通过

修正风险并对用户解除阻止

  • 项目

完成调查后,需要采取措施修正风险用户或对用户解除封锁。 组织可以通过设置基于风险的策略来启用自动修正。 组织应尝试在熟悉的时间段内调查和修正所有风险用户。 Microsoft 建议快速采取行动,因为在处理风险时,时间很重要。

风险修正

所有活动风险检测都有助于计算用户的风险级别。 用户风险级别是反映用户帐户泄露可能性的一个指标(低、中、高)。 调查风险用户和相应的风险登录和检测后,应修正风险用户的问题,让他们不再处于风险之中,并且其访问不再受阻。

Microsoft Entra ID 保护会将某些风险检测和相应的风险登录标记为“已消除”,风险状态为“已消除”,风险详细信息为“Microsoft Entra ID 保护已评估为登录安全”。 采取此操作的原因不再将这些事件确定为有风险。

管理员可以使用以下选项进行修正:

使用基于风险的策略进行自我修正

可设置基于风险的策略来允许用户自行修正其登录风险和用户风险。 如果用户通过所需的访问控制,例如多重身份验证或安全密码更改,则会自动修正其风险。 相应的风险检测、风险登录和风险用户的风险状态被报告为已修正,而不是有风险

用户需要满足以下先决条件,才能应用基于风险的策略以允许自行修正风险:

  • 若要执行 MFA 来自行修正登录风险,需满足以下条件:
    • 用户必须注册到 Microsoft Entra 多重身份验证。
  • 若要执行安全密码更改以自行修正用户风险,需满足以下条件:
    • 用户必须注册到 Microsoft Entra 多重身份验证。
    • 对于从本地同步到云的混合用户,必须已启用密码写回。

如果在满足上述先决条件之前,在登录期间向用户应用了基于风险的策略,则会阻止该用户。 此阻止操作是因为他们无法执行所需的访问控制,并且需要管理员干预才能取消阻止。

基于风险的策略基于风险级别进行配置,仅当登录或用户的风险级别与配置级别匹配时才适用。 某些检测可能不会将风险提高到应用策略的级别,并且管理员需要手动处理这些风险用户。 管理员可以确定是否需要采取其他措施,如阻止来自特定位置的访问,或降低其策略中可接受的风险。

使用自助式密码重置进行自行修正

如果用户已注册自助式密码重置 (SSPR),他们可以通过执行自助式密码重置来消除自己的用户风险。

手动重置密码

如果无法使用用户风险策略重置密码,或者时间紧急,管理员可以通过要求密码重置来修正风险用户。

管理员可以选择以下选项:

生成临时密码

生成临时密码可以立即让标识恢复安全状态。 此方法需要联系受影响的用户,因为这些用户需要知道临时密码。 由于密码是临时的,因此,在下一次登录期间,系统会提示用户将密码更改为新密码。

  • 他们可以在 Microsoft Entra 管理中心为云和混合用户生成密码。

  • 启用密码哈希同步和允许本地密码更改以重置用户风险设置后,他们可以从本地目录为混合用户生成密码。

    警告

    不要选择“用户下次登录时必须更改密码”选项。 这不受支持。

要求用户重置密码

要求用户重置密码可以实现自助恢复,而无需联系支持人员或管理员。

  • 云和混合用户可以完成安全密码更改。 此方法仅适用于已执行 MFA 的用户。 对于尚未注册的用户,此选项不可用。
  • 在启用密码哈希同步和“允许本地密码更改以重置用户风险”设置后,混合用户可以从本地或已混合联接的 Windows 设备更改密码。

允许通过本地密码重置来消除用户风险

已启用密码哈希同步的组织可以允许在本地更改密码以消除用户风险。

此配置向组织提供两项新功能:

  • 风险混合用户无需管理员干预即可自行修正。 在本地更改密码时,用户风险现在会自动在 Microsoft Entra ID 保护中修正,重置当前用户风险状态。
  • 组织可以主动部署需要密码更改的用户风险策略以自信地保护混合用户。 此选项增强了组织的安全态势,并通过确保用户风险得到及时解决(即使在复杂的混合环境中)简化了安全管理。

显示“允许通过本地密码重置来消除用户风险”复选框位置的屏幕截图。

要配置此设置

  1. 至少以安全操作员身份登录到Microsoft Entra 管理中心
  2. 浏览到“保护>”“标识保护>”“设置”。
  3. 选中此框以允许本地密码更改以重置用户风险
  4. 选择“保存”。

注意

允许本地密码更改以重置用户风险是一项仅限选择加入的功能。 客户应该在此功能在生产环境中启用之前评估此功能。 建议客户保护本地密码更改或重置流。 例如,在允许用户使用 Microsoft Identity Manager 的自助式密码重置门户之类的工具在本地更改密码之前,需要进行多重身份验证。

消除用户风险

如果在调查并确认用户帐户没有泄露风险后,可选择取消显示风险用户。

要消除 Microsoft Entra 管理中心消除至少作为安全操作者的用户风险,请浏览到“保护”>“标识保护”>“风险用户”,选择受影响的用户,然后选择“消除用户风险”。

选择“消除用户风险”时,用户将不再存在风险,并且此用户的所有风险登录和相应的风险检测也会被消除。

由于此方法不会影响用户的现有密码,因此不会将其标识恢复到安全状态。

基于风险消除的风险状态和详细信息

  • 风险用户:
    • 风险状态:“有风险”->“已消除”
    • 风险详细信息(风险修正详细信息):“-”->“管理员已消除用户的所有风险”
  • 此用户的所有风险登录以及相应的风险检测:
    • 风险状态:“有风险”->“已消除”
    • 风险详细信息(风险修正详细信息):“-”->“管理员已消除用户的所有风险”

确认用户遭到泄露

如果在调查后确认帐户已泄露,请执行以下操作:

  1. 选择“风险登录”或“风险用户”报表中的事件或用户,然后选择“确认已遭入侵”。
  2. 如果未触发基于风险的策略,并且风险未自行消除,请执行以下一项或多项操作:
    1. 请求密码重置
    2. 如果怀疑攻击者可能会重置密码或对用户启用多重身份验证,则封锁用户。
    3. 撤销刷新令牌
    4. 禁用任何被视为已遭入侵的设备
    5. 如果使用连续访问评估,则撤销所有访问令牌。

要详细了解确认入侵时发生的情况,请参阅遭遇风险时如何提供反馈部分。

已删除的用户

管理员无法消除已从目录中删除的用户的风险。 若要去除已删除的用户,请创建 Microsoft 支持案例。

对用户取消阻止

管理员可以选择基于其风险策略或调查来阻止登录。 可能会出现基于登录或用户风险的阻止。

基于用户风险取消阻止

如需对因用户风险遭到封锁的帐户解除封锁,管理员可使用以下选项:

  1. 重置密码 - 可以重置用户的密码。 如果用户已遭入侵或面临遭入侵的风险,则应重置用户密码以保护其帐户和你的组织。
  2. 消除用户风险 - 当已达到阻止访问的已配置用户风险级别时,用户风险策略将阻止用户。 如果在调查后确信用户没有被入侵的风险,并且允许其访问是安全的,则可以通过消除用户风险来降低用户的风险级别。
  3. 从策略中排除用户 - 如果你认为登录策略的当前配置导致特定用户出现问题,并且可安全地向这些用户授予访问权限,而无需向他们应用此策略,那么可以将其他们此策略中排除。 有关详细信息,请参阅如何配置和启用风险策略一文中的“排除项”部分。
  4. 禁用 - 如果认为策略配置导致所有用户出现问题,可禁用该策略。 有关详细信息,请参阅如何配置和启用风险策略一文。

基于登录风险取消阻止

若要基于登录风险对帐户取消阻止,管理员可以使用以下选项:

  1. 从熟悉的位置或设备登录 - 已阻止可疑登录的常见原因是尝试从不熟悉的位置或设备登录。 用户可通过尝试从熟悉的位置或设备登录来快速确定这是否是阻止原因。
  2. 从策略中排除用户 -如果你认为登录策略的当前配置导致特定用户出现问题,则可以从策略中排除用户。 有关详细信息,请参阅如何配置和启用风险策略一文中的“排除项”部分。
  3. 禁用 - 如果认为策略配置导致所有用户出现问题,可禁用该策略。 有关详细信息,请参阅如何配置和启用风险策略一文。

由于风险置信度高而自动阻止

Microsoft Entra ID 保护会自动阻止风险置信度非常高的登录。 此阻止行为最常发生在通过旧式身份验证协议执行的登录,并显示恶意尝试的属性。

使用此机制阻止用户时,他们将收到 50053 身份验证错误。 对登录日志的调查将显示以下阻止原因:“由于风险置信度高,登录被内置保护阻止。”

要基于高置信度登录风险解除对帐户的阻止,管理员可以使用以下选项:

  1. 将用于登录的 IP 添加到受信任位置设置 - 如果从公司的已知位置执行登录,则可以添加要受信任的 IP。 有关详细信息,请参阅条件访问:网络分配一文中的“受信任的位置”部分。
  2. 使用新式身份验证协议 - 如果通过旧协议执行登录,则切换到新协议将取消阻止尝试。

通过最近对检测体系结构的更新,在登录期间触发相关令牌盗窃或 Microsoft 威胁情报中心 (MSTIC) 民族国家 IP 检测时,不再自动修正含 MFA 声明的会话。

不再自动修正以下标识可疑令牌活动或 MSTIC 民族国家 IP 检测的 ID 保护检测:

  • Microsoft Entra 威胁情报
  • 异常令牌
  • 中间攻击者
  • MSTIC 民族国家 IP
  • 令牌颁发者异常

ID 保护现在会在“风险检测详细信息”窗格中,显示发出登录数据的检测的会话详细信息。 此更改可确保我们不会关闭包含检测,且存在 MFA 相关风险的会话。 会话详细信息和用户级别风险详细信息是可帮助调查的有价值信息。 此信息包括:

  • 令牌颁发者类型
  • 登录时间
  • IP 地址
  • 登录位置
  • 登录客户端
  • 登录请求 ID
  • 登录相关 ID

如果配置了基于用户风险的条件访问策略,并且其中一项检测表示对用户触发了可疑令牌活动,则最终用户需要执行安全密码更改,并使用多重身份验证重新对帐户进行身份验证,以清除风险。

PowerShell 预览

通过 Microsoft Graph PowerShell SDK 预览模块,组织可以使用 PowerShell 来管理风险。 可在 Microsoft Entra GitHub 存储库中找到预览模块和示例代码。

存储库中包含的Invoke-AzureADIPDismissRiskyUser.ps1脚本使组织可以在其目录中消除所有有风险的用户。

相关内容