如何:在 Microsoft Entra ID Protection 中提供風險意見反應
Microsoft Entra ID Protection 可讓您對其風險評估提供意見反應。 下列檔列出您想要提供 Microsoft Entra ID Protection 風險評估意見反應的案例,以及我們如何納入其中。
什麼是偵測?
標識元保護偵測是從身分識別風險的觀點來看可疑活動的指標。 這些可疑活動稱為風險偵測。 這些身分識別型偵測可以根據啟發學習法、機器學習或來自合作夥伴產品。 這些偵測可用來判斷登入風險和用戶風險,
- 用戶風險代表身分識別遭到入侵的機率。
- 登入風險代表登入遭到入侵的機率(例如,身分識別擁有者未授權登入)。
為什麼我應該為 Microsoft Entra ID 的風險評估提供風險意見反應?
您應該提供 Microsoft Entra 風險意見反應有幾個原因:
- 您發現 Microsoft Entra ID 的使用者或登入風險評估不正確。 例如,「具風險登入」報告中顯示的登入是良性的,而該登入的所有偵測都是誤判。
- 您已驗證 Microsoft Entra ID 的使用者或登入風險評估是否正確。 例如,「有風險的登入」報告中顯示的登入確實是惡意的,而且您希望 Microsoft Entra ID 知道該登入上的所有偵測都是真肯定的。
- 您已在 Microsoft Entra ID Protection 外部補救該用戶的風險,並想要更新使用者的風險層級。
Microsoft Entra ID 如何使用我的風險意見反應?
Microsoft Entra ID 會使用您的意見反應來更新基礎使用者和/或登入的風險,以及這些事件的正確性。 此意見反應可協助保護使用者的安全。 例如,一旦確認登入遭到入侵,Microsoft Entra ID 會立即增加用戶的風險,並將登入的匯總風險(而非實時風險)提高到 High。 如果您的使用者風險原則中包含此使用者,以強制高風險使用者安全地重設其密碼,使用者在下次登入時會自動補救自己。
如何提供風險反饋,以及幕後會發生什麼事?
以下是提供風險回饋給 Microsoft Entra ID 的案例和機制。
案例 | 如何提供意見反應? | 幕後會發生什麼? | 備註 |
---|---|---|---|
登入未遭入侵 (誤判) 「有風險的登入」報告顯示有風險的登入 [風險狀態 = 有風險],但該登入並未遭入侵。 |
選取登入,然後選取 [確認登入安全]。 | 我們會將登入的匯總風險移至無 [風險狀態 = 已確認安全;風險層級 (Aggregate) = -] 並反轉其對用戶風險的影響。 | 目前,[確認登入安全] 選項僅適用於 [具風險的登入] 報告。 |
登入遭入侵 (真正面) 「有風險的登入」報告顯示風險性登入 [風險狀態 = 有風險] 且風險低 [風險層級 (匯總) = 低] 且登入確實遭到入侵。 |
選取登入,然後選取 [確認登入遭入侵]。 | 我們會將登入的匯總風險和用戶風險移至 [風險狀態 = 已確認遭入侵;風險層級 = 高]。 | 目前,[確認登入遭入侵] 選項僅適用於 [具風險的登入] 報告。 |
使用者遭入侵 (真肯定) 「有風險的使用者」報告顯示風險使用者 [風險狀態 = 有風險] 且風險低 [風險層級 = 低] 且該用戶確實遭到入侵。 |
選取使用者,然後選取 [確認使用者遭入侵]。 | 我們將用戶風險移至 [風險狀態 = 已確認遭入侵;風險層級 = 高],並新增新的偵測「管理員 已確認的使用者遭入侵」。 | 目前,[確認使用者遭入侵] 選項僅適用於 [具風險的使用者] 報告。 偵測 「管理員 已確認的使用者遭入侵」會顯示在 [具風險的使用者] 報告中的 [風險偵測未連結至登入] 索引卷標中。 |
Microsoft Entra ID Protection 外部的用戶修復 (真肯定 + 已補救) 「有風險的使用者」報告會顯示有風險的用戶,然後我已補救 Microsoft Entra ID Protection 外部的使用者。 |
1.選取使用者,然後選取 [確認使用者遭入侵]。 (此程式向 Microsoft Entra 識別子確認用戶確實遭到入侵。 2.等候使用者的「風險層級」移至 [高]。 (這次為 Microsoft Entra 識別碼提供將上述意見反應提供給風險引擎所需的時間。 3.選取使用者,然後選取 [關閉用戶風險]。 (此程式會向 Microsoft Entra ID 確認使用者不再遭到入侵。 |
Microsoft Entra ID 會將用戶風險移至無 [風險狀態 = 已關閉;風險層級 = -] 並關閉所有現有登入具有作用中風險的風險。 | 按兩下 [關閉使用者風險] 會關閉使用者和過去登入的所有風險。無法復原此動作。 |
使用者未遭入侵 (誤判) 「有風險的使用者」報告會顯示有風險的使用者,但使用者不會遭到入侵。 |
選取使用者,然後選取 [關閉用戶風險]。 (此程式會向 Microsoft Entra 識別子確認使用者未遭入侵。 | Microsoft Entra ID 會將用戶風險移至無 [風險狀態 = 已關閉;風險層級 = -]。 | 按兩下 [關閉使用者風險] 會關閉使用者和過去登入的所有風險。無法復原此動作。 |
我想要關閉用戶風險,但我不確定使用者是否遭到入侵/安全。 | 選取使用者,然後選取 [關閉用戶風險]。 (此程式會向 Microsoft Entra ID 確認使用者不再遭到入侵。 | 我們將用戶風險移至無 [風險狀態 = 已關閉;風險層級 = -]。 | 按兩下 [關閉使用者風險] 會關閉使用者和過去登入的所有風險。無法復原此動作。 建議您按兩下 [重設密碼] 來補救使用者,或要求使用者安全地重設/變更其認證。 |
標識元保護中用戶風險偵測的意見反應會脫機處理,而且可能需要一些時間來更新。 風險處理狀態數據行會提供意見反應處理的目前狀態。