标识保护风险分析工作簿

Microsoft Entra ID 保护可检测、修正和防止遭入侵的标识。 作为 IT 管理员，你需要了解组织中的风险趋势，并寻找更优策略配置的机会。 借助标识保护风险分析工作簿，你可以解答有关标识保护实现的常见问题。

本文概述了标识保护风险分析工作簿。

先决条件

若要将 Azure 工作簿用于 Microsoft Entra ID，需要：

• 使用 Premium P1 许可证的 Microsoft Entra 租户
• 一个 Log Analytics 工作区和对该工作区的访问权限
• Azure Monitor 和 Microsoft Entra ID 的相应角色

Log Analytics 工作区

必须先创建 Log Analytics 工作区，然后才能使用 Microsoft Entra 工作簿。 有多个因素决定对 Log Analytics 工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。

有关详细信息，请参阅管理对 Log Analytics 工作区的访问权限。

Azure Monitor 角色

Azure Monitor 提供两个内置角色，用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。

• 视图：

  • 监视查阅者
  • Log Analytics 读者

• 查看和修改设置：

  • 监视参与者
  • Log Analytics 参与者

Microsoft Entra 角色

只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能，以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。

• “读取”：

  • 报告读者
  • 安全读取者
  • 全局读取者

• 更新：

  • 安全管理员

有关 Microsoft Entra 内置角色的详细信息，请参阅 Microsoft Entra 内置角色。

有关 Log Analytics RBAC 角色的详细信息，请参阅 Azure 内置角色。

说明

作为 IT 管理员，需要了解标识风险的趋势和策略实现中的差距，以确保能最好地保护组织免受标识泄露的影响。 标识保护风险分析工作簿可帮助分析组织中的风险状态。

此工作簿：

• 提供全球何处检测到风险的可视化信息。
• 便于了解实时及脱机风险检测的趋势。
• 深入了解对风险用户的响应有效性。

如何访问工作簿

1. 使用适当的角色组合登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“工作簿”。

3. 从“使用情况”部分选择“标识保护风险分析”工作簿。

工作簿的各个部分

此工作簿包含五个部分：

• 风险检测的热度地图
• 脱机与实时风险检测
• 风险检测趋势
• 有风险用户
• 总结

筛选器

此工作簿支持设置时间范围筛选器。

风险检测趋势和风险用户部分中提供了更多筛选器。

风险检测趋势：

• 检测计时类型（实时或脱机）
• 风险级别（低、中、高或无）

风险用户：

• 风险详细信息（指明是什么改变了用户的风险级别）
• 风险级别（低、中、高或无）

最佳实践

• 启用风险登录策略 - 就中等或以上级别的风险提示用户进行多重身份验证 (MFA)。 启用此策略后，通过允许合法用户使用 MFA 自行修正风险检测，降低主动实时风险检测的比例。

• 启用风险用户策略 - 当用户被视为高风险用户时，支持用户安全地修正其帐户。 启用此策略后，通过将用户的凭据返回到安全状态，减少组织中处于风险状态的活动用户数量。

• 若要了解有关标识保护的详细信息，请参阅什么是标识保护。

• 有关 Microsoft Entra 工作簿的详细信息，请参阅如何使用 Microsoft Entra 工作簿。