在 Microsoft 365 Lighthouse 中查看和管理风险用户

Microsoft 每天收集和分析数万亿个用户登录信号。 这些信号用于帮助构建良好的用户登录行为模式,并确定潜在的有风险的登录尝试。 Microsoft Entra ID Protection 使用这些信号来查看用户登录尝试,并在存在可疑活动时采取措施。

Microsoft 365 Lighthouse 通过跨所有托管租户提供风险用户的单个视图来帮助管理 Microsoft Entra ID Protection 检测到的风险。 可以通过重置用户密码或阻止他们登录到 Microsoft 365 帐户来快速保护有风险的用户。 还可以查看见解,以便更好地了解用户的风险并确定后续步骤。

Microsoft Entra ID Protection 可识别多种类型的风险,包括:

  • 泄露的凭据
  • 匿名 IP 使用
  • 非典型旅行
  • 从受感染的设备登录
  • 从具有可疑活动的 IP 地址登录
  • 从不熟悉的位置登录

注意

本页提供有关因许可不足而受到限制或不可用的数据的见解。

开始之前

必须先满足以下条件,用户才能出现在风险用户列表中:

查看检测到的风险并采取措施

在 Microsoft Entra ID 保护中,风险检测包括与 Microsoft Entra ID 中的用户帐户相关的任何已识别的可疑操作。

  1. Lighthouse 的左侧导航窗格中,选择 “用户>风险用户”。

  2. 在“ 风险用户 ”页上,查看列表中风险状态为“ 有风险”的用户。

  3. 选择“ 查看风险检测 ”以获取有关每个用户检测到的风险的详细信息。 有关风险类型和检测的详细信息,请参阅 什么是风险?

  4. 对于每个用户,评估风险检测,并根据情况选择以下操作之一:

    • 重置密码 - 更改或重置用户密码。

    • 阻止登录 - 阻止任何人以此用户身份登录。

    • 确认用户已泄露 - 将风险状态设置为“已确认已泄露”。

    • 消除用户风险 - 将风险状态设置为已消除。

同时对多个用户帐户执行操作

若要同时对多个受影响的用户执行操作,请执行以下操作:

  1. Lighthouse 的左侧导航窗格中,选择 “用户>风险用户”。

  2. 在“ 风险用户 ”页上,选择要执行操作的用户集。

  3. 选择要执行以下操作之一:

    • 重置密码

    • 阻止登录

    • 确认用户已泄露

    • 消除用户风险

注意

如果要管理的组织具有 Microsoft Entra ID P2 许可证,建议启用基于用户风险的条件访问策略。 有关详细信息,请参阅 条件访问:基于用户风险的条件访问

教程:使用用户登录的风险检测触发 Azure AD 多重身份验证或密码更改 (文章)
什么是风险? (文章)
修正风险并解除阻止用户 (文章)