Korygowanie zagrożeń i odblokowywanie użytkowników

Po zakończeniu badania wykonaj działania w celu skorygowania ryzykownych użytkowników lub odblokowania ich. Organizacje mogą włączyć zautomatyzowane korygowanie, konfigurując zasady oparte na ryzyku. Organizacje powinny badać i korygować użytkowników o wysokim ryzyku w odpowiednim czasie. Firma Microsoft zaleca szybkie działanie, ponieważ czas ma znaczenie podczas pracy z ryzykiem.

Korygowanie ryzyka

Wszystkie aktywne wykrycia ryzyka przyczyniają się do obliczania poziomu ryzyka użytkownika. Poziom ryzyka użytkownika jest wskaźnikiem (niskim, średnim, wysokim) prawdopodobieństwa naruszenia zabezpieczeń konta użytkownika. Po zbadaniu ryzykownych użytkowników oraz odpowiednich ryzykownych logowań i wykryć, należy skorygować ryzykownych użytkowników, aby nie byli już narażeni na ryzyko i zostali odcięci od dostępu.

Ochrona Microsoft Entra ID oznacza niektóre wykrycia ryzyka i powiązane ryzykowne logowania jako odrzucone ze stanem ryzyka Odrzucone oraz szczegółowym opisem Microsoft Entra ID Protection oceniło logowanie jako bezpieczne. Podejmuje to działanie, ponieważ te zdarzenia nie były już uznawane za ryzykowne.

Administratorzy mogą korygować przy użyciu następujących opcji:

• Skonfiguruj zasady oparte na ryzyku, aby umożliwić użytkownikom samodzielne korygowanie ich ryzyka.
• Ręcznie zresetuj hasło.
• Zignoruj ryzyko związane z użytkownikiem.
• Korygowanie w usłudze Microsoft Defender for Identity.

Samodzielne korygowanie przy użyciu zasad opartych na ryzyku

Możesz zezwolić użytkownikom na samodzielne korygowanie ryzyka związanego z logowaniem i ryzyka związanego z użytkownikiem, konfigurując zasady oparte na ryzyku. Jeśli użytkownicy przejdą wymaganą kontrolę dostępu, na przykład uwierzytelnianie wieloskładnikowe lub bezpieczną zmianę hasła, ich ryzyko zostanie automatycznie skorygowane. Odpowiednie wykrycia ryzyka, ryzykowne logowania i ryzykowni użytkownicy są zgłaszane ze stanem ryzyka Skorygowane zamiast Ryzykowne.

Wymagania wstępne dla użytkowników przed zastosowaniem zasad opartych na ryzyku w celu umożliwienia samodzielnego korygowania ryzyka to:

• Aby wykonać uwierzytelnianie wieloskładnikowe w celu samodzielnego skorygowania ryzyka związanego z logowaniem:
  • Użytkownik musi być zarejestrowany na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.
• Aby przeprowadzić bezpieczną zmianę hasła w celu samodzielnego skorygowania ryzyka związanego z użytkownikiem:
  • Użytkownik musi być zarejestrowany na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.
  • W przypadku użytkowników hybrydowych, którzy są synchronizowani ze środowiska lokalnego do chmury, należy włączyć funkcję zapisywania zwrotnego haseł.

Jeśli zasady oparte na ryzyku dotyczą użytkownika podczas logowania przed spełnieniem wymagań wstępnych, użytkownik zostanie zablokowany. Ten blok występuje, ponieważ nie może wykonać wymaganej kontroli dostępu, a interwencja administratora jest wymagana do odblokowania użytkownika.

Zasady oparte na ryzyku są konfigurowane na podstawie poziomów ryzyka i mają zastosowanie tylko wtedy, gdy poziom ryzyka logowania lub użytkownika jest zgodny ze skonfigurowanym poziomem. Niektóre wykrycia mogą nie zwiększać ryzyka do poziomu, w którym są stosowane zasady, a administratorzy muszą ręcznie obsługiwać tych ryzykownych użytkowników. Administratorzy mogą określić, że dodatkowe środki są niezbędne, takie jak blokowanie dostępu z lokalizacji lub obniżanie dopuszczalnego ryzyka w zasadach.

Samodzielne korygowanie przy użyciu samoobsługowego resetowania hasła

Jeśli użytkownik jest zarejestrowany na potrzeby samoobsługowego resetowania hasła (SSPR), może skorygować własne ryzyko użytkownika, wykonując samoobsługowe resetowanie hasła.

Ręczne resetowanie hasła

Jeśli wymaganie resetowania hasła przy użyciu zasad ryzyka użytkownika nie jest opcją lub czas jest istotą, administratorzy mogą skorygować ryzykownego użytkownika, wymagając zresetowania hasła.

Administratorzy mają opcje, które mogą wybrać:

Generowanie hasła tymczasowego

Generując hasło tymczasowe, można natychmiast przywrócić tożsamość do bezpiecznego stanu. Ta metoda wymaga skontaktowania się z użytkownikami, których dotyczy problem, ponieważ musi wiedzieć, jakie jest hasło tymczasowe. Ponieważ hasło jest tymczasowe, użytkownik jest monitowany o zmianę hasła na coś nowego podczas następnego logowania.

• Mogą one generować hasła dla użytkowników chmury i hybrydowych w centrum administracyjnym firmy Microsoft Entra.

• Mogą one generować hasła dla użytkowników hybrydowych z katalogu lokalnego, gdy synchronizacja skrótów haseł i ustawienie Zezwalaj na zmianę hasła lokalnego w celu zresetowania ryzyka użytkownika jest włączone.

  Ostrzeżenie

  Nie wybieraj opcji Użytkownik musi zmienić hasło przy następnym logowaniu. Nie jest to obsługiwane.

Wymaganie od użytkownika zresetowania hasła

Wymaganie od użytkowników resetowania haseł umożliwia samodzielne odzyskiwanie bez kontaktowania się z pomocą techniczną lub administratorem.

• Użytkownicy chmury i hybrydowi mogą ukończyć bezpieczną zmianę hasła. Ta metoda dotyczy tylko użytkowników, którzy mogą już wykonywać uwierzytelnianie wieloskładnikowe. W przypadku użytkowników, którzy nie są zarejestrowani, ta opcja nie jest dostępna.
• Użytkownicy hybrydowi mogą ukończyć zmianę hasła z lokalnego lub hybrydowego urządzenia z systemem Windows, jeżeli włączona jest synchronizacja skrótów haseł i ustawienie Zezwalaj na zmianę hasła lokalnie w celu zresetowania poziomu ryzyka użytkownika.

Zezwalaj na lokalne resetowanie hasła w celu skorygowania ryzyka związanego z użytkownikiem

Organizacje, które włączają synchronizację skrótów haseł, mogą zezwolić na lokalne zmiany haseł w celu skorygowania ryzyka związanego z użytkownikiem.

Ta konfiguracja zapewnia organizacjom dwie nowe możliwości:

• Ryzykowni użytkownicy hybrydowi mogą samodzielnie korygować bez interwencji administratorów. Kiedy hasło jest zmieniane w środowisku lokalnym, ryzyko użytkownika jest teraz automatycznie korygowane w Microsoft Entra ID Protection, co powoduje reset bieżącego stanu ryzyka użytkownika.
• Organizacje mogą aktywnie wdrażać zasady ryzyka użytkowników, które wymagają zmian haseł, aby bezpiecznie chronić użytkowników hybrydowych. Ta opcja wzmacnia stan zabezpieczeń organizacji i upraszcza zarządzanie zabezpieczeniami, zapewniając szybkie rozwiązanie ryzyka użytkowników, nawet w złożonych środowiskach hybrydowych.

Aby skonfigurować to ustawienie

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej operator zabezpieczeń.
2. Przejdź do Ochrona>Ochrona tożsamości>Ustawienia.
3. Zaznacz pole wyboru, aby zezwolić na zmianę hasła w środowisku lokalnym w celu zresetowania ryzyka użytkownika.
4. Wybierz pozycję Zapisz.

Uwaga

Zezwolenie na zmianę hasła na miejscu w celu zresetowania ryzyka użytkownika jest funkcją, którą można włączyć tylko dobrowolnie. Klienci powinni ocenić tę funkcję przed włączeniem w środowiskach produkcyjnych. Zalecamy klientom zabezpieczenie lokalnych przepływów zmiany lub resetowania haseł. Na przykład wymaganie uwierzytelniania wieloskładnikowego przed zezwoleniem użytkownikom na zmianę hasła lokalnie przy użyciu narzędzia takiego jak portal samoobsługowego resetowania haseł w programie Microsoft Identity Manager.

Odrzucenie ryzyka związanego z użytkownikiem

Jeśli po zbadaniu potwierdzisz, że konto użytkownika nie jest zagrożone naruszeniem zabezpieczeń, możesz odrzucić ryzykownego użytkownika.

Aby odrzucić ryzyko użytkownika jako co najmniej operator zabezpieczeń w centrum administracyjnym Microsoft Entra, przejdź do Ochrona>Ochrona tożsamości>Ryzykowni użytkownicy, wybierz użytkownika, którego dotyczy problem, a następnie wybierz Odrzuć ryzyko użytkownika.

Po wybraniu opcji Odrzuć ryzyko użytkownikaużytkownik nie jest już zagrożony, a wszystkie ryzykowne logowania i odpowiednie wykrycia ryzyka zostaną odrzucone.

Ponieważ ta metoda nie ma wpływu na istniejące hasło użytkownika, nie przywraca tożsamości do bezpiecznego stanu.

Stan ryzyka i szczegóły na podstawie odrzucenia ryzyka

• Ryzykowny użytkownik:
  • Stan ryzyka: "Ryzyko" —> "Odrzucono"
  • Szczegóły ryzyka (szczegóły korygowania ryzyka): "-" —> "Administrator odrzucił wszystkie ryzyko dla użytkownika"
• Wszystkie ryzykowne logowania tego użytkownika i odpowiednie wykrycia ryzyka:
  • Stan ryzyka: "Ryzyko" —> "Odrzucono"
  • Szczegóły ryzyka (szczegóły korygowania ryzyka): "-" —> "Administrator odrzucił wszystkie ryzyko dla użytkownika"

Potwierdzanie naruszenia zabezpieczeń użytkownika

Jeśli po zbadaniu konto zostanie potwierdzone jako skompromitowane:

1. Wybierz zdarzenie lub użytkownika w raportach Ryzykowne logowania lub Ryzykowni użytkownicy , a następnie wybierz pozycję "Potwierdź naruszenie zabezpieczeń".
2. Jeśli polityka zarządzania ryzykiem nie została wyzwolona, a ryzyko nie zostało samodzielnie zniwelowane, wykonaj co najmniej jedną z następujących czynności:
   1. Zażądaj zresetowania hasła.
   2. Zablokuj użytkownika, jeśli podejrzewasz, że osoba atakująca może zresetować hasło lub przeprowadzić uwierzytelnianie wieloskładnikowe dla użytkownika.
   3. Odwoływanie tokenów odświeżania.
   4. Wyłącz wszystkie urządzenia , które są uznawane za naruszone.
   5. W przypadku korzystania z ciągłej oceny dostępu odwołaj wszystkie tokeny dostępu.

Aby uzyskać więcej informacji na temat tego, co się stanie podczas potwierdzania naruszenia zabezpieczeń, zobacz sekcję Jak przekazać opinię na temat ryzyka.

Usunięci użytkownicy

Administratorzy nie mogą odrzucać ryzyka dla użytkowników usuniętych z katalogu. Aby usunąć usuniętych użytkowników, otwórz zgłoszenie do pomocy technicznej firmy Microsoft.

Odblokowywanie użytkowników

Administrator może zablokować logowanie na podstawie zasad ryzyka lub badań. Blokada może wystąpić na podstawie ryzyka związanego z logowaniem lub ryzyka użytkownika.

Odblokowywanie na podstawie ryzyka związanego z użytkownikiem

Aby odblokować konto zablokowane z powodu ryzyka związanego z użytkownikiem, administratorzy mają następujące opcje:

1. Resetowanie hasła — możesz zresetować hasło użytkownika. Jeśli bezpieczeństwo użytkownika zostało naruszone lub zagrożone, hasło użytkownika powinno zostać zresetowane, aby chronić swoje konto i twoją organizację.
2. Odrzucanie ryzyka związanego z użytkownikiem — zasady ryzyka związanego z użytkownikiem blokują użytkownika po osiągnięciu skonfigurowanego poziomu ryzyka związanego z blokowaniem dostępu. Jeśli po zbadaniu masz pewność, że użytkownik nie jest narażony na naruszenie zabezpieczeń i bezpieczne jest zezwolenie mu na dostęp, możesz zmniejszyć poziom ryzyka użytkownika, usuwając ryzyko.
3. Wyklucz użytkownika z zasad — jeśli uważasz, że bieżąca konfiguracja zasad logowania powoduje problemy dla określonych użytkowników i można bezpiecznie udzielić dostępu do tych użytkowników bez stosowania tych zasad, możesz je wykluczyć z tych zasad. Aby uzyskać więcej informacji, zobacz sekcję Wykluczenia w artykule Instrukcje: konfigurowanie i włączanie zasad ryzyka.
4. Wyłącz zasady — jeśli uważasz, że konfiguracja zasad powoduje problemy dla wszystkich użytkowników, możesz wyłączyć zasady. Aby uzyskać więcej informacji, zobacz artykuł How To: Configure and enable risk policies (Instrukcje: konfigurowanie i włączanie zasad ryzyka).

Odblokowywanie na podstawie ryzyka związanego z logowaniem

Aby odblokować konto na podstawie ryzyka związanego z logowaniem, administratorzy mają następujące opcje:

1. Logowanie ze znanej lokalizacji lub urządzenia — częstą przyczyną zablokowanych podejrzanych logowań są próby logowania z nieznanych lokalizacji lub urządzeń. Użytkownicy mogą szybko określić, czy jest to przyczyna blokowania, próbując zalogować się ze znanej lokalizacji lub urządzenia.
2. Wykluczenie użytkownika z zasad — jeśli uważasz, że bieżąca konfiguracja zasad logowania powoduje problemy dla określonych użytkowników, możesz wykluczyć z niej użytkowników. Aby uzyskać więcej informacji, zobacz sekcję Wykluczenia w artykule Instrukcje: konfigurowanie i włączanie zasad ryzyka.
3. Wyłącz zasady — jeśli uważasz, że konfiguracja zasad powoduje problemy dla wszystkich użytkowników, możesz wyłączyć zasady. Aby uzyskać więcej informacji, zobacz artykuł How To: Configure and enable risk policies (Instrukcje: konfigurowanie i włączanie zasad ryzyka).

Automatyczne blokowanie z powodu wysokiego ryzyka zaufania

Ochrona Microsoft Entra ID automatycznie blokuje logowania, które uznaje za bardzo ryzykowne. Ten blok najczęściej występuje podczas logowania za pomocą starszych protokołów uwierzytelniania i ma cechy złośliwej próby.

Gdy użytkownik zostanie zablokowany za pomocą tego mechanizmu, zostanie wyświetlony błąd uwierzytelniania 50053. Analiza dzienników logowania wskazuje następującą przyczynę blokady: "Logowanie zostało zablokowane przez wbudowane zabezpieczenia z powodu wysokiego prawdopodobieństwa ryzyka".

Aby odblokować konto w przypadku wysokiego poziomu zagrożenia przy logowaniu, administratorzy mają następujące opcje:

1. Dodaj adres IP używany do logowania się do ustawień Zaufanej lokalizacji — jeśli logowanie jest wykonywane ze znanej lokalizacji firmy, możesz dodać adres IP, aby był zaufany. Aby uzyskać więcej informacji, zobacz sekcję Zaufane lokalizacje w artykule Dostęp warunkowy: przypisanie sieci.
2. Użyj nowoczesnego protokołu uwierzytelniania — jeśli logowanie jest wykonywane za pośrednictwem starszego protokołu, przejście na nowoczesne spowoduje odblokowanie próby.

Wykrywanie związane z kradzieżą tokenów

Dzięki niedawnej aktualizacji naszej architektury wykrywania, nie będziemy już automatycznie naprawiać sesji z roszczeniami MFA, gdy dochodzi do kradzieży tokenu lub gdy podczas logowania zostanie wykryty adres IP związany z działaniami państw narodowych przez Microsoft Threat Intelligence Center (MSTIC).

Następujące wykrycia ochrony tożsamości identyfikujące podejrzane działania tokenu lub wykrywanie adresów IP państwa narodowego MSTIC nie są już automatycznie korygowane.

• Microsoft Entra informacje o zagrożeniach
• Nietypowy token
• Atak typu człowiek-pośrednik
• MSTIC IP Państwowy
• Anomalia wystawcy tokenu

Usługa ID Protection teraz wyświetla szczegóły sesji w okienku Szczegóły wykrywania ryzyka dla wykryć, które generują dane dotyczące logowania. Ta zmiana gwarantuje, że nie zamykamy sesji zawierających wykrycia, w których istnieje ryzyko związane z MFA. Udostępnienie szczegółów sesji ze szczegółami ryzyka na poziomie użytkownika zawiera cenne informacje ułatwiające badanie. Te informacje obejmują:

• Typ wystawcy tokenu
• Czas logowania
• Adres IP
• Lokalizacja logowania
• Klient logowania
• Identyfikator żądania logowania
• Identyfikator korelacji logowania

Jeśli skonfigurowano zasady dostępu warunkowego opartego na ryzyku użytkownika i jedno z tych wykryć oznacza, że na użytkowniku jest uruchamiane podejrzane działanie tokenu, użytkownik końcowy musi wykonać bezpieczną zmianę hasła i ponownie uwierzytelnić swoje konto przy użyciu uwierzytelniania wieloskładnikowego w celu wyczyszczenia ryzyka.

PowerShell (wersja zapoznawcza)

Korzystając z modułu Microsoft Graph PowerShell SDK w wersji zapoznawczej, organizacje mogą zarządzać ryzykiem przy użyciu programu PowerShell. Moduły w wersji zapoznawczej i przykładowy kod można znaleźć w repozytorium Microsoft Entra GitHub.

Skrypt Invoke-AzureADIPDismissRiskyUser.ps1 zawarty w repozytorium umożliwia organizacjom odrzucanie wszystkich ryzykownych użytkowników w katalogu.

Powiązana zawartość

• Symulowanie wysokiego ryzyka związanego z użytkownikiem