在 Microsoft Entra 外部 ID 中使用标识保护来调查风险
Microsoft Entra 标识保护为你的外部租户提供持续的风险检测。 它使组织能够发现、调查和修正基于标识的风险。 标识保护会提供风险报表,这些报表可用于调查外部租户中的标识风险。 本文介绍如何调查和缓解风险。
标识保护报表
标识保护提供两份报表。 风险用户报告:管理员可在其中发现哪些用户面临风险,以及有关检测项的详细信息。 风险检测报表提供有关每个风险检测的信息。 此报表包括风险类型、同时触发的其他风险、登录尝试的位置等。
每个报表启动时,报表顶部都有一个列表来显示该时间段内的所有检测。 使用报表顶部的筛选器可筛选报表。 管理员可以选择下载数据,或使用 Microsoft Graph API 和 Microsoft Graph PowerShell SDK 持续导出数据。
服务限制和注意事项
使用标识保护时,请考虑以下几点:
- 标识保护在试用租户中不可用。
- 默认情况下,标识保护处于启用状态。
- “标识保护”可用于本地标识和社交标识,如 Google 或 Facebook。 检测受到限制是因为外部标识提供者管理社交帐户凭据。
- 目前,在 Microsoft Entra 外部租户中,可以使用一部分 Microsoft Entra ID 保护风险检测项。 Microsoft Entra 外部 ID 支持以下风险检测:
| 风险检测类型 | 说明 |
|---|---|
| 异常位置登录 | 从异常位置登录,根据用户最近的登录来判定。 |
| 匿名 IP 地址 | 从匿名 IP 地址登录(例如:Tor 浏览器,匿名程序 VPN)。 |
| 受恶意软件感染的 IP 地址 | 从受恶意软件感染的 IP 地址登录。 |
| 不熟悉的登录属性 | 使用给定用户的最近未曾出现过的属性登录。 |
| 管理员确认用户遭入侵 | 管理员已表明,用户遭到了入侵。 |
| 密码喷射 | 通过密码喷射攻击进行登录。 |
| Microsoft Entra 威胁情报 | Microsoft 的内部和外部威胁智能源已识别出已知的攻击模式。 |
调查有风险的用户
使用“风险用户”报表提供的信息,管理员可找出:
- 风险状态,显示哪些用户有风险;风险已修正或风险已消除
- 有关检测的详细信息
- 所有风险登录的历史记录
- 风险历史记录
然后,管理员可选择对这些事件执行操作。 管理员可选择:
- 重置用户密码
- 确认用户是否已遭入侵
- 消除用户风险
- 阻止用户登录
- 使用 Azure ATP 进一步调查
管理员可以选择在 Microsoft Entra 管理中心消除用户的风险,或者通过 Microsoft Graph API 的“消除用户风险”选项以编程方式这样做。 需要管理员权限才能消除用户的风险。 风险用户或代表用户工作的管理员可以通过某种方式(例如通过密码重置)进行风险补救。
浏览风险用户报告
请确保使用包含 Microsoft Entra ID 外部租户的目录:在工具栏中选择“设置”图标
,然后从“目录 + 订阅”菜单中查找外部租户。 如果它不是当前目录,请选择“切换”。浏览到“标识”>“保护”>“安全中心”。
选择“标识保护”。
在“报表”下,选择“风险用户”。
选择单个条目后,将展开检测下方的“详细信息”窗口。 管理员可通过“详细信息”视图对每次检测进行调查和执行操作。
风险检测项报告
“风险检测”报表最多包含过去 90 天(3 个月)的可筛选数据。
通过风险检测报表提供的信息,管理员可找出:
- 每项风险检测的相关信息,包括类型。
- 同时触发的其他风险。
- 尝试登录的位置。
然后,管理员可选择返回到用户的风险或登录报表,根据收集到的信息采取措施。
浏览风险检测项报告
登录到 Microsoft Entra 管理中心。
浏览到“标识”>“保护”>“安全中心”。
选择“标识保护”。
在“报表”下,选择“风险检测”。