Náprava rizik a odblokování uživatelů

Po dokončení šetření musíte provést opatření k nápravě rizikových uživatelů nebo jejich odblokování. Organizace můžou povolit automatizovanou nápravu nastavením zásad založených na rizicích. Organizace by se měly pokusit prozkoumat a opravit všechny rizikové uživatele v časovém období, se kterým je vaše organizace spokojená. Microsoft doporučuje rychle pracovat, protože při práci s riziky záleží na čase.

Náprava rizik

Všechny aktivní detekce rizik přispívají k výpočtu úrovně rizika uživatele. Úroveň rizika uživatele je indikátor pravděpodobnosti, že je ohrožen účet uživatele (nízký, střední, vysoký). Po prošetření rizikových uživatelů a odpovídajících rizikových přihlášení a detekcí byste měli rizikové uživatele napravit, aby už neriskovali a nezablokovali přístup.

Ochrana Microsoft Entra ID označuje některé detekce rizik a odpovídající riziková přihlášení jako zamítnutá se stavem rizika Zamítnuto a podrobnosti o riziku , které microsoft Entra ID Protection posoudil v bezpečí. Tato akce se provede, protože tyto události se už nezjišťovaly jako rizikové.

Správci mají následující možnosti pro nápravu:

• Nastavte zásady založené na rizicích, které uživatelům umožní sami napravit rizika.
• Ručně resetujte heslo.
• Zavřete riziko uživatele.
• Opravte v programu Microsoft Defender for Identity.

Samoobslužná náprava pomocí zásad založených na riziku

Uživatelům můžete povolit samoobslužné nápravy rizik přihlašování a rizik uživatelů nastavením zásad založených na rizicích. Pokud uživatelé projdou požadovaným řízením přístupu, jako je například vícefaktorové ověřování nebo změna zabezpečeného hesla, rizika se automaticky opraví. Odpovídající detekce rizik, rizikové přihlášení a rizikové uživatele jsou hlášeny se stavem rizika, který se opravuje místo rizika.

Předpoklady pro uživatele před tím, než se dají použít zásady založené na riziku, aby bylo možné sami napravit rizika, jsou:

• Pokud chcete provést vícefaktorové ověřování pro samoobslužnou nápravu rizika přihlašování:
  • Uživatel musí být zaregistrovaný pro vícefaktorové ověřování Microsoft Entra.
• Pokud chcete provést zabezpečenou změnu hesla pro samoobslužnou nápravu rizika uživatele:
  • Uživatel musí být zaregistrovaný pro vícefaktorové ověřování Microsoft Entra.
  • U hybridních uživatelů, kteří jsou synchronizovaní z místního prostředí do cloudu, musí být povolený zpětný zápis hesla.

Pokud se na uživatele při přihlašování použijí zásady založené na riziku před splněním výše uvedených požadavků, je uživatel zablokovaný. Tato akce blokování spočívá v tom, že nemůžou provést požadované řízení přístupu a zásah správce je nutný k odblokování uživatele.

Zásady založené na rizicích se konfigurují na základě úrovní rizik a použijí se pouze v případě, že úroveň rizika přihlášení nebo uživatele odpovídá nakonfigurované úrovni. Některé detekce nemusí zvyšovat riziko na úrovni, na které se zásada vztahuje, a správci musí tyto rizikové uživatele zpracovat ručně. Správci můžou určit, že jsou potřeba další opatření, jako je blokování přístupu z umístění nebo snížení přijatelného rizika ve svých zásadách.

Samoobslužná náprava s samoobslužným resetováním hesla

Pokud je uživatel zaregistrovaný pro samoobslužné resetování hesla (SSPR), může napravit vlastní riziko uživatele provedením samoobslužného resetování hesla.

Ruční resetování hesla

Pokud vyžadování resetování hesla pomocí zásad rizik uživatele není možnost nebo je čas podstaty, správci můžou rizikového uživatele napravit tím, že budou potřebovat resetování hesla.

Správci mají možnosti, ze kterých si můžou vybrat:

Vygenerování dočasného hesla

Vygenerováním dočasného hesla můžete okamžitě přenést identitu zpět do bezpečného stavu. Tato metoda vyžaduje kontaktování ovlivněných uživatelů, protože potřebují vědět, co je dočasné heslo. Vzhledem k tomu, že heslo je dočasné, zobrazí se uživateli výzva ke změně hesla na něco nového během dalšího přihlášení.

• Můžou generovat hesla pro cloudové a hybridní uživatele v Centru pro správu Microsoft Entra.

• Můžou generovat hesla pro hybridní uživatele z místního adresáře, když je povolená synchronizace hodnot hash hesel a možnost Povolit místní změnu hesla pro resetování uživatelského rizika .

  Upozorňující

  Při příštím přihlášení nevybírejte možnost Uživatel musí změnit heslo. Toto není podporováno.

Vyžadování resetování hesla uživatelem

Vyžadování uživatelů k resetování hesel umožňuje samoobslužné obnovení bez kontaktování technické podpory nebo správce.

• Cloudoví a hybridní uživatelé můžou provést zabezpečenou změnu hesla. Tato metoda se vztahuje pouze na uživatele, kteří už mohou provádět vícefaktorové ověřování. Pro uživatele, kteří nejsou zaregistrovaní, tato možnost není dostupná.
• Hybridní uživatelé můžou provést změnu hesla z místního nebo hybridního zařízení s Windows, když je povolená synchronizace hodnot hash hesel a změna povolení místní změny hesla pro resetování rizika uživatele.

Povolení místního resetování hesla k nápravě rizik uživatelů

Organizace, které povolí synchronizaci hodnot hash hesel, můžou povolit místním změnám hesel napravit riziko uživatelů.

Tato konfigurace poskytuje organizacím dvě nové funkce:

• Rizikoví hybridní uživatelé se můžou sami napravit bez zásahu správců. Když se změní heslo v místním prostředí, riziko uživatelů se teď automaticky opraví v rámci služby Microsoft Entra ID Protection a resetuje aktuální stav rizika uživatele.
• Organizace můžou proaktivně nasazovat zásady rizik uživatelů, které vyžadují změny hesel k zajištění jistoty ochrany hybridních uživatelů. Tato možnost posiluje stav zabezpečení vaší organizace a zjednodušuje správu zabezpečení tím, že zajišťuje, aby se rizika uživatelů okamžitě řešila i ve složitých hybridních prostředích.

Konfigurace tohoto nastavení

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň operátor zabezpečení.
2. Přejděte do nastavení ochrany>Identity Protection.>
3. Zaškrtněte políčko Povolit místní změnu hesla, aby se resetování rizika uživatele změnilo.
4. Zvolte Uložit.

Poznámka:

Povolení změny místních hesel k resetování rizika uživatele je funkce, která je určená jen pro přihlášení. Zákazníci by tuto funkci měli vyhodnotit před povolením v produkčních prostředích. Doporučujeme zákazníkům zabezpečit místní změny hesel nebo resetovat toky. Například vyžadování vícefaktorového ověřování před tím, než uživatelům umožní změnit heslo místně pomocí nástroje, jako je samoobslužné resetování hesla portálu Microsoft Identity Manager.

Skrytí rizika uživatele

Pokud po šetření a potvrzení, že uživatelský účet není ohrožen, můžete se rozhodnout pro zavření rizikového uživatele.

Pokud chcete riziko uživatele zavřít jako alespoň operátora zabezpečení v Centru pro správu Microsoft Entra, přejděte k rizikovým uživatelům služby Protection>Identity Protection>, vyberte ovlivněného uživatele a vyberte Riziko zavřít uživatele.

Když vyberete Možnost Zavřít riziko uživatele, uživatel již není ohrožen a všechna riziková přihlášení tohoto uživatele a odpovídající detekce rizik budou také zamítnuta.

Vzhledem k tomu, že tato metoda nemá vliv na stávající heslo uživatele, nepřenese identitu zpět do bezpečného stavu.

Stav rizika a podrobnosti na základě zavření rizika

• Rizikový uživatel:
  • Stav rizika: "Ohroženo" –> "Zamítnuto"
  • Podrobnosti o riziku (podrobnosti o nápravě rizika): "-" –> "Správce zavřel všechna rizika pro uživatele".
• Všechna riziková přihlášení tohoto uživatele a odpovídající detekce rizik:
  • Stav rizika: "Ohroženo" –> "Zamítnuto"
  • Podrobnosti o riziku (podrobnosti o nápravě rizika): "-" –> "Správce zavřel všechna rizika pro uživatele".

Potvrzení ohrožení zabezpečení uživatele

Pokud po šetření dojde k ohrožení zabezpečení účtu:

1. Vyberte událost nebo uživatele v sestavách rizikových přihlášení nebo rizikových uživatelů a zvolte Potvrdit ohrožení zabezpečení.
2. Pokud se neaktivovala zásada založená na riziku a riziko nebylo samoopravováno, proveďte jednu nebo více následujících akcí:
   1. Požádejte o resetování hesla.
   2. Pokud máte podezření, že útočník může resetovat heslo nebo provést vícefaktorové ověřování uživatele, zablokujte ho.
   3. Odvolat obnovovací tokeny
   4. Zakažte všechna zařízení , která jsou považována za ohrožená.
   5. Pokud používáte průběžné vyhodnocování přístupu, odvolejte všechny přístupové tokeny.

Další informace o tom, co se stane při potvrzení ohrožení zabezpečení, najdete v části Jak poskytnout zpětnou vazbu k rizikům.

Odstranění uživatelé

Správci nemůžou riziko odstranění uživatelů z adresáře zavřít. Pokud chcete odstranit odstraněné uživatele, otevřete případ podpory Microsoftu.

Odblokování uživatelů

Správce se může rozhodnout blokovat přihlášení na základě svých zásad rizik nebo šetření. Blok může nastat na základě rizika přihlášení nebo uživatele.

Odblokování na základě rizika uživatele

K odblokování účtu zablokovaného kvůli riziku uživatele mají správci tyhle možnosti:

1. Resetovat heslo – Heslo uživatele můžete resetovat. Pokud dojde k ohrožení zabezpečení uživatele nebo k ohrožení zabezpečení, heslo uživatele by se mělo resetovat, aby se chránil jeho účet a vaše organizace.
2. Zavření rizika uživatele – Zásady rizik uživatelů zablokují uživatele, když se dosáhne nakonfigurované úrovně rizika uživatele pro blokování přístupu. Pokud po šetření máte jistotu, že uživatel není ohrožen, a je bezpečné povolit jejich přístup, můžete snížit úroveň rizika uživatele zrušením rizika uživatele.
3. Vylučte uživatele ze zásad – Pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje problémy pro konkrétní uživatele a je bezpečné udělit těmto uživatelům přístup bez použití těchto zásad, můžete je z této zásady vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
4. Zakázání zásady – pokud si myslíte, že konfigurace zásad způsobuje problémy u všech uživatelů, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

Odblokování na základě rizika přihlašování

K odblokování účtu na základě rizika přihlášení mají správci následující možnosti:

1. Přihlášení ze známého umístění nebo zařízení – běžným důvodem blokování podezřelých přihlášení jsou pokusy o přihlášení z neznámých umístění nebo zařízení. Jestli je to důvodem zablokování, můžou vaši uživatelé rychle zjistit tak, že se pokusí přihlásit ze známého umístění nebo zařízení.
2. Vyloučení uživatele ze zásad – pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje u konkrétních uživatelů problémy, můžete z nich uživatele vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
3. Zakázání zásady – pokud si myslíte, že konfigurace zásad způsobuje problémy u všech uživatelů, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

Automatické blokování kvůli riziku vysoké spolehlivosti

Microsoft Entra ID Protection automaticky blokuje přihlášení, která mají velmi vysokou jistotu, že jsou rizikové. K tomuto bloku nejčastěji dochází při přihlašování provedených prostřednictvím starších ověřovacích protokolů a zobrazení vlastností škodlivého pokusu.

Když se uživateli tento mechanismus zablokuje, zobrazí se chyba ověřování 50053. Šetření protokolů přihlašování zobrazí následující důvod blokování: "Přihlášení bylo zablokováno integrovanou ochranou kvůli vysoké spolehlivosti rizika".

Pokud chcete účet odblokovat na základě rizika přihlášení s vysokou spolehlivostí, mají správci následující možnosti:

1. Přidejte IP adresu, která se používá k přihlášení do nastavení důvěryhodného umístění – Pokud se přihlášení provádí ze známého umístění pro vaši společnost, můžete ip adresu přidat, aby byla důvěryhodná. Další informace najdete v části Důvěryhodná umístění v článku Podmíněný přístup: Přiřazení sítě.
2. Použijte moderní ověřovací protokol – Pokud se přihlášení provádí prostřednictvím starší verze protokolu, přepnutím na moderní se pokus odblokuje.

Detekce související s krádeží tokenů

S nedávnou aktualizací naší architektury detekce už neřešíme relace s deklaracemi vícefaktorového ověřování, když se během přihlašování aktivuje krádež tokenu nebo detekce IP adres národního státu Microsoft Threat Intelligence Center (MSTIC).

Následující detekce ochrany ID, které identifikují podezřelou aktivitu tokenu nebo detekci IP adres státu MSTIC Nation, již nejsou autoremediovány:

• Microsoft Entra Threat Intelligence
• Neobvyklý token
• Útočník uprostřed
• MSTIC Nation State IP
• Anomálie vystavitele tokenů

Ochrana ID teď zobrazí podrobnosti relace v podokně Podrobnosti detekce rizik pro detekce, která generují přihlašovací data. Tato změna zajišťuje, že nezavřeme relace obsahující detekce, u kterých existuje riziko související s vícefaktorovým ověřováním. Poskytnutí podrobností o riziku na úrovni uživatele poskytuje cenné informace, které vám pomůžou při vyšetřování. Jsou to tyto údaje:

• Typ vystavitele tokenu
• Čas přihlášení
• IP adresa
• Umístění přihlášení
• Přihlašovací klient
• ID žádosti o přihlášení
• ID korelace přihlášení

Pokud máte nakonfigurované zásady podmíněného přístupu na základě rizik uživatelů a jedna z těchto detekcí, která značí, že se u uživatele aktivuje podezřelá aktivita tokenu, musí koncový uživatel provést zabezpečenou změnu hesla a znovu ověřit svůj účet pomocí vícefaktorového ověřování, aby bylo možné riziko vymazat.

PowerShell Preview

Pomocí modulu Microsoft Graph PowerShell SDK Preview můžou organizace spravovat rizika pomocí PowerShellu. Moduly Preview a ukázkový kód najdete v úložišti Microsoft Entra Na GitHubu.

Skript Invoke-AzureADIPDismissRiskyUser.ps1 zahrnutý v úložišti umožňuje organizacím zavřít všechny rizikové uživatele ve svém adresáři.

Související obsah

• Simulace vysokého rizika uživatelů