıcı riski nedeniyle engellenmiş bir hesabın engellemesini kaldırmak için yöneticilerin seçenekleri şunlardır:

1. Parolayı sıfırla - Kullanıcının parolasını sıfırlayabilirsiniz. Kullanıcının güvenliği aşıldıysa veya böyle bir risk altındaysa, hesabını ve kuruluşunuzu korumak için kullanıcının parolası sıfırlanmalıdır.
2. Kullanıcı riskini kapatma - Erişimi engellemek için yapılandırılan kullanıcı risk düzeyine ulaşıldıysa, kullanıcı riski ilkesi kullanıcıyı engeller. Araştırmadan sonra kullanıcının gizliliğinin tehlikeye atılma riski olmadığından eminseniz ve erişimine izin vermek güvenliyse, kullanıcı riskini kapatarak kullanıcının risk düzeyini azaltabilirsiniz.
3. Kullanıcıyı ilkeden dışlama - Oturum açma ilkenizin geçerli yapılandırmasının belirli kullanıcılar için sorunlara neden olduğunu düşünüyorsanız ve bu ilkeyi uygulamadan bu kullanıcılara erişim izni vermek güvenliyse, bu kullanıcıları bu ilkenin dışında tutabilirsiniz. Daha fazla bilgi için, Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesindeki Dışlamalar bölümüne bakın.
4. İlkeyi devre dışı bırakma - İlke yapılandırmanızın tüm kullanıcılarınızda sorunlara neden olduğunu düşünüyorsanız, ilkeyi devre dışı bırakabilirsiniz. Daha fazla bilgi için Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesine bakın.

Oturum açma riskine bağlı olarak engellemeyi kaldırma

Oturum açma riski temelinde bir hesabın engellemesini kaldırmak için yöneticilerin seçenekleri şunlardır:

1. Tanıdık bir konum veya cihazdan oturum açma - Engellenen şüpheli oturum açma işlemlerinin yaygın nedenlerinden biri tanıdık olmayan konumlardan veya cihazlardan yapılan oturum açma girişimleridir. Kullanıcılarınız tanıdık bir konum veya cihazdan oturum açmayı deneyerek engelleme nedeninin bu olup olmadığını hızla saptayabilir.
2. Kullanıcıyı ilkenin dışında tutma - Oturum açma ilkenizin geçerli yapılandırmasının belirli kullanıcılarda sorunlara neden olduğunu düşünüyorsanız, kullanıcıları ilkenin dışında tutabilirsiniz. Daha fazla bilgi için, Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesindeki Dışlamalar bölümüne bakın.
3. İlkeyi devre dışı bırakma - İlke yapılandırmanızın tüm kullanıcılarınızda sorunlara neden olduğunu düşünüyorsanız, ilkeyi devre dışı bırakabilirsiniz. Daha fazla bilgi için Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesine bakın.

PowerShell önizlemesi

Microsoft Graph PowerShell SDK Önizleme modülüyle, kuruluşlar PowerShell kullanarak riski yönetebilir. Önizleme modülleri ve örnek kod, Microsoft Entra GitHub deposunda bulunabilir.

Invoke-AzureADIPDismissRiskyUser.ps1 Depoda bulunan betik, kuruluşların dizinlerindeki tüm riskli kullanıcıları kapatmasına olanak tanır.

Sonraki adımlar

Yüksek kullanıcı riski simülasyonu