Sdílet prostřednictvím

Sešit: Analýza dopadu zásad přístupu na základě rizik

  • Článek

Doporučujeme všem povolit zásady podmíněného přístupu na základě rizik, chápeme, že toto nasazení vyžaduje čas, správu změn a někdy pečlivou kontrolu vedení, abychom porozuměli nežádoucímu dopadu. Správcům dáváme možnost s jistotou poskytnout odpovědi na tyto scénáře a přijmout zásady založené na rizicích potřebné k rychlé ochraně jejich prostředí.

Místo vytváření zásad podmíněného přístupu na základě rizik v režimu jen pro sestavy a čekání na několik týdnů/měsíců na výsledky můžete použít sešit Zásad přístupuna základě rizik, který vám umožní okamžitě zobrazit dopad na základě protokolů přihlašování.

Snímek obrazovky s analýzou dopadu sešitu zásad přístupu na základě rizik

Popis

Sešit vám pomůže pochopit vaše prostředí před povolením zásad, které můžou uživatelům blokovat přihlášení, vyžadovat vícefaktorové ověřování nebo provést zabezpečenou změnu hesla. Poskytuje rozpis podle rozsahu dat podle vašeho výběru přihlášení, mezi které patří:

  • Souhrn dopadu doporučených zásad přístupu na základě rizik, včetně přehledu:
    • Scénáře rizik uživatelů
    • Scénáře rizik přihlašování a důvěryhodných sítí
  • Podrobnosti o dopadu, včetně podrobností o jedinečných uživatelích:
    • Scénáře rizik uživatelů, jako jsou:
      • Uživatelé s vysokým rizikem neblokují zásady přístupu na základě rizika.
      • Uživatelé s vysokým rizikem se nezobrazí výzva ke změně hesla zásadami přístupu na základě rizika.
      • Uživatelé, kteří si změnili heslo kvůli zásadám přístupu na základě rizika.
      • Rizikoví uživatelé se kvůli zásadám přístupu na základě rizik úspěšně nepřihlašovat.
      • Uživatelé, kteří opravili riziko místním resetováním hesla.
      • Uživatelé, kteří opravili riziko nápravou prostřednictvím cloudového resetování hesla.
    • Scénáře zásad rizik přihlašování, jako jsou:
      • Přihlášení s vysokým rizikem neblokují zásady přístupu na základě rizika.
      • Přihlášení s vysokým rizikem se nespravují sami pomocí vícefaktorového ověřování pomocí zásad přístupu na základě rizik.
      • Riziková přihlášení, která nebyla úspěšná kvůli zásadám přístupu na základě rizik.
      • Riziková přihlášení opravovaná vícefaktorovým ověřováním.
    • Podrobnosti o síti, včetně hlavních IP adres, které nejsou uvedené jako důvěryhodná síť

Správci můžou tyto informace použít k tomu, aby zjistili, kteří uživatelé můžou mít vliv na určité časové období, pokud byly povolené zásady podmíněného přístupu na základě rizika.

Přístup k sešitu

Tento sešit nevyžaduje, abyste vytvořili žádné zásady podmíněného přístupu, a to ani ty v režimu jen pro sestavy. Jediným předpokladem je, že se protokoly přihlašování odesílají do pracovního prostoru služby Log Analytics. Další informace o povolení tohoto požadavku naleznete v článku Jak používat sešity Microsoft Entra. K sešitu se dostanete přímo v okně Identity Protection nebo přejdete na Sešity pro upravitelnou verzi:

V okně Identity Protection:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
  2. Přejděte na Protection>Identity Protection>analýza dopadu zásad rizik.

V sešitech:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
  2. Přejděte do sešitů monitorování a stavu>identit>.
  3. V rámci podID Protection vyberte pracovní sešit Analýza dopadu zásad přístupu na základě rizik.

Jakmile budete v sešitu, v pravém horním rohu je několik parametrů. Můžete nastavit, ze kterého pracovního prostoru se sešit naplní, a zapnout nebo vypnout vodítko.

Snímek obrazovky se zvýrazněním parametrů a oddílu průvodce sešitu

Stejně jako každý sešit můžete zobrazit nebo upravit dotazy dotazovací jazyk Kusto (KQL), které vizuály využívají. Pokud provedete změny, můžete se kdykoli vrátit k původní šabloně.

Shrnutí

První část je souhrn a zobrazuje agregovaný počet uživatelů nebo relací ovlivněných během vybraného časového rozsahu. Pokud se posunete dál dolů, budou k dispozici přidružené podrobnosti.

Snímek obrazovky zobrazující souhrnný oddíl sešitu

Nejdůležitější scénáře popsané v souhrnu jsou scénáře jedna a dvě pro scénáře rizik uživatelů a přihlašování. Zobrazují vysoké uživatele nebo přihlášení, které nebyly blokovány, vyzvány ke změně hesla nebo k nápravě vícefaktorovým ověřováním; což znamená, že uživatelé s vysokým rizikem můžou být ve vašem prostředí stále.

Pak se můžete posunout dolů a zobrazit podrobnosti o tom, kdo budou tito uživatelé. Každá souhrnná komponenta má odpovídající podrobnosti, které následují.

Scénáře rizik uživatelů

Snímek obrazovky znázorňující oddíly rizika uživatele sešitu

Scénáře rizik uživatelů tři a čtyři vám pomůžou, pokud už máte povolené některé zásady přístupu na základě rizika; ukazují uživatelům, kteří změnili heslo nebo vysoce rizikové uživatele, kteří se kvůli zásadám přístupu na základě rizika nemohli přihlásit. Pokud máte stále vysoce rizikové uživatele, kteří se zobrazují ve scénářích rizik uživatelů, jeden a dva (neblokují se nebo nejsou vyzváni ke změně hesla), když jste si mysleli, že všechny spadají do těchto kontejnerů, můžou v zásadách existovat mezery.

Scénáře rizik přihlašování

Snímek obrazovky znázorňující oddíly rizik přihlašování sešitu

V dalším kroku se podíváme na scénáře rizik přihlašování– tři a čtyři. Pokud používáte vícefaktorové ověřování, pravděpodobně tady budete mít aktivitu, i když nemáte povolené žádné zásady přístupu založené na riziku. Rizika přihlášení se automaticky opraví při úspěšném provedení vícefaktorového ověřování. Scénář 4 se podíváme na přihlášení s vysokým rizikem, která nebyla úspěšná kvůli zásadám přístupu na základě rizik. Pokud máte povolené zásady, ale stále se zobrazují přihlášení, u kterých očekáváte, že se zablokují nebo opraví vícefaktorové ověřování, můžete mít ve svých zásadách mezery. V takovém případě doporučujeme zkontrolovat zásady a použít část s podrobnostmi tohoto sešitu, která vám pomůže prozkoumat případné mezery.

Scénáře 5 a 6 pro scénáře rizik uživatelů ukazují, že k nápravě dochází. Tato část poskytuje přehled o tom, kolik uživatelů mění heslo z místního prostředí nebo prostřednictvím samoobslužného resetování hesla (SSPR). Pokud tato čísla nedává smysl pro vaše prostředí, například jste si nemysleli, že je SSPR povolená, prošetřete podrobnosti.

Scénář přihlášení 5, IP adresy nejsou důvěryhodné, zobrazí IP adresy ze všech přihlašovacích údajů ve vybraném časovém rozsahu a zobrazí ip adresy, které nejsou považovány za důvěryhodné.

Scénáře zásad rizik federovaného přihlašování

Pro zákazníky, kteří používají více zprostředkovatelů identity, se v další části dozvíte, jestli existují nějaké rizikové relace, které se přesměrují na externí zprostředkovatele pro vícefaktorové ověřování nebo pro jiné formy nápravy. Tato část vám poskytne přehled o tom, kde probíhá náprava, a pokud k ní dochází podle očekávání. Aby se tato data naplnila, musí být ve vašem federovaném prostředí nastavená možnost "federatedIdpMfaBehavior", aby bylo možné vynutit MFA přicházející od zprostředkovatele federované identity.

Snímek obrazovky znázorňující scénáře federovaných zásad rizik přihlašování sešitu

Starší zásady identity Protection

V další části se dozvíte, kolik starších zásad uživatelů a přihlašování je stále ve vašem prostředí, a musí se migrovat do října 2026. Je důležité vědět o této časové ose a začít migrovat zásady na portál podmíněného přístupu co nejdříve. Chcete mít dostatek času k otestování nových zásad, vyčištění nepotřebných nebo duplicitních zásad a ověření, že nedošlo k žádným mezerám v pokrytí. Další informace omigracich

Snímek obrazovky zobrazující starší část zásad identity Protection sešitu

Podrobnosti o důvěryhodné síti

Tato část obsahuje podrobný seznam IP adres, které nejsou považovány za důvěryhodné. Odkud tyto IP adresy pocházejí, kdo je vlastní? Měly by se považovat za důvěryhodné? Toto cvičení může být úsilí mezi týmy s vašimi správci sítě; Je ale užitečné, protože když máte přesný seznam důvěryhodných IP adres, pomůže snížit detekci falešně pozitivních rizik. Pokud existuje IP adresa, která vypadá pro vaše prostředí jako otázka, je čas prozkoumat.

Snímek obrazovky zobrazující oddíl důvěryhodné sítě sešitu

Nejčastější dotazy:

Co když nepoužívám Microsoft Entra pro vícefaktorové ověřování?

Pokud nepoužíváte vícefaktorové ověřování Microsoft Entra, může se v prostředí stále zobrazovat riziko přihlášení, pokud používáte jiného poskytovatele MFA než Microsoft. Metody externího ověřování umožňují napravit riziko při použití jiného poskytovatele MFA než Microsoftu.

Co když jsem v hybridním prostředí?

Riziko uživatelů může být samoobslužně napravit pomocí zabezpečené změny hesla, pokud je povolené samoobslužné resetování hesla se zpětným zápisem hesla. Pokud je povolená jenom synchronizace hodnot hash hesel, zvažte povolení povolení místního resetování hesla k nápravě rizika uživatele.

Právě se mi zobrazilo upozornění s vysokým rizikem, ale nezobrazují se v této sestavě?

Pokud je uživateli přiřazeno vysoké riziko, ale ještě se nepřihlásil, v této sestavě se nezobrazí. Sestava k naplnění těchto dat používá pouze protokoly přihlašování. Pokud máte vysoce rizikové uživatele, kteří se nepřihlásili, nezapočítávají se do této sestavy.

Další kroky