Microsoft Entra ID 保护和 B2B 用户

  • 项目

Microsoft Entra ID 保护检测到 Microsoft Entra 用户的凭据被盗用。 如果检测到你的凭据被盗用,则表示其他人可能拥有你的密码,并且正在非法使用它。 若要防止帐户面临进一步的风险,请务必安全地重置密码,使不良参与者无法再使用你已泄露的密码。 ID 保护会将可能被盗用的帐户标记为“存在风险”。

你可以使用组织凭据以来宾身份登录到其他组织。 这个过程称为企业到企业或 B2B 协作。 组织可以配置策略,以便在用户的凭据存在风险时阻止用户登录。 如果你的帐户存在风险,且被阻止以来宾身份登录到另一个组织,则可以使用以下步骤自行修正你的帐户。 如果你的组织未启用自助式密码重置,则管理员将需要手动修正你的帐户。

如何取消阻止帐户

如果尝试以来宾身份登录到另一个组织,但因风险而被阻止登录,你将看到以下阻止消息:“你的帐户已被阻止。 我们在你的帐户中检测到可疑活动。”

A screenshot showing the error guest account blocked, contact your organization's administrator.

如果你的组织启用了此功能,则可以使用自助式密码重置取消阻止帐户,并将凭据恢复为安全状态。

  1. 转到密码重置门户,并启动密码重置。 如果没有为你的帐户启用自助式密码重置,并且无法继续操作,请联系你的 IT 管理员,并提供以下信息
  2. 如果为你的帐户启用了自助式密码重置,则在更改密码之前,系统将提示你使用安全方法验证你的标识。 有关帮助信息,请参阅重置工作或学校帐户密码一文。
  3. 成功并安全地重置密码后,你的用户风险将得以修正。 你现在能够与以来宾用户身份重试登录。

如果重置密码后,你仍因风险而被阻止作为来宾登录,请联系你组织的 IT 管理员。

如何以管理员身份修正用户的风险

ID 保护会自动检测 Microsoft Entra 租户的风险用户。 如果你之前未检查过 ID 保护报告,则可能存在大量有风险的用户。 由于资源租户可以向来宾用户应用用户风险策略,因此你的用户可能会因为风险而被阻止(即使他们之前不知道他们存在风险的状态)。 如果用户报告他们在另一个租户中作为来宾用户登录因风险而被阻止,请务必修正用户以保护其帐户并实现协作。

重置用户密码

在 Microsoft Entra“安全性”菜单的风险用户报表中,使用“用户”筛选器搜索受影响的用户。 在报表中选择受影响的用户,然后选择顶部工具栏中的“重置密码”。 用户将分配到一个临时密码,该密码必须在下一次登录时进行更改。 此过程将修正其用户风险,并将其凭据恢复为安全状态。

手动消除用户的风险

如果无法选择密码重置,你可以选择手动消除用户风险。 消除用户风险不会影响用户的现有密码,但此过程会将用户的风险状态从“有风险”更改为“已消除”。 务必要使用任何可用的方法更改用户密码,才能将标识恢复到安全状态。

要消除用户风险,请在 Microsoft Entra“安全性”菜单中转到“风险用户报表”。 使用“用户”筛选器搜索受影响的用户,然后选择该用户。 选择顶部工具栏中的“消除用户风险”选项。 此操作可能需要几分钟才能完成和更新报表中的用户风险状态。

若要了解有关 Microsoft Entra ID 保护的详细信息,请参阅什么是标识保护

B2B 用户的 ID 保护是如何工作的?

B2B 协作用户的用户风险在其主目录中进行评估。 用户尝试访问资源时,会在资源目录中评估这些用户的实时登录风险。 通过 Microsoft Entra B2B 协作,组织可以使用 ID 保护对 B2B 用户强制实施基于风险的策略。 这些策略有两种配置方式:

  • 管理员可以使用登录风险作为条件配置其条件访问策略,包括来宾用户。
  • 管理员可以配置内置 ID 保护基于风险的策略,这些策略适用于所有应用,包括来宾用户。

B2B 协作用户的 ID 保护限制

由于 B2B 协作用户的标识存在于其主目录中,因此在资源目录中对其实施 ID 保护存在限制。 主要限制如下:

  • 如果来宾用户触发 ID 保护用户风险策略来强制重置密码,则“将阻止用户访问”。 阻止的原因是无法在资源目录中重置密码。
  • “来宾用户不会出现在风险用户报表中”。 这种限制是因为 B2B 用户主目录中发生的风险评估。
  • 管理员无法在其资源目录中消除或修正有风险的 B2B 协作用户。 这种限制是因为资源目录中的管理员无法访问 B2B 用户的主目录。

为什么无法在我的目录中修正有风险的 B2B 协作用户?

B2B 用户的风险评估和修正发生在其主目录中。 因此,来宾用户不会出现在资源目录中的风险用户报表中,并且资源目录中的管理员不能强制这些用户进行安全密码重置。

如果 B2B 协作用户由于组织中基于风险的策略而被阻止,我该怎么办?

如果基于风险的策略阻止了目录中有风险的 B2B 用户,则用户需要在其主目录中修正此风险。 用户可以通过在其主目录中执行安全的密码重置来修正其风险,如前文所述。 如果用户的主目录中没有启用自助式密码重置,则用户需要联系自己组织的 IT 人员,请求管理员手动消除风险或重置密码。

如何防止 B2B 协作用户受到基于风险的策略的影响?

从组织基于风险的条件访问策略中排除 B2B 用户,可防止 B2B 用户受风险评估的影响。 要排除这些 B2B 用户,请在 Microsoft Entra ID 中创建包含组织所有来宾用户的组。 然后,将此组添加为内置 ID 保护用户风险和登录风险策略的排除项,以及使用登录风险作为条件的所有条件访问策略的排除项。

后续步骤

请参阅以下有关 Microsoft Entra B2B 协作的文章: