完成 风险调查后,需要采取措施来修正有风险的用户或取消阻止他们。 可以通过设置 基于风险的策略 或手动更新用户的风险状态来启用自动修正。 Microsoft建议迅速采取行动,因为处理风险的时间很重要。
本文介绍用于修正风险的多个选项。 可以为用户启用自我修正,也可以代表用户手动修正风险。 本文还介绍了因用户风险而阻止用户的情况,并指导你如何解除对他们的阻止。
风险修正类型
所有活动风险检测都有助于计算用户的风险级别。 用户风险级别是反映用户帐户泄露可能性的一个指标(低、中、高)。 调查有风险的用户和相应的有风险的登录和检测后,应修正有风险的用户,使其不再面临风险或被阻止访问。
当Microsoft Entra ID Protection 将风险检测和相应的风险登录标识为不再构成安全威胁时,风险状态将自动更新为 “已消除 ”,风险详细信息作为 Microsoft Entra ID Protection 评估的登录安全。 这种自动修正可降低风险监视中的干扰,以便你可以专注于需要注意的事情。
作为 IT 管理员,你可以为用户配置自我修正或代表用户手动修正的能力。
自我修正选项包括:
- 设置基于风险的策略以允许用户自行修正其风险。
- 允许用户使用自助密码重置(SSPR)自行修正其用户风险。
- 为用户启动密码重置,以修正其用户风险。
手动修正选项包括:
- 消除用户的风险。
- 确认用户遭到入侵并采取措施来保护帐户。
- 根据用户风险或登录风险,取消阻止该用户。
还可以 在 Microsoft Defender for Identity 中修正。
用户自我修复
作为 IT 管理员,可以选择为用户配置自我修正。
基于风险的策略
可以通过设置 基于风险的策略,允许用户自行修正其登录风险和用户风险。 如果用户通过所需的访问控制,例如多重身份验证或安全密码更改,则会自动修正其风险。 相应的风险检测、有风险的登录和有风险的用户将报告 风险状态修正 ,而不是 有风险。
要应用基于风险的策略以允许自我修正,用户必须首先能够:
- 执行 MFA 以自我修正登录风险:
- 用户必须注册到 Microsoft Entra 多重身份验证。
- 执行安全密码更改以自我修正用户风险:
- 用户必须注册到 Microsoft Entra 多重身份验证。
- 对于从本地同步到云的混合用户,必须启用密码写回,以便其密码更改从云同步到本地。
如果在不符合条件的登录期间应用基于风险的策略,则会阻止用户。 出现此阻止是因为用户无法执行所需的步骤,因此需要管理员干预以解除阻止。
基于风险的策略基于风险级别进行配置,仅当登录或用户的风险级别与配置级别匹配时才适用。 某些检测可能不会将风险提高到策略适用的级别,因此管理员需要手动处理这些有风险的用户。 管理员可以确定需要采取额外的措施,例如 阻止从位置进行访问 或降低策略中可接受的风险。
自助密码重置
如果用户已注册自助密码重置(SSPR),他们可以通过执行自助密码重置来修正自己的用户风险。
手动重置密码
如果无法使用用户风险策略重置密码,或者时间紧急,管理员可以通过要求密码重置来修正风险用户。
管理员可以生成临时密码,或要求用户重置其密码。
生成临时密码
生成临时密码可以立即让标识恢复安全状态。 此方法需要联系受影响的用户,因为这些用户需要知道临时密码。 由于密码是临时的,因此,在下一次登录期间,系统会提示用户将密码更改为新密码。
- 可以在 Microsoft Entra 管理中心为云和混合用户生成密码。
- 如果已准备好以下设置,则可以从本地目录为混合用户生成密码:
- 按照指南 实现密码哈希同步。
- 启用 “允许本地密码更改”以重置 Microsoft Entra ID Protection 中的用户风险设置。
- 启用 自助密码重置。
- 在 Active Directory 中,仅当启用了前面项目中的所有内容时,才选择“用户下次登录时必须更改密码”这个选项。
要求用户重置密码
要求用户重置密码可以实现自助恢复,而无需联系支持人员或管理员。
- 云和混合用户可以完成安全密码更改。 此方法仅适用于已执行 MFA 的用户。 对于尚未注册的用户,此选项不可用。
- 当启用密码哈希同步和 “允许本地密码更改以重置用户风险 设置”时,混合用户可以从本地或已加入混合的 Windows 设备完成密码更改。
允许通过本地密码重置来消除用户风险
如果组织具有混合环境,则可以允许本地密码更改,以使用 密码哈希同步重置用户风险。 必须先启用密码 哈希同步, 然后用户才能在这些方案中自行修正。
- 风险混合用户无需管理员干预即可自行修正。 在本地更改密码时,会在 Microsoft Entra ID Protection 内自动修正用户风险,重置当前用户风险状态。
- 组织可以主动部署 需要密码更改的用户风险策略 ,以自信地保护其混合用户。 此选项增强了组织的安全态势,并通过确保用户风险得到及时解决(即使在复杂的混合环境中)简化了安全管理。
若要配置此设置,请执行以下操作:
- 以至少安全操作员的身份登录到Microsoft Entra 管理中心。
- 浏览到 ID 保护>控制台>设置。
- 选中“ 允许本地密码更改”以重置用户风险 的复选框,然后选择“ 保存”。
注意
允许本地密码更改以重置用户风险是一项仅限选择加入的功能。 客户应该在此功能在生产环境中启用之前评估此功能。 建议客户保护本地密码更改或重置流。 例如,在允许用户使用 Microsoft标识管理器 Self-Service 密码重置门户等工具更改本地密码之前,需要多重身份验证。
管理员手动整改
在某些情况下,可能需要手动修正或确认用户的风险。
消除用户风险
如果在调查后确认用户帐户没有遭到入侵的风险,则可以消除有风险的用户。
- 以至少安全操作员的身份登录到Microsoft Entra 管理中心。
- 浏览到 ID 保护>风险用户,然后选择受影响的用户。
- 选择 解除用户风险。 选择 “消除用户风险”时,用户不再面临风险,所有有风险的登录和相应的风险检测都会被消除。
由于此方法不会影响用户的现有密码,因此不会将其标识恢复到安全状态。
基于风险消除的风险状态和详细信息
- 风险用户:
- 风险状态:“有风险”->“已消除”
- 风险详细信息(风险修正详细信息):“-”->“管理员已消除用户的所有风险”
- 此用户的所有风险登录以及相应的风险检测:
- 风险状态:“有风险”->“已消除”
- 风险详细信息(风险修正详细信息):“-”->“管理员已消除用户的所有风险”
确认用户遭到泄露
如果在调查后确认帐户已泄露,请执行以下操作:
- 在 有风险的登录活动 或 有风险的用户 报告中选择事件或用户,然后选择 确认已泄露。
- 如果未触发基于风险的策略,并且未使用本文中所述的方法之一自行修正风险,则采取以下一项或多项作:
有关确认泄露时发生的情况的详细信息,请参阅 如何提供有关风险的风险反馈。
已删除的用户
如果用户已从存在风险的目录中删除,该用户仍会显示在风险报告中,即使帐户已删除也是如此。 管理员无法解除已从目录中删除的用户所带来的风险。 若要去除已删除的用户,请创建 Microsoft 支持案例。
对用户取消阻止
作为管理员,可以根据风险策略或调查阻止登录。 可能会出现基于登录或用户风险的阻止。
基于用户风险取消阻止
若要解锁因用户风险被阻止的帐户,您有以下选项:
- 重置密码 - 如果用户遭到入侵或面临泄露风险,则应重置用户的密码以保护其帐户和组织。
- 消除用户风险 - 达到配置的用户风险级别以阻止访问时,用户风险策略会阻止用户。 如果在调查后确信用户没有被入侵的风险,并且允许其访问是安全的,则可以通过消除用户风险来降低用户的风险级别。
- 从策略中排除用户 - 如果你认为登录策略的当前配置导致特定用户出现问题,并且可安全地向这些用户授予访问权限,而无需向他们应用此策略,那么可以将其他们此策略中排除。 有关详细信息,请参阅 “如何:配置和启用风险策略”。
- 禁用策略 - 如果认为策略配置导致所有用户出现问题,则可以禁用该策略。 有关详细信息,请参阅 “如何:配置和启用风险策略”。
基于登录风险取消阻止
若要根据登录风险取消阻止帐户,可以选择以下选项:
- 从熟悉的位置或设备登录 - 已阻止可疑登录的常见原因是尝试从不熟悉的位置或设备登录。 用户可通过尝试从熟悉的位置或设备登录来快速确定这是否是阻止原因。
- 从策略中排除用户 - 如果认为登录策略的当前配置导致特定用户出现问题,则可以从策略中排除用户。 有关详细信息,请参阅 “作说明:配置和启用风险策略”一文中的排除部分。
- 禁用策略 - 如果认为策略配置导致所有用户出现问题,则可以禁用该策略。 有关详细信息,请参阅 “如何:配置和启用风险策略”。
由于风险置信度高而自动阻止
Microsoft Entra ID 保护会自动阻止风险置信度非常高的登录。 此类阻止最常见于通过使用旧式身份验证协议执行的登录,或显示出恶意尝试的特征。
当任一方案阻止用户时,他们会收到 50053 身份验证错误。 登录日志显示以下阻止原因:“由于高风险的可信度,登录被内置保护阻止。
若要根据高置信度登录风险取消阻止帐户,可以选择以下选项:
- 添加用于登录到受信任位置设置的 IP - 如果从公司的已知位置执行登录,则可以将 IP 添加到受信任列表。 有关详细信息,请参阅 条件访问:网络分配。
- 使用新式身份验证协议 - 如果使用旧协议执行登录,切换到新式方法会取消阻止尝试。
令牌盗窃相关检测
通过最近对检测体系结构的更新,在登录期间触发相关令牌盗窃或 Microsoft 威胁情报中心 (MSTIC) 民族国家 IP 检测时,不再自动修正含 MFA 声明的会话。
不再自动修正以下标识可疑令牌活动或 MSTIC 民族国家 IP 检测的 ID 保护检测:
- Microsoft Entra 威胁情报
- 异常令牌
- 中间攻击者
- MSTIC 民族国家 IP
- 令牌颁发者异常
ID 保护现在会在“风险检测详细信息”窗格中,显示发出登录数据的检测的会话详细信息。 此更改可确保我们不会关闭包含检测,且存在 MFA 相关风险的会话。 提供具有用户级风险详细信息的会话详细信息可提供有价值的信息来帮助调查。 此信息包括:
- 令牌颁发者类型
- 登录时间
- IP 地址
- 登录位置
- 登录客户端
- 登录请求 ID
- 登录相关 ID
如果配置了 基于用户风险的条件访问策略 ,并且其中一项检测表示对用户触发了可疑令牌活动,则最终用户需要执行安全密码更改,并使用多重身份验证重新对帐户进行身份验证,以清除风险。
PowerShell 预览
通过 Microsoft Graph PowerShell SDK 预览模块,组织可以使用 PowerShell 来管理风险。 可以在 Microsoft Entra GitHub 存储库中找到预览模块和示例代码。
存储库中包含的Invoke-AzureADIPDismissRiskyUser.ps1
脚本使组织可以在其目录中消除所有有风险的用户。