Untersuchen des Risikos mit ID Protection in Microsoft Entra External ID
Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Microsoft Entra ID Protection bietet eine kontinuierliche Risikoerkennung für Ihren externen Mandanten. Damit können Organisationen identitätsbasierte Risiken entdecken, untersuchen und beheben. ID Protection enthält Risikoberichte, die zur Untersuchung von Identitätsrisiken in externen Mandanten verwendet werden können. In diesem Artikel erfahren Sie, wie Sie Risiken untersuchen und mindern.
Berichterstellung zu ID Protection
ID Protection stellt zwei Berichte bereit. Im Bericht Risikobenutzer finden Administratoren Informationen zu gefährdeten Benutzern sowie Details zu Erkennungen. Der Bericht Risikoerkennungen enthält Informationen zu jeder Risikoerkennung. Dieser Bericht enthält den Risikotyp, andere gleichzeitig ausgelöste Risiken, den Speicherort des Anmeldeversuchs und vieles mehr.
Jeder Bericht wird mit einer Liste aller Erkennungen für den Zeitraum gestartet, der oben im Bericht angezeigt wird. Berichte können über die Filter am oberen Rand des Berichts gefiltert werden. Administratoren können die Daten herunterladen oder mit MS Graph-API und Microsoft Graph PowerShell SDK fortlaufend exportieren.
Beschränkungen des Diensts und Überlegungen
Beachten Sie bei der Verwendung von ID Protection die folgenden Punkte:
- ID Protection ist in Testmandanten nicht verfügbar.
- ID Protection ist standardmäßig aktiviert.
- Id Protection ist sowohl für lokale als auch für soziale Identitäten verfügbar, z. B. Google, Facebook oder Apple. Die Erkennung ist begrenzt, weil der externe Identitätsanbieter die Anmeldeinformationen des Social Media-Kontos verwaltet.
- Derzeit ist in externen Microsoft Entra-Mandanten eine Teilmenge der Microsoft Entra ID Protection-Risikoerkennungen verfügbar. Microsoft Entra External ID unterstützt die folgenden Risikoerkennungen:
Risikoerkennungstyp | BESCHREIBUNG |
---|---|
Ungewöhnlicher Ortswechsel | Anmeldung von einem ungewöhnlichen Standort, basierend auf den letzten Anmeldevorgängen des Benutzers. |
Anonyme IP-Adresse | Anmeldung von einer anonymen IP-Adresse (z. B. Tor-Browser, anonymisierte VPNs). |
Mit Schadsoftware verknüpfte IP-Adresse | Anmeldung von einer mit Schadsoftware verknüpften IP-Adresse. |
Ungewöhnliche Anmeldeeigenschaften | Anmeldung mit Eigenschaften, die für den angegebenen Benutzer in letzter Zeit nicht verwendet wurden. |
Benutzergefährdung durch Administrator bestätigt | Ein Administrator hat angegeben, dass ein Benutzer kompromittiert wurde. |
Kennwortspray | Anmeldung über einen Kennwortspray-Angriff. |
Threat Intelligence von Microsoft Entra | Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert |
Untersuchen riskanter Benutzer
Mit den Informationen im Bericht Riskante Benutzer können Administratoren Folgendes ermitteln:
- Der Risikozustand, der anzeigt, welche Benutzer gefährdet sind (Risiko) und für welche Benutzer Risiken bereinigt oder verworfen wurden.
- Details zu Erkennungen
- Verlauf aller riskanten Anmeldungen
- Risikoverlauf
Administratoren können dann Aktionen für diese Ereignisse ausführen. Administratoren haben folgende Möglichkeiten:
- Benutzerkennwort festlegen
- Benutzergefährdung bestätigen
- Benutzerrisiko verwerfen
- Anmeldung eines Benutzers blockieren
- Mit Azure ATP weitere Untersuchungen ausführen
Ein Administrator kann auswählen, ob das Risiko eines Benutzers im Microsoft Entra Admin Center oder programmgesteuert über die Microsoft Graph-API unter Benutzerrisiko ignorieren verworfen werden soll. Es werden Administratorrechte benötigt, um das Risiko für einen Benutzer zu verwerfen. Das Risiko kann vom Risikobenutzer selbst oder von einem Administrator im Namen des Benutzers bereinigt werden, z. B. per Kennwortzurücksetzung.
Navigieren im Bericht „Risikobenutzer“
Melden Sie sich beim Microsoft Entra Admin Center an.
Stellen Sie sicher, dass Sie das Verzeichnis verwenden, das Ihren externen Microsoft Entra-Mandanten enthält: Wählen Sie auf der Symbolleiste das Symbol Einstellungen aus, und suchen Sie Ihren externen Mandanten über das Menü Verzeichnisse + Abonnements. Wenn es sich nicht um das aktuelle Verzeichnis handelt, wählen Sie Wechseln aus.
Navigieren Sie zu Schutz>Identitätsschutz.
Wählen Sie unter BerichtRisikobenutzer aus.
Werden einzelne Einträge ausgewählt, wird das Fenster „Details“ unterhalb der Erkennungen erweitert. In der Detailansicht können Administratoren die Erkennungen untersuchen und für jede Erkennung Aktionen ausführen.
Bericht „Risikoerkennung“
Der Bericht Risikoerkennungen enthält filterbare Daten der letzten 90 Tage (3 Monate).
Mit den Informationen im Bericht „Risikoerkennungen“ können Administratoren folgendes ermitteln:
- Informationen zu den einzelnen Risikoerkennungen, einschließlich des Typs.
- Andere, gleichzeitig ausgelöste Risiken.
- Ort des Anmeldeversuchs.
Administratoren können dann zum Risiko- oder Anmeldebericht des Benutzers zurückkehren, um basierend auf gesammelten Informationen Aktionen auszuführen.
Navigieren im Bericht „Risikoerkennungen“
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Schutz>Identitätsschutz.
Wählen Sie unter BerichtRisikoerkennungen aus.