分享方式:

補救風險並將使用者解除封鎖

  • 文章

完成調查之後,您必須採取行動來補救風險性使用者或將使用者解除封鎖。 組織可以設定風險型原則來啟用自動補救。 組織應該嘗試在組織所熟悉的時段內調查所有風險性使用者並加以補救。 Microsoft 建議您快速採取行動,因為在處理風險時,時間相當重要。

風險補救

所有作用中風險偵測都會納入使用者風險層級的計算。 使用者風險層級是使用者帳戶遭到入侵的可能性指標 (低、中、高)。 調查風險性使用者和對應的具風險性登入和偵測之後,您應該補救風險性使用者,使其不再處於風險狀態以及遭到封鎖而無法存取。

Microsoft Entra ID Protection 會將一些風險偵測和對應的具風險性登入標示為已解除,風險狀態為已解除且風險詳細資料顯示 Microsoft Entra ID Protection 評估登入安全。 之所以採取此動作,是因為這些事件已不再判定為有風險。

系統管理員可以使用下列選項來補救:

使用風險型原則進行自我補救

您可以設定風險型原則,讓使用者可以自行補救其登入風險和使用者風險。 如果使用者通過必要的存取控制,例如多重要素驗證或安全密碼變更,則系統會自動補救其風險。 對應的風險偵測、具風險的登入和風險性使用者,會回報風險狀態已補救,而不是有風險

在套用風險型原則以允許自我補救風險之前,使用者的必要條件如下:

  • 若要執行 MFA 以自我補救登入風險:
    • 使用者必須註冊 Microsoft Entra 多重要素驗證。
  • 若要執行安全密碼變更以自我補救使用者風險:
    • 使用者必須註冊 Microsoft Entra 多重要素驗證。
    • 若為從內部部署同步至雲端的混合式使用者,必須啟用密碼回寫。

如果在滿足上述必要條件之前,就在登入期間將風險型原則套用至使用者,則該使用者會遭到封鎖。 此封鎖動作是因為這些使用者執行必要的存取控制,需要系統管理員介入才能解除封鎖該使用者。

風險型原則會根據風險層級進行設定,且只有在登入或使用者的風險層級符合設定的層級時才會套用。 某些偵測可能不會對套用原則的層級造成風險,系統管理員需要手動處理這些風險性使用者。 系統管理員可以判斷是否需要額外的量值,例如依位置封鎖存取,或降低其原則中可接受的風險。

使用自助式密碼重設進行自我補救

如果使用者已註冊自助式密碼重設 (SSPR),則他們可以執行自助式密碼重設來補救自己的使用者風險。

手動重設密碼

如果無法使用使用者風險原則重設密碼,或時間很重要,則系統管理員可以藉由要求密碼重設來補救風險性使用者。

系統管理員可以選擇下列選項:

產生臨時密碼

藉由產生臨時密碼,您可以立即讓身分識別回到安全狀態。 此方法需要與受影響的使用者連絡,因為他們需要知道暫時密碼。 由於密碼是暫時性的,因此系統會提示使用者在下次登入時,將密碼變更為新的密碼。

  • 他們可以在 Microsoft Entra 系統管理中心為雲端和混合式使用者產生密碼。

  • 啟用密碼雜湊同步和允許內部部署密碼變更以重設使用者風險設定時,他們可以從內部部署目錄產生混合式使用者的密碼。

    警告

    請勿選取 [使用者必須在下次登入時變更密碼] 選項。 不受支援。

要求使用者重設密碼

要求使用者重設密碼能夠自行復原,而不需要連絡技術支援中心或系統管理員。

  • 雲端和混合式使用者可以完成安全密碼變更。 這個方法僅適用於已經可以執行 MFA 的使用者。 對於未註冊的使用者,則無法使用此選項。
  • 啟用密碼雜湊同步和允許內部部署密碼變更以重設使用者風險設定時,混合式使用者可以從內部部署或混合式聯結的 Windows 裝置完成密碼變更。

允許內部部署密碼重設以補救使用者風險

啟用密碼雜湊同步的組織可允許內部部署密碼變更以補救使用者風險。

此設定提供組織兩項新功能:

  • 具風險的混合式使用者可以自行補救,而不需要系統管理員介入。 當內部部署密碼變更時,使用者風險現在會在 Microsoft Entra ID Protection 中自動補救,重設目前的使用者風險狀態。
  • 組織可以主動部署需要密碼變更的使用者風險原則,充滿自信地保護其混合式使用者。 此選項可確保立即解決使用者風險,即使在複雜的混合式環境中,也能強化組織的安全性態勢並簡化安全性管理。

此螢幕擷取畫面顯示 [允許內部部署密碼變更以重設使用者風險] 核取方塊的位置。

若要進行此設定

  1. 至少以安全性操作員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [資料保護]>[身分識別保護]>[設定]
  3. 核取 [允許內部部署密碼變更以重設使用者風險] 方塊。
  4. 選取 [儲存]

注意

[允許內部部署密碼變更以重設使用者風險] 只是僅限選用的功能。 客戶應該先評估這項功能,再於生產環境中啟用。 我們建議客戶保護內部部署密碼變更或重設流程。 例如,在允許使用者使用 Microsoft Identity Manager 的自助式密碼重設入口網站等工具來變更其內部部署密碼之前,需要多重要素驗證。

解除使用者風險

如果調查後確認使用者帳戶沒有遭到入侵的風險,您就可以選擇解除風險性使用者。

若要在 Microsoft Entra 系統管理中心至少解除作為安全性操作員的使用者風險,請瀏覽至 [資料保護]>[身分識別保護]>[風險性使用者],選取受影響的使用者,然後選取 [解除使用者風險]

當您選取 [解除使用者風險] 時,使用者不再面臨風險,且此使用者的所有具風險的登入和對應的風險偵測也會一併解除。

由於此方法不會影響使用者的現有密碼,因此不會讓其身分識別恢復到安全狀態。

以風險解除為基礎的風險狀態和詳細資料

  • 風險性使用者:
    • 風險狀態:「有風險」->「已解除」
    • 風險詳細資料 (風險補救詳細資料):"-" ->「系統管理員已解除使用者的所有風險」
  • 此使用者的所有具風險性登入,以及對應的風險偵測:
    • 風險狀態:「有風險」->「已解除」
    • 風險詳細資料 (風險補救詳細資料):"-" ->「系統管理員已解除使用者的所有風險」

確認使用者遭到入侵

如果調查後,確認帳戶遭到入侵:

  1. 在 [風險性登入] 或 [風險性使用者] 報告中選取事件或使用者,然後選擇 [確認已遭盜用]。
  2. 如果未觸發風險型原則,且風險並未自我補救,請採取下列一或多個動作:
    1. 要求密碼重設
    2. 如果您懷疑攻擊者可以針對該使用者重設密碼或執行多重要素驗證,請封鎖該使用者。
    3. 撤銷重新整理令牌
    4. 若任何裝置被視為遭到入侵,請停用裝置
    5. 如果使用的是持續性存取評估,請撤銷所有存取權杖。

如需有關確認入侵時所發生狀況的詳細資訊,請參閱如何提供有關風險的風險意見反應一節

已刪除的使用者

系統管理員無法針對已從目錄中刪除的使用者解除風險。 若要移除已刪除的使用者,請開啟 Microsoft 支援案例。

正在解除封鎖使用者

系統管理員可以選擇根據其風險原則或調查來封鎖登入。 封鎖會依據登入或使用者風險執行。

根據使用者風險解除封鎖

若要解除封鎖因為使用者風險而遭到封鎖的帳戶,管理員可以選擇下列選項:

  1. 重設密碼 - 您可以重設使用者的密碼。 如果使用者遭到盜用或有遭到盜用的風險,則應該重設使用者的密碼以保護其帳戶和您的組織。
  2. 解除使用者風險 - 達到封鎖存取的設定使用者風險層級時,使用者風險原則即會封鎖使用者。 如果在調查之後,您確信使用者沒有遭到盜用的風險,而且可以放心地允許其進行存取,則您可以藉由解除使用者風險來降低使用者的風險層級。
  3. 從原則中排除使用者 - 如果您認為登入原則的目前設定會對特定使用者造成問題,而且您可以放心地對這些使用者授與存取權,而不需套用此原則,您就可以將其從此原則中排除。 如需詳細資訊,請參閱操作說明:設定和啟用風險原則一文中的「排除項目」一節。
  4. 停用原則 - 如果您認為您的原則設定對所有使用者造成問題,您可以停用原則。 如需詳細資訊,請參閱操作說明:設定和啟用風險原則

根據登入風險解除封鎖

若要解除因為登入風險而封鎖的帳戶,系統管理員可以選擇下列選項:

  1. 從熟悉的位置或裝置登入 - 可疑的登入會遭封鎖通常是因為使用者嘗試從不熟悉的位置或裝置登入。 使用者可以透過嘗試從熟悉的位置或裝置登入,迅速判斷這個原因是否為遭到封鎖的原因。
  2. 從原則中排除使用者 - 如果您認為登入原則的目前設定造成特定使用者的問題,您可以將使用者排除。 如需詳細資訊,請參閱操作說明:設定和啟用風險原則一文中的「排除項目」一節。
  3. 停用原則 - 如果您認為您的原則設定對所有使用者造成問題,您可以停用原則。 如需詳細資訊,請參閱操作說明:設定和啟用風險原則

由於信賴風險高而自動封鎖

Microsoft Entra ID Protection 會自動封鎖具有高風險信賴度的登入。 此區塊最常發生在透過舊版驗證通訊協定執行的登入時,以及顯示惡意嘗試的屬性。

當使用者使用此機制封鎖時,他們會收到 50053 驗證錯誤。 對登入記錄的調查會顯示下列封鎖原因:「登入因高風險而遭到內建保護封鎖。」

若要根據高信賴度登入風險解除封鎖帳戶,系統管理員有下列選項:

  1. 新增用來登入信任位置設定 的IP - 如果登入是從貴公司的已知位置執行,您可以新增要信任的IP。 如需詳細資訊,請參閱條件式存取:網路指派一文中的一節
  2. 使用新式驗證通訊協定 - 如果透過舊版通訊協定 執行登入,切換至新式將會解除封鎖嘗試。

在最近更新我們的偵測架構後,若要登入期間觸發權杖竊取相關或 Microsoft 威脅情報中心 (MSTIC) 國家/地區州/省 IP 偵測,我們不再使用 MFA 宣告自動補救工作階段。

對於下列識別可疑權杖活動或 MSTIC 國家/地區州/省 IP 偵測的 ID Protection 偵測,我們不再提供自動補救:

  • Microsoft Entra 威脅情報
  • 異常權杖
  • 中間攻擊者
  • MSTIC 國家/地區州/省 IP
  • 權杖簽發者異常

ID Protection 現在會在 [風險偵測詳細資料] 窗格中,針對發出登入資料的偵測,顯示工作階段詳細資料。 這項變可確保我們不會關閉所含偵測有 MFA 相關風險的工作階段。 提供工作階段詳細資料與使用者層級風險詳細資料,可提供寶貴資訊來協助調查。 此資訊包括:

  • 權杖簽發者類型
  • 登入時間
  • IP 位址
  • 登入位置
  • 登入用戶端
  • 登入要求識別碼
  • 登入相互關聯識別碼

如果您已設定使用者風險型條件式存取原則,且其中一項偵測表示使用者引發可疑的權杖活動,則該使用者必須執行安全密碼變更,並使用多重要素驗證重新驗證其帳戶,以清除風險。

PowerShell 預覽

使用 Microsoft Graph PowerShell SDK Preview 模組時,組織可以使用 PowerShell 來管理風險。 您可以在 Microsoft Entra GitHub 存放庫 \(英文\) 中找到預覽模組與範例程式碼。

存放庫中包含的 Invoke-AzureADIPDismissRiskyUser.ps1 指令碼,可讓組織在其目錄中關閉所有風險性使用者。

相關內容