完成 风险调查后,需要采取措施来修正有风险的用户或取消阻止他们。 可以设置 基于风险的策略 以启用自动修正或手动更新用户的风险状态。 Microsoft建议迅速采取行动,因为处理风险的时间很重要。
本文提供了多种选项,用于自动和手动修正风险,并涵盖因用户风险而导致用户被阻止的情况,以便了解如何取消阻止这些用户。
先决条件
- 需要Microsoft Entra ID P2 或 Microsoft Entra Suite 许可证才能完全访问 Microsoft Entra ID Protection 功能。
- 有关每个许可证层功能的详细列表,请参阅 什么是Microsoft Entra ID 保护。
- 用户管理员角色是重置密码所需的最低特权角色。
- 安全作员角色是消除用户风险所需的最低特权角色。
- 安全管理员角色是创建或编辑基于风险的策略所需的最低特权角色。
- 条件访问管理员角色是创建或编辑条件访问策略所需的最低特权角色。
风险修正的工作原理
所有活动风险检测都有助于计算用户的风险级别,这表示用户帐户遭到入侵的可能性。 可能需要调查和解决风险,具体取决于风险级别和租户的配置。 可以通过设置 基于风险的策略,允许用户自行修正其登录和用户风险。 如果用户通过所需的访问控制,例如多重身份验证或安全密码更改,则会自动修正其风险。
如果在不符合条件的登录期间应用基于风险的策略,则会阻止用户。 因为用户无法执行所需的步骤,因此发生了阻止事件。需要管理员干预来 取消阻止用户。
基于风险的策略基于风险级别进行配置,仅当登录或用户的风险级别与配置级别匹配时才适用。 某些检测可能不会将风险提高到策略适用的级别,因此管理员需要手动处理这些情况。 管理员可以确定需要采取额外的措施,例如 阻止从位置进行访问 或降低策略中可接受的风险。
最终用户自行修复
配置基于风险的条件访问策略时,修正用户风险和登录风险可能是用户的自助服务过程。 这种自我修正允许用户解决自己的风险,而无需联系技术支持或管理员。 作为 IT 管理员,你可能不需要采取任何措施来修正风险,但你确实需要知道如何配置允许自我修正的策略,以及相关报表中看到的内容。 有关详细信息,请参见:
自动缓解登录风险
如果用户的登录风险达到基于风险的策略设置的级别,系统会提示用户执行多重身份验证(MFA),以修正登录风险。 如果他们成功完成 MFA 验证,则会缓解登录风险。 用户、登录和相应的风险检测的风险状态和风险详细信息将更新如下:
- 风险状态:“有风险”-> “修正”
- 风险详细信息:“-”-> “用户通过了多重身份验证”
未修正的登录风险会影响用户风险,因此制定基于风险的策略允许用户自行修正其登录风险,因此其用户风险不会受到影响。
自我缓解用户风险
如果系统提示用户使用自助密码重置(SSPR)修正用户风险,系统会提示他们更新密码,如 Microsoft Entra ID Protection 用户体验 文章中所示。 更新密码后,将修正用户风险。 安全密码更改(MFA 和密码更改)还可以修正用户风险。 然后,用户可以继续使用其新密码登录。 用户、登录和相应的风险检测的风险状态和风险详细信息将更新如下:
- 风险状态:“有风险”-> “修正”
- 风险详细信息:“-” -> “用户执行了安全密码重置”
云和混合用户的注意事项
- 仅当云和混合用户能够执行 MFA 时,才能使用 SSPR 完成安全密码更改。 对于尚未注册的用户,此选项不可用。
- 当启用密码哈希同步和 “允许本地密码更改以重置用户风险 设置”时,混合用户可以从本地或已加入混合的 Windows 设备完成密码更改。
基于系统的修正
在某些情况下,Microsoft Entra ID Protection 还可以自动消除用户的风险状态。 风险检测活动和相应的风险登入尝试都被 ID 防护识别和标识为不再构成安全威胁。 如果用户提供第二个因素(例如多重身份验证(MFA),或者实时和脱机评估确定登录不再有风险,则会发生这种自动干预。 这种自动修正可降低风险监视中的干扰,以便你可以专注于需要注意的事情。
- 风险状态:“有风险”-> “已消除”
- 风险详细信息:“——” > “Microsoft Entra ID Protection 评估登录为安全”
管理员手动修正
在某些情况下,IT 管理员需要手动修正登录或用户风险。 如果没有配置基于风险的策略,如果风险级别不符合自我修正的条件,或者时间至关重要,则可能需要执行以下措施之一:
- 为用户生成临时密码。
- 要求用户重置其密码。
- 消除用户的风险。
- 确认用户遭到入侵并采取措施来保护帐户。
- 取消阻止用户。
生成临时密码
生成临时密码可以立即让标识恢复安全状态。 此方法需要联系受影响的用户,因为这些用户需要知道临时密码。 由于密码是临时的,因此,在下一次登录期间,系统会提示用户将密码更改为新密码。
若要生成临时密码,请执行以下作:
登录到 Microsoft Entra 管理中心。
浏览到 保护>标识保护>风险用户,然后选择受影响的用户。
- 或者,浏览到“所有用户>”,然后选择受影响的用户。
选择重置密码。
查看消息,然后再次选择 “重置密码 ”。
向用户提供临时密码。 下次登录时,用户必须更改其密码。
用户、登录和相应的风险检测的风险状态和风险详细信息将更新如下:
- 风险状态:“有风险”-> “修正”
- 风险详细信息:“-” -> “管理员为用户生成临时密码”
云和混合用户的注意事项
为云和混合用户生成临时密码时,请注意以下注意事项:
- 可以在 Microsoft Entra 管理中心为云和混合用户生成密码。
- 如果已准备好以下设置,则可以从本地目录为混合用户生成密码:
- 启用密码哈希同步,包括 同步临时密码 部分中的 PowerShell 脚本。
- 启用 “允许本地密码更改”以重置 Microsoft Entra ID Protection 中的用户风险设置。
- 启用 自助密码重置。
- 在 Active Directory 中, 只有在启用上述所有项目后,才选择 用户必须在下一次登录时更改密码 选项。
需要密码重置
你可以要求有风险的用户重置其密码以修正其风险。 由于不会提示这些用户通过基于风险的策略更改其密码,因此必须与他们联系以重置其密码。 重置密码的方式取决于用户的类型:
- 在与 Microsoft Entra 结合的设备上工作的云用户和混合用户:在成功进行多因素身份验证登录后执行安全密码更改。 用户必须已注册 MFA。
-
具有本地或已加入混合的 Windows 设备的混合用户:在其 Windows 设备上通过 Ctrl-Alt-Delete 屏幕执行安全密码更改。
- 必须启用 “允许本地密码更改”以重置用户风险 设置。
- 如果在 Active Directory 中启用了 下一次登录设置时用户必须更改密码 ,系统会提示用户在下次登录时更改其密码。 仅当 “云和混合用户” 部分中的设置已到位时,此选项才可用。
用户、登录和相应的风险检测的风险状态和风险详细信息将更新如下:
- 风险状态:“有风险”-> “修正”
- 风险详细信息:“-” -> “用户执行了安全密码更改”
消除风险
如果调查后,你确认登录或用户帐户没有遭到入侵的风险,则可以消除风险。
- 以至少安全操作员的身份登录到Microsoft Entra 管理中心。
- 浏览到 保护>标识保护>风险登录 或 有风险的用户,然后选择有风险的活动。
- 选择“ 消除有风险的登录” 或 “消除用户风险”。
由于此方法不会更改用户的现有密码,因此不会将其标识重新置于安全状态。 你仍可能需要联系用户,告知他们风险,并建议他们更改其密码。
用户、登录和相应的风险检测的风险状态和风险详细信息将更新如下:
- 风险状态:“有风险”->“已消除”
- 风险详细信息:“-”-> “管理员消除登录风险”或“管理员已消除用户的所有风险”
确认用户遭到泄露
如果经过调查,确认登录或用户存在风险,可以手动确认帐户是否遭到泄露:
- 在 有风险的登录活动 或 有风险的用户 报告中选择事件或用户,然后选择 确认已泄露。
- 如果未触发基于风险的策略,并且未使用本文中所述的方法之一自行修正风险,则采取以下一项或多项作:
用户、登录和相应的风险检测的风险状态和风险详细信息将更新如下:
- 风险状态:“有风险”-> “已确认已泄露”
- 风险详细信息:“-” -> “管理员确认用户已泄露”
有关确认泄露时发生的情况的详细信息,请参阅 如何提供有关风险的反馈。
解除阻止用户
基于风险的策略可用于阻止帐户保护组织免受入侵帐户的影响。 你应该调查这些方案,以确定如何取消阻止用户,然后确定用户被阻止的原因。
从熟悉的位置或设备登录
如果登录尝试似乎来自不熟悉的位置或设备,登录通常会被阻止为可疑。 用户可以从熟悉的位置或设备登录,尝试取消阻止登录。 如果登录成功,Microsoft ID 保护会自动修正登录风险。
- 风险状态:“有风险”->“已消除”
- 风险详细信息:"-" ->“Microsoft Entra ID 保护已评估为登录安全”
从策略中排除用户
如果认为登录或用户风险策略的当前配置导致了 特定 用户的问题,则可以从策略中排除用户。 你需要确认,在不向这些用户应用此策略的情况下授予对这些用户的访问权限是安全的。 有关详细信息,请参阅 “如何:配置和启用风险策略”。
可能需要手动消除风险或用户,以便他们可以登录。
禁用策略
如果认为策略配置导致 所有用户 出现问题,则可以禁用该策略。 有关详细信息,请参阅 “如何:配置和启用风险策略”。
可能需要手动消除风险或用户,以便他们可以在处理策略之前登录。
由于风险置信度高而自动阻止
Microsoft Entra ID 保护会自动阻止风险置信度非常高的登录。 此类阻止最常见于通过使用旧式身份验证协议执行的登录,或显示出恶意尝试的特征。 当任一方案阻止用户时,他们会收到 50053 身份验证错误。 登录日志显示以下阻止原因:“由于风险高置信度,登录被内置保护阻止。”
若要根据高置信度登录风险取消阻止帐户,可以选择以下选项:
- 添加用于登录到受信任位置设置的 IP:如果从公司的已知位置执行登录,则可以将 IP 添加到受信任列表。 有关详细信息,请参阅 条件访问:网络分配。
- 使用新式身份验证协议:如果使用旧协议执行登录,请切换到新式协议以解除阻止尝试。
允许通过本地密码重置来消除用户风险
如果组织具有混合环境,则可以允许本地密码更改,以使用 密码哈希同步重置用户风险。 必须先启用密码哈希同步,然后用户才能在这些方案中自行修正。
- 风险混合用户无需管理员干预即可自行修正。 当用户在本地更改其密码时,会在 Microsoft Entra ID Protection 内自动修正用户风险,重置当前用户风险状态。
- 组织可以主动部署 需要密码更改来保护其混合用户的用户风险策略 。 此选项增强了组织的安全态势,并通过确保用户风险得到及时解决(即使在复杂的混合环境中)简化了安全管理。
注意
允许本地更改密码以修正用户风险是一项需要手动启用的功能。 客户应在生产环境中启用此功能之前对其进行评估。 我们建议客户保护本地密码更改过程。 例如,在允许用户使用 Microsoft Identity Manager Self-Service 密码重置门户等工具更改本地密码之前,需要多重身份验证。
若要配置此设置,请执行以下操作:
- 以至少安全操作员的身份登录到Microsoft Entra 管理中心。
- 浏览到 保护>标识保护>设置。
- 选中“ 允许本地密码更改”以重置用户风险 的复选框,然后选择“ 保存”。
已删除的用户
如果用户已从存在风险的目录中删除,该用户仍会显示在风险报告中,即使帐户已删除也是如此。 管理员无法解除已从目录中删除的用户所带来的风险。 若要去除已删除的用户,请创建 Microsoft 支持案例。
令牌盗窃相关检测
我们通过最近更新我们的检测体系结构,当令牌被盗相关或已验证的威胁参与者 IP 检测在登录期间触发时,不再自动纠正拥有 MFA 声明的会话。
以下由 ID 保护检测识别的可疑令牌活动或已验证威胁参与者 IP 检测,不再自动修正:
- Microsoft Entra 威胁情报
- 异常令牌
- 中间攻击者
- 经过验证的威胁参与者 IP
- 令牌颁发者异常
ID 保护现在会在“风险检测详细信息”窗格中显示会话详细信息,用于检测发出登录数据的检测。 此更改可确保我们不会关闭包含具有 MFA 相关风险检测的会话。 提供具有用户级风险详细信息的会话详细信息可提供有价值的信息来帮助调查。 此信息包括:
- 令牌颁发者类型
- 登录时间
- IP 地址
- 登录位置
- 登录客户端
- 登录请求 ID
- 登录关联 ID
如果配置了基于用户风险的条件访问策略,并且其中一项检测表示对用户触发了可疑令牌活动,则最终用户需要执行安全密码更改,并使用多重身份验证重新对帐户进行身份验证,以清除风险。
PowerShell 预览版
通过 Microsoft Graph PowerShell SDK 预览模块,组织可以使用 PowerShell 来管理风险。 可以在 Microsoft Entra GitHub 存储库中找到预览模块和示例代码。
存储库中包含的Invoke-AzureADIPDismissRiskyUser.ps1脚本使组织可以在其目录中消除所有有风险的用户。