你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
标识保护为 Azure AD B2C 租户提供持续的风险检测。 它使组织能够发现、调查和修正基于标识的风险。 身份保护附带风险报告,可用于调查 Azure AD B2C 租户中的身份风险。 本文介绍如何调查和缓解风险。
概述
Azure AD B2C 标识保护提供两个报告。 风险用户报告:管理员可在其中发现哪些用户面临风险,以及有关检测项的详细信息。 风险检测报告提供有关每个风险检测的信息,包括类型、同时触发的其他风险、登录尝试位置等。
每个报表启动时,报表顶部都有一个列表来显示该时间段内的所有检测。 使用报表顶部的筛选器可筛选报表。 管理员可以选择下载数据,或使用 Microsoft Graph API 和 Microsoft Graph PowerShell SDK 持续导出数据。
服务限制和注意事项
使用身份保护时,请考虑以下事项:
- 默认情况下,标识保护处于启用状态。
- “标识保护”可用于本地标识和社交标识,如 Google 或 Facebook。 对于社交标识,必须激活条件访问。 检测受到限制,因为社交帐户凭据由外部标识提供者管理。
- 在 Azure AD B2C 租户中,只有Microsoft Entra ID 保护风险检测 的子集可用。 Azure AD B2C 支持以下风险检测:
风险检测类型 | DESCRIPTION |
---|---|
非典型旅行 | 从异常位置登录,根据用户最近的登录来判定。 |
匿名 IP 地址 | 从匿名 IP 地址登录(例如:Tor 浏览器,匿名程序 VPN)。 |
受恶意软件感染的 IP 地址 | 从受恶意软件感染的 IP 地址登录。 |
不熟悉的登录属性 | 使用给定用户最近未曾出现过的属性登录。 |
管理员确认用户遭入侵 | 管理员已表明,用户遭到了入侵。 |
密码喷射 | 通过密码喷射攻击进行登录。 |
Microsoft Entra 威胁情报 | Microsoft 的内部和外部威胁智能源已识别出已知的攻击模式。 |
定价等级
某些标识保护功能需要使用 Azure AD B2C Premium P2。 如有必要, 请将 Azure AD B2C 定价层更改为高级 P2。 下表汇总了标识保护功能和所需的定价层。
功能 / 特点 | P1 | P2 |
---|---|---|
“有风险用户”报告 | ✓ | ✓ |
有风险的用户报告详细信息 | ✓ | |
风险用户报告修正 | ✓ | ✓ |
风险检测项报告 | ✓ | ✓ |
风险检测报告详细信息 | ✓ | |
报告下载 | ✓ | ✓ |
Microsoft Graph API 访问 | ✓ | ✓ |
先决条件
- 创建用户流,以便用户能够注册并登录应用程序。
- 注册 Web 应用程序。
- 完成 Active Directory B2C 中的自定义策略入门中的步骤。 本教程指导你如何更新自定义策略文件以使用 Azure AD B2C 租户配置。
- 注册 Web 应用程序。
调查有风险的用户
通过风险用户报表提供的信息,管理员可找出:
- 风险状态,显示哪些用户有风险;风险已修正或风险已消除
- 有关检测的详细信息
- 所有风险登录的历史记录
- 风险历史记录
然后,管理员可选择对这些事件执行操作。 管理员可选择:
- 重置用户密码
- 确认用户是否已遭入侵
- 消除用户风险
- 阻止用户登录
- 使用 Azure ATP 进一步调查
管理员可以选择在 Azure 门户中消除用户的风险,或通过 Microsoft Graph API 消除用户风险以编程方式消除用户风险。 需要管理员权限才能消除用户的风险。 修正风险可由有风险的用户或代表用户的管理员执行,例如通过密码重置。
浏览风险用户报告
登录到 Azure 门户。
如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
在“Azure 服务”下,选择“Azure AD B2C”。 或者,使用搜索框查找并选择“Azure AD B2C”。
在 “安全性”下,选择 “有风险的用户”。
选择单个条目后,将展开检测下方的“详细信息”窗口。 管理员可通过“详细信息”视图对每次检测进行调查和执行操作。
风险检测项报告
风险检测报告最多包含过去 90 天(3 个月)的可筛选数据。
通过风险检测报表提供的信息,管理员可找出:
- 每项风险检测的相关信息,包括类型。
- 同时触发的其他风险。
- 尝试登录的位置。
然后,管理员可选择返回到用户的风险或登录报表,根据收集到的信息采取措施。
浏览风险检测项报告
在 Azure 门户中,搜索并选择 Azure AD B2C。
在 “安全性”下,选择 “风险检测”。