補救風險並將使用者解除封鎖

完成 風險調查之後，您必須採取動作來補救有風險的使用者或解除封鎖。 您可以設定 風險型原則 ，以啟用自動補救或手動更新用戶的風險狀態。 Microsoft建議快速採取行動，因為處理風險的時間很重要。

本文提供數個選項來自動和手動補救風險，並涵蓋因用戶風險而封鎖使用者的案例，讓您知道如何解除封鎖。

先決條件

• 需要Microsoft Entra ID P2 或 Microsoft Entra Suite 授權，才能完整存取 Microsoft Entra ID Protection 功能。
  • 如需每個授權層功能的詳細清單，請參閱 什麼是 Microsoft Entra ID Protection。
• 用戶系統管理員角色是重設密碼所需的最低特殊許可權角色。
• 安全性作員角色是解除用戶風險所需的最低特殊許可權角色。
• 安全性系統管理員角色是建立或編輯風險型原則所需的最低特殊許可權角色。
• 條件式存取系統管理員角色是建立或編輯條件式存取原則所需的最低特殊許可權角色。

風險補救的運作方式

所有作用中風險偵測都會造成用戶風險等級的計算，這表示用戶帳戶遭到入侵的機率。 視風險層級和租用戶的設定而定，您可能需要調查並解決風險。 您可以設定 以風險為基礎的原則，讓使用者自行補救其登入和用戶風險。 如果使用者通過必要的存取控制，例如多重要素驗證或安全密碼變更，則系統會自動補救其風險。

如果在不符合準則的登入期間套用風險型原則，則會封鎖使用者。 發生此封鎖是因為使用者無法執行必要的步驟，因此需要系統管理員介入才能 解除封鎖使用者。

風險型原則會根據風險層級進行設定，且只有在登入或使用者的風險層級符合設定的層級時才會套用。 某些偵測可能不會對套用原則的層級造成風險，因此系統管理員必須手動處理這些情況。 系統管理員可以判斷需要額外的措施，這些措施可能包括封鎖特定地點的存取或降低其政策中可接受的風險等。

終端使用者自我補救

當配置基於風險的條件式存取原則時，改善使用者風險和登入風險可能成為使用者的一個自助流程。 此自我補救可讓用戶解決自己的風險，而不需要連絡技術支援中心或系統管理員。 身為IT系統管理員，您可能不需要採取任何動作來補救風險，但您必須知道如何設定允許自我補救的原則，以及相關報表中預期會看到的內容。 如需詳細資訊，請參閱：

• 設定及啟用風險原則
• Microsoft Entra ID Protection 和條件式存取的自我補救體驗
• 所有使用者都需要多重要素驗證
• 實作密碼哈希同步處理

自主補救登入風險

如果使用者的登入風險達到風險型原則所設定的層級，系統會提示使用者執行多重要素驗證 （MFA） 以補救登入風險。 如果他們成功完成 MFA 挑戰，則登入風險已解決。 使用者、登入和對應風險偵測的風險狀態和風險詳細數據會更新如下：

• 風險狀態：「有風險」-> 「已補救」
• 風險詳細數據：「-」 -> 「用戶通過多重要素驗證」

未補救的登入風險會影響用戶風險，因此已備妥風險型原則可讓使用者自行補救登入風險，因此其用戶風險不會受到影響。

用戶風險的自我補救

如果系統提示使用者使用自助式密碼重設 （SSPR） 來補救用戶風險，系統會提示他們更新其密碼，如 Microsoft Entra ID Protection 用戶體驗 一文所示。 一旦他們更新密碼，將消除用戶的風險。 然後，用戶可以繼續使用他們的新密碼登入。 使用者、登入和對應風險偵測的風險狀態和風險詳細數據會更新如下：

• 風險狀態：「有風險」-> 「已補救」
• 風險詳細數據：「-」 -> 「使用者執行安全密碼重設」

雲端和混合式用戶的考慮

• 雲端和混合式使用者只要能夠執行 MFA，才能使用 SSPR 完成安全密碼變更。 對於未註冊的使用者，則無法使用此選項。
• 當啟用密碼哈希同步處理和 [允許內部部署密碼變更以重設用戶風險 ] 設定時，混合式使用者可以從內部部署或混合式加入 Windows 裝置完成密碼變更。

系統型補救

在某些情況下，Microsoft Entra ID Protection 也可以自動關閉使用者的風險狀態。 身份識別保護識別出風險偵測和相應的風險登入不再構成安全威脅。 如果使用者提供第二個因素，例如多重要素驗證（MFA），或即時和離線評估判斷登入不再有風險，就會發生這種自動介入。 此自動補救可降低風險監視中的雜訊，讓您可以專注於需要注意的專案。

• 風險狀態：「有風險」-> 「已解除」
• 風險詳細數據：“-” -> “Microsoft Entra ID Protection 評估登入安全”

系統管理員手動補救

在某些情況下，IT 系統管理員必須手動補救登入或用戶風險。 如果您沒有設定以風險為基礎的原則，如果風險層級不符合自我補救的準則，或時間是本質，您可能需要採取下列其中一個動作：

• 為用戶產生暫時密碼。
• 要求用戶重設其密碼。
• 消除用戶的風險。
• 確認使用者遭到入侵，並採取動作來保護帳戶。
• 解除封鎖使用者。

您也可以在 Microsoft Defender for Identity 中補救。

產生臨時密碼

藉由產生臨時密碼，您可以立即讓身分識別回到安全狀態。 此方法需要與受影響的使用者連絡，因為他們需要知道暫時密碼。 由於密碼是暫時性的，因此系統會提示使用者在下次登入時，將密碼變更為新的密碼。

若要產生暫時密碼：

1. 登入 Microsoft Entra 系統管理中心。

   • 若要從使用者的詳細數據產生暫時密碼，您需要 用戶系統管理員 角色。
   • 若要從 ID Protection 產生暫時密碼，您需要 安全性作員 和 用戶系統管理員 角色。
   • 需要安全性作員才能存取標識符保護，而且需要使用者管理員才能重設密碼。

2. 流覽至 [保護>身分識別保護>風險使用者]，然後選取受影響的使用者。

   • 或者，流覽至 [使用者>所有使用者]，然後選取受影響的使用者。

3. 選取 [重設密碼]。

   

4. 檢閱訊息，然後再次選取 [ 重設密碼 ]。

   

5. 提供暫時密碼給使用者。 下次登入時，用戶必須變更其密碼。

使用者、登入和對應風險偵測的風險狀態和風險詳細數據會更新如下：

• 風險狀態：「有風險」-> 「已補救」
• 風險詳細數據：“-” -> “系統管理員為用戶產生暫時密碼”

雲端和混合式用戶的考慮

針對雲端和混合式用戶產生暫時密碼時，請注意下列考慮：

• 您可以在 Microsoft Entra 系統管理中心為雲端和混合式使用者產生密碼。
• 如果已設定下列設定，您可以從內部部署目錄產生混合式用戶的密碼：
  • 啟用密碼哈希同步處理，包括 同步處理暫存密碼 一節中的PowerShell腳本。
  • 啟用 [允許內部部署密碼變更] 來重設 Microsoft Entra ID Protection 中的用戶風險設定。
  • 啟用 自助式密碼重設。
  • 在 Active Directory 中，只有選取 [ 用戶必須在下次登入時變更密碼 ] 選項，才能啟用先前項目符號中的所有內容。

需要重設密碼

您可以要求有風險的使用者重設其密碼，以補救其風險。 由於不會提示這些使用者透過風險型原則變更其密碼，因此您必須連絡他們以重設其密碼。 重設密碼的方式取決於使用者類型：

• 與 Microsoft Entra 已加入的裝置的雲端使用者和混合式使用者：成功通過多因素驗證 (MFA) 登入後，執行安全密碼變更。 用戶必須已註冊 MFA。
• 具有內部部署或混合式加入 Windows 裝置的混合式使用者：透過 Windows 裝置上的 Ctrl-Alt-Delete 畫面執行安全密碼變更。
  • 必須啟用 [允許內部部署密碼變更重設用戶風險 ] 設定。
  • 如果在 Active Directory 中啟用 [ 用戶必須在下次登入時變更密碼 ] 設定，系統會提示使用者在下次登入時變更其密碼。 只有在 雲端和混合式使用者 一節中的設定已就緒時，才能使用此選項。

使用者、登入和對應風險偵測的風險狀態和風險詳細數據會更新如下：

• 風險狀態：「有風險」-> 「已補救」
• 風險詳細數據：「-」 -> 「使用者執行安全密碼變更」

忽視風險

如果在調查之後，您確認登入或用戶帳戶沒有遭到入侵的風險，您可以關閉風險。

1. 以至少安全性作員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 [保護身分識別保護>>有風險的登入] 或 [具風險的使用者]，然後選取具風險的活動。
3. 選取 [關閉有風險的登入] 或 [關閉用戶風險]。

由於此方法不會變更使用者現有的密碼，因此不會將其身分識別重新帶入安全狀態。 您可能仍然需要連絡使用者，以通知他們風險，並建議他們變更其密碼。

使用者、登入和對應風險偵測的風險狀態和風險詳細數據會更新如下：

• 風險狀態：「有風險」->「已解除」
• 風險詳細資訊：「-」 -> 「系統管理員已解除登入風險」或「系統管理員已解除使用者的所有風險」

確認使用者遭到入侵

如果在調查之後，您確認登入或用戶 有 風險，您可以手動確認帳戶遭到入侵：

1. 在 Risky 登入 或 有風險的使用者 報告中選取事件或使用者，然後選擇 [確認遭入侵]。
2. 如果未觸發以風險為基礎的政策，且未使用本文所述方法之一來自行補救該風險，請採取以下一項或多項行動：
   1. 要求密碼重設。
   2. 如果您懷疑攻擊者可以針對該使用者重設密碼或執行多重要素驗證，請封鎖該使用者。
   3. 撤銷重新整理令牌。
   4. 停用任何 被視為遭入侵的裝置。
   5. 如果使用 持續存取評估，請撤銷所有存取令牌。

使用者、登入和對應風險偵測的風險狀態和風險詳細數據會更新如下：

• 風險狀態：「有風險」-> 「已確認遭入侵」
• 風險詳細數據：“-” -> “系統管理員已確認使用者遭入侵”

如需有關確認入侵時所發生狀況的詳細資訊，請參閱 如何提供有關風險的意見反應。

解除封鎖使用者

風險型原則可用來封鎖帳戶，以保護貴組織免於遭入侵的帳戶。 您應該調查這些案例，以判斷如何解除封鎖使用者，然後判斷使用者遭到封鎖的原因。

從熟悉的位置或裝置登入

如果登入嘗試似乎來自不熟悉的位置或裝置，登入通常會封鎖為可疑。 您的使用者可以從熟悉的位置或裝置登入，嘗試解除封鎖登入。 如果登入成功，Microsoft標識符保護會自動補救登入風險。

• 風險狀態：「有風險」->「已解除」
• 風險詳細數據：「-」 -> 「Microsoft Entra ID Protection 評估登入安全」

從原則中排除使用者

如果您認為登入或用戶風險原則的目前設定會造成 特定 用戶的問題，您可以將使用者從原則中排除。 您需要確保能安全地授予這些使用者存取權，而不需要將此政策套用到他們身上。 如需詳細資訊，請參閱 如何：設定和啟用風險原則。

您可能需要手動解除風險或針對使用者的封鎖，讓他們可以登入。

停用原則

如果您認為原則設定造成 所有用戶 的問題，您可以停用原則。 如需詳細資訊，請參閱 如何：設定和啟用風險原則。

您可能需要 手動解除 風險或使用者，以便讓他們可以在處理原則前登入。

由於信賴風險高而自動封鎖

Microsoft Entra ID Protection 會自動封鎖具有高風險信賴度的登入。 此區塊最常發生在使用舊版驗證通訊協定執行的登入時，或顯示有惡意企圖的特徵。 當任一案例的使用者遭到封鎖時，他們會收到 50053 驗證錯誤。 登入記錄會顯示下列封鎖原因：「因高度風險信心，登入遭到內建保護封鎖。」

若要根據高信賴度登入風險解除封鎖帳戶，您有下列選項：

• 新增用來登入信任位置設定的IP：如果登入是從貴公司的已知位置執行，您可以將IP新增至信任的清單。 如需詳細資訊，請參閱 條件式存取：網路指派。
• 使用新式驗證通訊協定：如果使用舊版通訊協定執行登入，切換至新式方法會解除封鎖嘗試。

允許內部部署進行密碼重設以降低使用者風險

如果您的組織具有混合式環境，您可以允許透過內部部署密碼變更來使用 密碼哈希同步來重設用戶風險。 您必須先啟用密碼哈希同步處理，使用者才能在這些情況下自行修復。

• 具風險的混合式使用者可以自行補救，而不需要系統管理員介入。 當使用者在內部部署環境變更其密碼時，Microsoft Entra ID Protection 會自動補救使用者風險，並重設目前的使用者風險狀態。
• 組織可以主動部署 要求使用者更改密碼的用戶風險政策來保護 其混合使用者。 此選項可確保立即解決使用者風險，即使在複雜的混合式環境中，也能強化組織的安全性態勢並簡化安全性管理。

注意

僅選用的功能允許透過內部部署的密碼變更來減輕用戶風險。 客戶應該先評估這項功能，再於生產環境中啟用此功能。 我們建議客戶保護內部部署密碼變更程式。 例如，必須在用戶使用 Microsoft 身分識別管理員的 Self-Service 密碼重設入口網站等工具更改內部部署密碼前，要求多重要素驗證。

若要設定此設定：

1. 以至少安全性作員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [資料保護]>[身分識別保護]>[設定]。
3. 核取 [ 允許內部部署密碼變更以重設用戶風險 ] 的方塊，然後選取 [ 儲存]。

已刪除的使用者

如果使用者從存在風險的目錄中刪除，即使帳戶已刪除，該使用者仍會出現在風險報告中。 系統管理員無法排除從目錄中刪除的用戶風險。 若要移除已刪除的使用者，請開啟 Microsoft 支援案例。

PowerShell 預覽

使用 Microsoft Graph PowerShell SDK Preview 模組時，組織可以使用 PowerShell 來管理風險。 您可以在 Microsoft Entra GitHub 存放庫中找到預覽模組和範例程式代碼。

存放庫中包含的 Invoke-AzureADIPDismissRiskyUser.ps1 指令碼，可讓組織在其目錄中關閉所有風險性使用者。

相關內容

• 模擬高用戶風險