使用 Azure AD B2C 中的 Identity Protection 調查風險

發行項
01/24/2024

Identity Protection 為您的 Azure AD B2C 租使用者提供持續的風險偵測。它可讓組織探索、調查及補救身分識別型風險。 Identity Protection 隨附風險報告，可用來調查 Azure AD B2C 租使用者中的身分識別風險。在本文中，您將瞭解如何調查和降低風險。

概觀

Azure AD B2C Identity Protection 提供兩份報告。具 風險的使用者 報告是系統管理員可以找到哪些用戶有風險，以及偵測的詳細數據。風險 偵測報告提供每個風險偵測 的相關信息，包括類型、同時觸發的其他風險、登入嘗試位置等等。

每種報告啟動時，都會隨附報告頂端所示期間所有偵測的清單。橫跨報告頂端的篩選器可供篩選報告。管理員 istrators 可以選擇下載資料或使用MS Graph API 和 Microsoft Graph PowerShell SDK 可持續導出數據。

服務限制和考慮

使用 Identity Protection 時，請考慮下列事項：

Identity Protection 預設為開啟。
Identity Protection 適用於本機和社交身分識別，例如 Google 或 Facebook。針對社交身分識別，必須啟用條件式存取。偵測受到限制，因為社交帳戶認證是由外部識別提供者所管理。
在 Azure AD B2C 租使用者中，只有 Microsoft Entra ID Protection 風險偵測的子集可供使用。 Azure AD B2C 支援下列風險偵測：

風險偵測類型	描述
非慣用登入位置	根據使用者最近的登入，從非典型位置登入。
匿名 IP 位址	從匿名IP位址登入（例如：Tor 瀏覽器、匿名 VPN）。
已連結惡意程式碼的 IP 位址	從惡意代碼連結的IP位址登入。
不熟悉的登入屬性	使用我們最近未為指定使用者看到的屬性登入。
管理員已確認使用者遭入侵	系統管理員已指出使用者遭到入侵。
密碼噴灑	透過密碼噴灑攻擊登入。
Microsoft Entra 威脅情報	Microsoft 的內部和外部威脅情報來源已確定了一種已知的攻擊模式。

定價層

某些 Identity Protection 功能需要 Azure AD B2C 進階版 P2。如有必要，請將 Azure AD B2C 定價層變更為進階版 P2。下表摘要說明 Identity Protection 功能和必要的定價層。

功能	P1	P2
具風險使用者報告	✓	✓
有風險的使用者報告詳細數據		✓
有風險的用戶報告補救	✓	✓
風險偵測報告	✓	✓
風險偵測報告詳細數據		✓
報表下載	✓	✓
MS Graph API 存取	✓	✓

必要條件

建立使用者流程，讓使用者可以註冊並登入您的應用程式。
註冊 Web 應用程式。

完成開始使用 Active Directory B2C 中的自定義原則中的步驟
註冊 Web 應用程式。

調查有風險的使用者

系統管理員可以利用風險性使用者報告所提供的資訊來尋找：

風險狀態，顯示哪些用戶有風險、有風險補救，或有風險已解除
關於偵測的詳細資料
所有風險性登入的歷程記錄
風險歷程記錄

接著，系統管理員可以選擇對這些事件採取動作。系統管理員可以選擇：

重設使用者密碼
確認使用者遭入侵
解除使用者風險
阻止使用者登入
使用 Azure ATP 進一步調查

系統管理員可以選擇關閉 Azure 入口網站中用戶的風險，或透過 Microsoft Graph API 關閉用戶風險以程式設計方式關閉用戶風險。需要管理員 istrator 許可權才能關閉用戶的風險。補救風險可由有風險的使用者或代表用戶的系統管理員執行，例如透過密碼重設。

流覽有風險的用戶報告

登入 Azure 入口網站。
如果您有多個租使用者的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
在 [Azure 服務] 底下，選取 [Azure AD B2C]。或使用搜尋方塊來尋找並選取 [Azure AD B2C]。
在 [安全性] 底下，選取 [具風險的使用者]。

選取個別項目時，偵測下方即會展開詳細資料視窗。詳細資料檢視可讓系統管理員調查及執行每項偵測的動作。