補救風險並將使用者解除封鎖
完成 調查之後,您必須採取動作來補救有風險的使用者或解除封鎖使用者。 組織可以藉由設定 風險型原則來啟用自動化補救。 組織應該嘗試在貴組織熟悉的一段時間內調查和補救所有有風險的使用者。 Microsoft 建議快速採取行動,因為處理風險的時間很重要。
風險補救
所有作用中風險偵測都有助於計算用戶的風險等級。 用戶風險等級是用戶帳戶遭入侵機率的指標(低、中、高)。 身為系統管理員,在徹底調查有風險的使用者和對應的有風險的登入和偵測之後,您想要補救有風險的使用者,使其不再處於風險且不會遭到封鎖。
Microsoft Entra ID Protection 會將某些風險偵測和對應的有風險登入標示為已關閉,風險狀態 為 [已關閉] 和 [風險詳細數據 ] Microsoft Entra ID Protection 評估登入安全。 它會採取此動作,因為這些事件已不再判定為有風險。
系統管理員可以使用下列選項來補救:
- 設定 風險型原則 ,讓用戶能夠自行補救其風險。
- 手動重設其密碼。
- 關閉其用戶風險。
- 在 適用於身分識別的 Microsoft Defender 中補救。
使用風險型原則進行自我補救
您可以設定以風險為基礎的原則,讓使用者自行補救其登入風險和用戶風險。 如果使用者通過必要的訪問控制,例如多重要素驗證或安全密碼變更,則會自動補救其風險。 對應的風險偵測、有風險的登入和有風險的使用者會回報風險狀態補救,而不是有風險。
在套用風險型原則以允許自我補救風險之前,使用者的必要條件如下:
- 若要執行 MFA 以自我補救登入風險:
- 用戶必須已註冊 Microsoft Entra 多重要素驗證。
- 若要執行安全密碼變更以自我補救用戶風險:
- 用戶必須已註冊 Microsoft Entra 多重要素驗證。
- 針對從內部部署同步至雲端的混合式使用者,必須啟用密碼回寫。
如果在符合上述必要條件之前,在登入期間將風險型原則套用至使用者,則會封鎖使用者。 此封鎖動作是因為無法執行必要的訪問控制,而且需要系統管理員介入才能解除封鎖使用者。
風險型原則會根據風險層級進行設定,只有在登入或用戶的風險層級符合設定的層級時,才適用。 某些偵測可能不會對套用原則的層級造成風險,系統管理員需要手動處理這些有風險的使用者。 管理員 istrators 可以判斷需要額外的量值,例如封鎖來自位置的存取,或降低其原則中可接受的風險。
使用自助式密碼重設進行自我補救
如果用戶已註冊自助式密碼重設 (SSPR),他們可以執行自助式密碼重設來補救自己的用戶風險。
手動重設密碼
如果要求使用用戶風險原則重設密碼不是選項,或時間是本質,系統管理員可以藉由要求密碼重設來補救有風險的使用者。
管理員 istrators 有可從下列選項中選擇的選項:
產生暫時密碼 - 您可以產生暫時密碼,讓身分識別立即回到安全狀態。 此方法需要連絡受影響的使用者,因為他們必須知道暫時密碼是什麼。 由於密碼是暫時性的,因此系統會提示使用者在下次登入時,將密碼變更為新的密碼。
他們可以在 Microsoft Entra 系統管理中心為雲端和混合式用戶產生密碼。
當啟用密碼哈希同步處理和 [允許內部部署密碼變更重設用戶風險 ] 設定時,他們可以從內部部署目錄產生混合式用戶的密碼。
警告
請勿選取 [用戶必須在下次登入時變更密碼] 選項。 不受支援。
要求使用者必須重設密碼 - 要求使用者必須重設密碼,即可啟用自助復原而不用連絡技術支援中心或系統管理員。
- 雲端和混合式使用者可以完成安全的密碼變更。 這個方法僅適用於已經執行 MFA 的使用者。 對於尚未註冊的使用者,無法使用此選項。
- 當啟用密碼哈希同步處理和 [允許內部部署密碼變更以重設用戶風險 ] 設定時,混合式使用者可以按下 Ctrl+Alt+Del,並從內部部署或混合式加入的 Windows 裝置變更密碼來完成密碼變更。
允許內部部署密碼重設以補救使用者風險 (預覽)
已啟用 密碼哈希同步 處理的組織可讓內部部署的密碼變更補救用戶風險。
此組態提供組織兩項新功能:
- 具風險的混合式使用者可以自行補救,而不需要系統管理員介入。 當內部部署密碼變更時,用戶風險現在會自動在 Microsoft Entra ID Protection 內補救,重設目前的用戶風險狀態。
- 組織可以主動部署 需要密碼變更 的用戶風險原則,以自信地保護其混合式使用者。 此選項可強化組織的安全性狀態,並藉由確保用戶風險立即解決,即使在複雜的混合式環境中,也能簡化安全性管理。
若要設定此設定
- 以至少安全性操作員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護身分識別保護>> 設定]。
- 核取 [ 允許內部部署密碼變更] 以重設用戶風險的方塊。
- 選取 [儲存]。
注意
允許內部部署密碼變更重設用戶風險只是加入加入功能。 客戶應該先評估這項功能,再於生產環境中啟用。 我們建議客戶保護內部部署密碼變更或重設流程。 例如,在允許使用者使用 Microsoft Identity Manager 的自助式密碼重設入口網站等工具來變更其內部部署密碼之前,需要多重要素驗證。
解除使用者風險
如果在調查後確認使用者帳戶沒有遭到入侵的風險,您可以選擇關閉有風險的使用者。
若要將用戶風險解除為 Microsoft Entra 系統管理中心中的至少安全性操作員,請流覽至 [保護>身分識別保護>風險使用者]、選取受影響的使用者,然後選取 [關閉使用者][s] 風險。
當您選取 [關閉用戶風險] 時,使用者不再面臨風險,而且此使用者的所有有風險登入和對應的風險偵測也會關閉。
由於此方法不會影響使用者現有的密碼,因此不會將其身分識別恢復為安全狀態。
風險狀態和詳細數據,根據風險解僱
- 有風險的使用者:
- 風險狀態:「有風險」-> 「已解除」
- 風險詳細數據(風險補救詳細數據):“-” -> “管理員 已關閉使用者的所有風險”
- 此使用者的所有具風險登入,以及對應的風險偵測:
- 風險狀態:「有風險」-> 「已解除」
- 風險詳細數據(風險補救詳細數據):“-” -> “管理員 已關閉使用者的所有風險”
確認使用者遭到入侵
如果在調查之後,就會確認帳戶遭到入侵:
- 在 Risky 登入或有風險的使用者報告中選取事件或使用者,然後選擇 [確認遭入侵]。
- 如果未觸發以風險為基礎的原則,且風險並未 自我補救,請執行下列一或多個動作:
- 要求密碼重設。
- 如果您懷疑攻擊者可以重設密碼或對用戶執行多重要素驗證,請封鎖使用者。
- 撤銷重新整理權杖。
- 停用任何被視為遭入侵的裝置 。
- 如果使用的是持續性存取評估,請撤銷所有存取權杖。
如需有關確認入侵時所發生狀況的詳細資訊,請參閱如何提供風險意見反應和幕後發生什麼事?一節。
已刪除的使用者
系統管理員無法關閉已從目錄中刪除的用戶風險。 若要移除已刪除的使用者,請開啟 Microsoft 支援案例。
正在解除封鎖使用者
系統管理員可以選擇根據其風險原則或調查來封鎖登入。 區塊可能會根據登入或用戶風險進行。
根據使用者風險解除封鎖
若要解除封鎖因為使用者風險而遭到封鎖的帳戶,管理員可以選擇下列選項:
- 重設密碼 - 您可以重設使用者的密碼。 如果使用者遭到盜用或有遭到盜用的風險,則應該重設使用者的密碼以保護其帳戶和您的組織。
- 解除使用者風險 - 如果達到封鎖存取的設定使用者風險層級,使用者風險原則會封鎖使用者。 如果在調查之後,您確信用戶沒有遭到入侵的風險,而且允許其存取是安全的,則可以藉由關閉用戶風險來降低使用者的風險等級。
- 從原則 中排除使用者 - 如果您認為登入原則的目前設定會導致特定用戶發生問題,且可以放心地授與這些使用者的存取權,而不需要套用此原則,您就可以將其從此原則中排除。 如需詳細資訊,請參閱如何:設定和啟用風險原則一文中的排除一節。
- 停用原則 - 如果您認為您的原則設定對所有使用者造成問題,您可以停用原則。 如需詳細資訊,請參閱如何:設定和啟用風險原則一文。
根據登入風險解除封鎖
若要解除因為登入風險而封鎖的帳戶,系統管理員可以選擇下列選項:
- 從熟悉的位置或裝置登入 - 可疑的登入會遭封鎖通常是因為使用者嘗試從不熟悉的位置或裝置登入。 您的使用者可以嘗試從熟悉的位置或裝置登入,快速判斷此原因是否為封鎖原因。
- 從原則中排除使用者 - 如果您認為登入原則的目前設定造成特定使用者的問題,您可以將使用者排除。 如需詳細資訊,請參閱如何:設定和啟用風險原則一文中的排除一節。
- 停用原則 - 如果您認為您的原則設定對所有使用者造成問題,您可以停用原則。 如需詳細資訊,請參閱如何:設定和啟用風險原則一文。
PowerShell 預覽
使用 Microsoft Graph PowerShell SDK Preview 模組時,組織可以使用 PowerShell 來管理風險。 您可以在 Microsoft Entra GitHub 存放庫中找到預覽模組和範例程式代碼。
存放 Invoke-AzureADIPDismissRiskyUser.ps1 庫中所包含的腳本可讓組織關閉其目錄中所有有風險的使用者。