Risico's aanpakken en gebruikers deblokkeren

Nadat u uw onderzoekhebt voltooid, moet u actie ondernemen om de riskante gebruikers te herstellen of deblokkeren. Organisaties kunnen geautomatiseerd herstel inschakelen door op risico's gebaseerd beleid in te stellen. Organisaties moeten alle riskante gebruikers binnen een comfortabele periode onderzoeken en herstellen. Microsoft raadt u aan snel te handelen omdat tijd belangrijk is bij het werken met risico's.

Risicoherstel

Alle actieve risicodetecties dragen bij aan de berekening van het risiconiveau van de gebruiker. Het risiconiveau van de gebruiker is een indicator (laag, gemiddeld, hoog) van de waarschijnlijkheid dat het account van de gebruiker is aangetast. Nadat u riskante gebruikers en de bijbehorende riskante aanmeldingen en detecties hebt onderzocht, moet u de riskante gebruikers herstellen zodat ze niet langer risico lopen en geen toegang meer hebben.

Microsoft Entra ID Protection markeert enkele risicodetecties en de bijbehorende riskante aanmeldingen als afgewezen met de risicostatus Afgewezen en risicodetails Microsoft Entra ID Protection beoordeelde aanmelding veilig. Deze actie wordt uitgevoerd, omdat deze gebeurtenissen niet langer riskant zijn.

Beheerders kunnen herstellen met behulp van de volgende opties:

• Stel beleid op basis van risico's in zodat gebruikers hun risico's zelf kunnen oplossen.
• Stel het wachtwoord handmatig opnieuw in.
• Verminder hun gebruikersrisico.
• Verhelp in Microsoft Defender for Identity.

Zelfherstel met beleid op basis van risico's

U kunt gebruikers toestaan hun aanmeldingsrisico's en gebruikersrisico's zelf te herstellen door beleid op basis van risico's in te stellen. Als gebruikers de vereiste toegangscontrole passeren, zoals multifactorauthenticatie of een veilige wachtwoordwijziging, wordt hun risico automatisch beheerd. De bijbehorende risicodetecties, riskante aanmeldingen en riskante gebruikers worden gerapporteerd met de risicostatus Hersteld in plaats van Risico.

De vereisten voor gebruikers voordat beleid op basis van risico's kan worden toegepast om zelfherstel van risico's mogelijk te maken, zijn:

• Als u MFA wilt uitvoeren om zelf een aanmeldingsrisico op te lossen:
  • De gebruiker moet zijn geregistreerd voor meervoudige verificatie van Microsoft Entra.
• Als u een veilige wachtwoordwijziging wilt uitvoeren om zelf een gebruikersrisico op te lossen:
  • De gebruiker moet zijn geregistreerd voor meervoudige verificatie van Microsoft Entra.
  • Voor hybride gebruikers die vanuit on-premises naar de cloud worden gesynchroniseerd, moet wachtwoord terugschrijven zijn ingeschakeld.

Als een beleid op basis van risico's van toepassing is op een gebruiker tijdens het aanmelden voordat aan de vereisten wordt voldaan, wordt de gebruiker geblokkeerd. Dit blok treedt op omdat ze het vereiste toegangsbeheer niet kunnen uitvoeren en beheerdersinter interventie is vereist om de blokkering van de gebruiker op te heffen.

Beleidsregels op basis van risico's worden geconfigureerd op basis van risiconiveaus en zijn alleen van toepassing als het risiconiveau van de aanmelding of gebruiker overeenkomt met het geconfigureerde niveau. Sommige detecties veroorzaken mogelijk geen risico op het niveau waarop het beleid van toepassing is en beheerders moeten deze riskante gebruikers handmatig afhandelen. Beheerders kunnen bepalen dat extra maatregelen nodig zijn, zoals het blokkeren van de toegang vanaf locaties of het verlagen van het acceptabele risico in hun beleid.

Zelfherstel met selfservice voor wachtwoordherstel

Als een gebruiker is geregistreerd voor selfservice voor wachtwoordherstel (SSPR), kunnen ze hun eigen gebruikersrisico herstellen door een selfservice voor wachtwoordherstel uit te voeren.

Handmatig wachtwoord opnieuw instellen

Als het geen optie is om een wachtwoord opnieuw in te stellen met een gebruikersrisicobeleid, of als er haast is geboden, kunnen beheerders een risicovolle gebruiker herstellen door een wachtwoordreset te vereisen.

Beheerders hebben opties waaruit ze kunnen kiezen:

Een tijdelijk wachtwoord genereren

Door een tijdelijk wachtwoord te genereren, kunt u onmiddellijk een identiteit weer in een veilige status brengen. Voor deze methode moet contact worden opgenomen met de betrokken gebruikers, omdat ze moeten weten wat het tijdelijke wachtwoord is. Omdat het wachtwoord tijdelijk is, wordt de gebruiker gevraagd het wachtwoord te wijzigen in iets nieuws tijdens de volgende aanmelding.

• Ze kunnen wachtwoorden genereren voor cloud- en hybride gebruikers in het Microsoft Entra-beheercentrum.

• Ze kunnen wachtwoorden genereren voor hybride gebruikers vanuit een on-premises directory wanneer wachtwoord-hashsynchronisatie en de instelling On-premises wachtwoord wijzigen toestaan om gebruikersrisico opnieuw in te stellen zijn ingeschakeld.

  Waarschuwing

  Selecteer niet de optie Gebruiker moet het wachtwoord wijzigen bij de volgende aanmelding. Dit wordt niet ondersteund.

Vereisen dat de gebruiker het wachtwoord opnieuw instelt

Gebruikers verplichten om wachtwoorden opnieuw in te stellen, kunnen zelfherstel mogelijk maken zonder contact op te vragen met de helpdesk of een beheerder.

• Cloud- en hybride gebruikers kunnen een veilige wachtwoordwijziging voltooien. Deze methode is alleen van toepassing op gebruikers die MFA al kunnen uitvoeren. Voor gebruikers die niet zijn geregistreerd, is deze optie niet beschikbaar.
• Hybride gebruikers kunnen een wachtwoordwijziging voltooien vanaf een on-premises of hybride Windows-apparaat, wanneer wachtwoord-hashsynchronisatie en de instelling On-premises wachtwoordwijziging toestaan om gebruikersrisico opnieuw in te stellen zijn ingeschakeld.

On-premises wachtwoordherstel toestaan om gebruikersrisico's op te lossen

Organisaties die wachtwoord-hashsynchronisatie inschakelen, kunnen on-premises wachtwoordwijzigingen toestaan om gebruikersrisico's op te lossen.

Deze configuratie biedt organisaties twee nieuwe mogelijkheden:

• Riskante hybride gebruikers kunnen zichzelf herstellen zonder tussenkomst van beheerders. Wanneer een wachtwoord on-premises wordt gewijzigd, wordt het gebruikersrisico nu automatisch hersteld binnen Microsoft Entra ID Protection, waardoor de huidige status van het gebruikersrisico opnieuw wordt ingesteld.
• Organisaties kunnen proactief beleid voor gebruikersrisico's implementeren waarvoor wachtwoordwijzigingen nodig zijn om hun hybride gebruikers te beveiligen. Deze optie versterkt het beveiligingspostuur van uw organisatie en vereenvoudigt het beveiligingsbeheer door ervoor te zorgen dat gebruikersrisico's onmiddellijk worden aangepakt, zelfs in complexe hybride omgevingen.

Deze instelling configureren

1. Meld u aan bij het Microsoft Entra-beheercentrum als beveiligingsoperator.
2. Blader naar Beveiliging>Identiteitsbescherming>Instellingen.
3. Schakel het selectievakje in om on-premises wachtwoordwijziging toe te staan, zodat het gebruikersrisico opnieuw kan worden ingesteld.
4. Selecteer Opslaan.

Notitie

Het toestaan van on-premises wachtwoordwijziging om het gebruikersrisico te resetten, is een optionele functie. Klanten moeten deze functie evalueren voordat ze in productieomgevingen inschakelen. Wij raden klanten aan de on-premises wachtwoordwijziging- of resetprocessen te beveiligen. Als u bijvoorbeeld meervoudige verificatie vereist voordat gebruikers hun wachtwoord on-premises kunnen wijzigen met behulp van een hulpprogramma zoals de selfserviceportal voor wachtwoordherstel van Microsoft Identity Manager.

Gebruikersrisico negeren

Als u na onderzoek bevestigt dat het gebruikersaccount geen risico loopt om te worden aangetast, kunt u ervoor kiezen om de riskante gebruiker te negeren.

Als u risico's van gebruikers wilt negeren als ten minste een beveiligingsoperator in het Microsoft Entra-beheercentrum, navigeert u naar Protection>Identiteitsbeveiliging>Riskante gebruikers, selecteert u de betreffende gebruiker en kiest u Gebruikersrisico(‘s) negeren.

Wanneer u Gebruikersrisico'snegeren selecteert, loopt de gebruiker geen risico meer en worden alle riskante aanmeldingen en bijbehorende risicodetecties gesloten.

Omdat deze methode geen invloed heeft op het bestaande wachtwoord van de gebruiker, wordt de identiteit niet weer in een veilige status gebracht.

Risicostatus en detail gebaseerd op vermindering van risico

• Riskante gebruiker:
  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails (de details van het risicoherstel): "-" -> "Admin negeerde alle risico's voor de gebruiker"
• Alle riskante aanmeldingen van deze gebruiker en de bijbehorende risicodetecties:
  • Risicostatus: "Risico" -> "Gesloten"
  • Risicodetails (de details van het risicoherstel): "-" -> "Admin negeerde alle risico's voor de gebruiker"

Bevestigen dat een gebruiker wordt aangetast

Als na onderzoek blijkt dat een account gecompromitteerd is:

1. Selecteer de gebeurtenis of gebruiker in de rapporten Riskante aanmeldingen of Riskante gebruikers en kies 'Gecompromitteerd bevestigen'.
2. Als er geen op risico's gebaseerd beleid is geactiveerd en het risico niet zelf is hersteld, voert u een of meer van de volgende acties uit:
   1. Opnieuw instellen van wachtwoord aanvragen.
   2. Blokkeer de gebruiker als u vermoedt dat de aanvaller het wachtwoord opnieuw kan instellen of meervoudige verificatie voor de gebruiker kan uitvoeren.
   3. Refresh-tokens intrekken.
   4. Schakel alle apparaten uit die als gecompromitteerd worden beschouwd.
   5. Als u continue toegangsevaluatie gebruikt, trekt u alle toegangstokens in.

Zie de sectie Risicofeedback over risico's geven voor meer informatie over wat er gebeurt bij het bevestigen van compromissen.

Verwijderde gebruikers

Beheerders kunnen het risico voor gebruikers die zijn verwijderd uit de directory niet negeren. Als u verwijderde gebruikers wilt verwijderen, opent u een Microsoft-ondersteuningsaanvraag.

Gebruikers deblokkeren

Een beheerder kan een aanmelding blokkeren op basis van hun risicobeleid of onderzoek. Er kan een blok optreden op basis van aanmeldings- of gebruikersrisico's.

Deblokkeren op basis van gebruikersrisico

Beheerders hebben de volgende opties om een account te deblokkeren dat is geblokkeerd vanwege gebruikersrisico's:

1. Wachtwoord opnieuw instellen: u kunt het wachtwoord van de gebruiker opnieuw instellen. Als een gebruiker is gecompromitteerd of risico loopt op inbreuk, moet het wachtwoord van de gebruiker opnieuw worden ingesteld om zijn of haar account en uw organisatie te beveiligen.
2. Gebruikersrisico negeren: het beleid voor gebruikersrisico's blokkeert een gebruiker wanneer het geconfigureerde gebruikersrisiconiveau voor het blokkeren van toegang wordt bereikt. Als u na onderzoek zeker weet dat de gebruiker geen risico loopt te worden aangetast en het veilig is om toegang te verlenen, kunt u het risiconiveau van een gebruiker verminderen door het gebruikersrisico te negeren.
3. Sluit de gebruiker uit van beleid : als u denkt dat de huidige configuratie van uw aanmeldingsbeleid problemen veroorzaakt voor specifieke gebruikers en het veilig is om toegang te verlenen aan deze gebruikers zonder dit beleid toe te passen, kunt u ze uitsluiten van dit beleid. Zie de sectie Uitsluitingen in het artikel Instructies: Risicobeleid configureren en inschakelen voor meer informatie.
4. Beleid uitschakelen: als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor al uw gebruikers, kunt u het beleid uitschakelen. Zie het artikel Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

Blokkering opheffen op basis van aanmeldingsrisico

Beheerders hebben de volgende opties om een account te deblokkeren dat is geblokkeerd vanwege een aanmeldingsrisico:

1. Aanmelden vanaf een vertrouwde locatie of apparaat: een veelvoorkomende reden voor geblokkeerde verdachte aanmeldingen zijn aanmeldingspogingen vanaf onbekende locaties of apparaten. Uw gebruikers kunnen snel bepalen of dit de blokkeringsreden is door zich aan te melden vanaf een vertrouwde locatie of apparaat.
2. Sluit de gebruiker uit van beleid: als u denkt dat de huidige configuratie van uw aanmeldingsbeleid problemen veroorzaakt voor specifieke gebruikers, kunt u de gebruikers hiervan uitsluiten. Zie de sectie Uitsluitingen in het artikel Instructies: Risicobeleid configureren en inschakelen voor meer informatie.
3. Beleid uitschakelen: als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor al uw gebruikers, kunt u het beleid uitschakelen. Zie het artikel Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

Automatische blokkering vanwege een hoog betrouwbaarheidsrisico

Microsoft Entra ID Protection blokkeert automatisch aanmeldingen met een zeer hoge betrouwbaarheid van riskant zijn. Dit blok treedt meestal op bij aanmeldingen die worden uitgevoerd via verouderde authenticatieprotocollen en vertoont kenmerken van een kwaadaardige poging.

Wanneer een gebruiker met dit mechanisme wordt geblokkeerd, krijgt deze een verificatiefout van 50053. Bij onderzoek van de aanmeldingslogboeken wordt de volgende blokkeringsreden weergegeven: 'Aanmelding is geblokkeerd door ingebouwde beveiligingen vanwege een hoge betrouwbaarheid van het risico'.

Beheerders hebben de volgende opties om een account te deblokkeren op basis van aanmeldingsrisico's met hoge betrouwbaarheid:

1. Voeg het IP-adres toe dat wordt gebruikt om u aan te melden bij de instellingen voor vertrouwde locaties. Als de aanmelding wordt uitgevoerd vanaf een bekende locatie voor uw bedrijf, kunt u het IP-adres toevoegen dat moet worden vertrouwd. Zie de sectie Vertrouwde locaties in het artikel Voorwaardelijke toegang: Netwerktoewijzing voor meer informatie.
2. Gebruik een modern verificatieprotocol : als de aanmelding wordt uitgevoerd via een verouderd protocol, wordt de poging om over te schakelen naar een modern protocol de blokkering opgeheven.

Detecties van tokendiefstal

Met een recente update van onze detectiearchitectuur herstellen we sessies met MFA-claims niet meer automatisch wanneer er tijdens het aanmelden een tokendiefstal-gerelateerde gebeurtenis is of wanneer de detectie van het Microsoft Threat Intelligence Center (MSTIC) voor 'Nation State IP' wordt geactiveerd.

De volgende id-beveiligingsdetecties die verdachte tokenactiviteit identificeren of de IP-detectie van MSTIC Nation State worden niet meer automatisch hersteld:

• Bedreigingsinformatie van Microsoft Entra
• Afwijkend token
• Aanvaller in het midden
• MSTIC Natiestaat IP
• Afwijking bij token-uitgever

ID-bescherming toont nu sessiedetails in het deelvenster Risicodetectiedetails voor detecties die aanmeldgegevens verstrekken. Deze wijziging zorgt ervoor dat er geen sessies worden gesloten die detecties bevatten waarbij MFA-gerelateerd risico bestaat. Het verstrekken van sessiedetails met details over risico's op gebruikersniveau biedt waardevolle informatie om u te helpen bij het onderzoek. Deze informatie omvat:

• Type tokenuitgever
• Aanmeldingstijd
• IP-adres
• Aanmeldingslocatie
• Aanmeldingsclient
• Aanmeldingsaanvraag-id
• Correlatie-id voor aanmelding

Als u beleid voor voorwaardelijke toegang op basis van gebruikersrisico's hebt geconfigureerd en een van deze detecties die duiden op verdachte tokenactiviteit wordt geactiveerd voor een gebruiker, moet de eindgebruiker een beveiligd wachtwoord wijzigen en het account opnieuw verifiëren met meervoudige verificatie om het risico te wissen.

PowerShell Voorvertoning

Met behulp van de Microsoft Graph PowerShell SDK Preview-module kunnen organisaties risico's beheren met behulp van PowerShell. De preview-modules en voorbeeldcode vindt u in de Microsoft Entra GitHub-opslagplaats.

Met Invoke-AzureADIPDismissRiskyUser.ps1 het script dat in de opslagplaats is opgenomen, kunnen organisaties alle riskante gebruikers in hun directory negeren.

Gerelateerde inhoud

• Een hoog gebruikersrisico simuleren