使用 Azure AD B2C 中的 Identity Protection 調查風險
Identity Protection 為您的 Azure AD B2C 租使用者提供持續的風險偵測。 它可讓組織探索、調查及補救身分識別型風險。 Identity Protection 隨附風險報告,可用來調查 Azure AD B2C 租使用者中的身分識別風險。 在本文中,您將瞭解如何調查和降低風險。
概觀
Azure AD B2C Identity Protection 提供兩份報告。 具 風險的使用者 報告是系統管理員可以找到哪些用戶有風險,以及偵測的詳細數據。 風險 偵測報告提供每個風險偵測 的相關信息,包括類型、同時觸發的其他風險、登入嘗試位置等等。
每種報告啟動時,都會隨附報告頂端所示期間所有偵測的清單。 橫跨報告頂端的篩選器可供篩選報告。 管理員 istrators 可以選擇下載資料或使用MS Graph API 和 Microsoft Graph PowerShell SDK 可持續導出數據。
服務限制和考慮
使用 Identity Protection 時,請考慮下列事項:
- Identity Protection 預設為開啟。
- Identity Protection 適用於本機和社交身分識別,例如 Google 或 Facebook。 針對社交身分識別,必須啟用條件式存取。 偵測受到限制,因為社交帳戶認證是由外部識別提供者所管理。
- 在 Azure AD B2C 租使用者中,只有 Microsoft Entra ID Protection 風險偵測的子集可供使用。 Azure AD B2C 支援下列風險偵測:
| 風險偵測類型 | 描述 |
|---|---|
| 非慣用登入位置 | 根據使用者最近的登入,從非典型位置登入。 |
| 匿名 IP 位址 | 從匿名IP位址登入(例如:Tor 瀏覽器、匿名 VPN)。 |
| 已連結惡意程式碼的 IP 位址 | 從惡意代碼連結的IP位址登入。 |
| 不熟悉的登入屬性 | 使用我們最近未為指定使用者看到的屬性登入。 |
| 管理員 已確認使用者遭入侵 | 系統管理員已指出使用者遭到入侵。 |
| 密碼噴灑 | 透過密碼噴灑攻擊登入。 |
| Microsoft Entra 威脅情報 | Microsoft 的內部和外部威脅情報來源已確定了一種已知的攻擊模式。 |
定價層
某些 Identity Protection 功能需要 Azure AD B2C 進階版 P2。 如有必要,請將 Azure AD B2C 定價層變更為 進階版 P2。 下表摘要說明 Identity Protection 功能和必要的定價層。
| 功能 | P1 | P2 |
|---|---|---|
| 具風險使用者報告 | ✓ | ✓ |
| 有風險的使用者報告詳細數據 | ✓ | |
| 有風險的用戶報告補救 | ✓ | ✓ |
| 風險偵測報告 | ✓ | ✓ |
| 風險偵測報告詳細數據 | ✓ | |
| 報表下載 | ✓ | ✓ |
| MS Graph API 存取 | ✓ | ✓ |
必要條件
- 建立使用者流程 ,讓使用者可以註冊並登入您的應用程式。
- 註冊 Web 應用程式。
- 完成開始使用 Active Directory B2C 中的自定義原則中的 步驟
- 註冊 Web 應用程式。
調查有風險的使用者
系統管理員可以利用風險性使用者報告所提供的資訊來尋找:
- 風險狀態,顯示哪些用戶有風險、有風險補救,或有風險已解除
- 關於偵測的詳細資料
- 所有風險性登入的歷程記錄
- 風險歷程記錄
接著,系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇:
- 重設使用者密碼
- 確認使用者遭入侵
- 解除使用者風險
- 阻止使用者登入
- 使用 Azure ATP 進一步調查
系統管理員可以選擇關閉 Azure 入口網站 中用戶的風險,或透過 Microsoft Graph API 關閉用戶風險以程式設計方式關閉用戶風險。 需要 管理員 istrator 許可權才能關閉用戶的風險。 補救風險可由有風險的使用者或代表用戶的系統管理員執行,例如透過密碼重設。
流覽有風險的用戶報告
登入 Azure 入口網站。
如果您有多個租使用者的存取權,請選取頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
在 [Azure 服務] 底下,選取 [Azure AD B2C]。 或使用搜尋方塊來尋找並選取 [Azure AD B2C]。
在 [安全性] 底下,選取 [具風險的使用者]。
選取個別項目時,偵測下方即會展開詳細資料視窗。 詳細資料檢視可讓系統管理員調查及執行每項偵測的動作。
風險偵測報告
風險偵測報告包含最多過去 90 天 (三個月) 的可篩選資料。
系統管理員可以利用風險偵測報告所提供的資訊來尋找:
- 每項風險偵測的相關資訊,包括類型。
- 同時觸發的其他風險。
- 登入嘗試位置。
接著,系統管理員可以選擇返回使用者的風險或登入報告,依據收集到的資訊採取行動。
瀏覽風險偵測報告
在 Azure 入口網站中,搜尋並選取 [Azure AD B2C]。
在 [安全性] 底下,選取 [風險偵測]。
