Udostępnij za pośrednictwem

Microsoft Entra ID Protection dla użytkowników B2B

  • Artykuł

Usługa Microsoft Entra ID Protection wykrywa naruszone poświadczenia dla użytkowników firmy Microsoft Entra, w tym użytkowników B2B. Jeśli twoje poświadczenia zostaną wykryte jako naruszone, oznacza to, że ktoś inny może mieć hasło i używać go bezprawnie. Aby zapobiec dalszemu ryzyku dla twojego konta, ważne jest, aby bezpiecznie zresetować hasło, aby nieprawidłowy aktor nie mógł już używać naruszonego hasła. Id Protection oznacza konta, które mogą zostać naruszone jako "zagrożone".

Możesz użyć poświadczeń organizacji, aby zalogować się do innej organizacji jako gość. Ten proces jest określany jako współpraca między firmami lub B2B. Organizacje mogą konfigurować zasady, aby uniemożliwić użytkownikom logowanie się, jeśli ich poświadczenia są uznawane za zagrożone. Jeśli Twoje konto jest zagrożone i nie możesz zalogować się do innej organizacji jako gość, możesz samodzielnie skorygować konto, wykonując następujące kroki. Jeśli twoja organizacja nie włączyła samoobsługowego resetowania hasła, administrator musi ręcznie skorygować swoje konto.

Odblokowywanie konta

Jeśli próbujesz zalogować się do innej organizacji jako gość i jest zablokowany z powodu ryzyka, zostanie wyświetlony następujący komunikat o blokadzie: "Twoje konto jest zablokowane. Wykryliśmy podejrzane działania na Twoim koncie".

Zrzut ekranu przedstawiający komunikat o błędzie z zablokowanym kontem gościa, skontaktuj się z administratorem organizacji.

Jeśli twoja organizacja to umożliwia, możesz użyć samoobsługowego resetowania hasła, aby odblokować swoje konto i przywrócić swoje poświadczenia do bezpiecznego stanu.

  1. Przejdź do portalu resetowania hasła i zainicjuj resetowanie hasła. Jeśli samoobsługowe resetowanie hasła nie jest włączone dla twojego konta i nie możesz kontynuować, skontaktuj się z administratorem IT, postępując zgodnie z poniższymi informacjami.
  2. Jeśli dla twojego konta jest włączone samoobsługowe resetowanie hasła, przed zmianą hasła zostanie wyświetlony monit o zweryfikowanie tożsamości przy użyciu metod zabezpieczeń. Aby uzyskać pomoc, zobacz artykuł Resetowanie hasła do służbowego lub szkolnego konta.
  3. Po pomyślnym i bezpiecznym zresetowaniu hasła ryzyko użytkownika zostanie skorygowane. Teraz możesz spróbować ponownie zalogować się jako użytkownik-gość.

Jeśli po zresetowaniu hasła nadal jesteś zablokowany jako gość z powodu ryzyka, skontaktuj się z administratorem IT organizacji.

Jak zarządzać ryzykiem użytkownika jako administrator

Usługa ID Protection automatycznie wykrywa ryzykownych użytkowników dla dzierżaw firmy Microsoft Entra. Jeśli wcześniej nie sprawdzono raportów usługi ID Protection, może istnieć duża liczba użytkowników z ryzykiem. Ponieważ najemcy zasobów mogą wdrażać polityki zarządzania ryzykiem użytkowników do użytkowników-gości, użytkownicy mogą być zablokowani ze względu na wykryte ryzyko, nawet jeśli wcześniej nie zdawali sobie sprawy z posiadania ryzykownego statusu. Jeśli użytkownik zgłasza, że jest zablokowany jako użytkownik-gość w innej dzierżawie z powodu ryzyka, ważne jest przeprowadzenie działań naprawczych, aby chronić jego konto i umożliwić współpracę.

Resetowanie hasła użytkownika.

Z raportu Ryzykowni użytkownicy w menu Microsoft Entra Security, wyszukaj dotyczącego użytkownika, używając filtru "Użytkownik". Wybierz użytkownika, na który ma to wpływ w raporcie, a następnie wybierz pozycję Resetuj hasło na górnym pasku narzędzi. Użytkownikowi zostanie przypisane hasło tymczasowe, które musi zostać zmienione podczas następnego logowania. Ten proces koryguje ryzyko użytkownika i przywraca poświadczenia do bezpiecznego stanu.

Ręcznie odrzuć ryzyko użytkownika

Jeśli resetowanie hasła nie jest opcją, możesz ręcznie odrzucić ryzyko użytkownika. Odrzucenie ryzyka związanego z użytkownikiem nie ma żadnego wpływu na istniejące hasło użytkownika, ale ten proces zmienia stan ryzyka użytkownika z zagrożenie na odrzucony. Ważne jest, aby zmienić hasło użytkownika przy użyciu dowolnych dostępnych środków, aby przywrócić tożsamość do bezpiecznego stanu.

Aby zignorować ryzyko użytkownika, przejdź do raportu Ryzykownych użytkowników w menu Microsoft Entra Security. Wyszukaj użytkownika, którego dotyczy problem, używając filtru „Użytkownik”, a następnie wybierz użytkownika. Wybierz opcję Odrzuć ryzyko użytkownika na pasku narzędzi. Wykonanie tej akcji może potrwać kilka minut, co pozwoli na zaktualizowanie stanu ryzyka użytkownika w raporcie.

Aby dowiedzieć się więcej na temat Ochrony tożsamości Microsoft Entra ID, zobacz Co to jest Ochrona tożsamości ID.

Jak działa usługa ID Protection dla użytkowników B2B?

Ryzyko użytkownika dla użytkowników współpracy B2B jest oceniane w ich katalogu domowym. Ryzyko logowania w czasie rzeczywistym dla tych użytkowników jest oceniane w katalogu zasobów podczas próby uzyskania dostępu do zasobu. Dzięki współpracy firmy Microsoft Entra B2B organizacje mogą wymuszać zasady oparte na ryzyku dla użytkowników B2B przy użyciu ochrony identyfikatorów. Te zasady można skonfigurować na dwa sposoby:

  • Administratorzy mogą skonfigurować swoje zasady dostępu warunkowego, używając ryzyka logowania jako warunku i dołączać użytkowników-gości.
  • Administratorzy mogą skonfigurować wbudowane zasady ochrony identyfikatorów oparte na ryzyku, które mają zastosowanie do wszystkich aplikacji i obejmują użytkowników-gości.

Ograniczenia ochrony identyfikatorów dla użytkowników współpracy B2B

Istnieją ograniczenia implementacji funkcji ID Protection dla użytkowników współpracy B2B w katalogu zasobów ze względu na ich tożsamość istniejącą w katalogu macierzystym. Główne ograniczenia są następujące:

  • Jeśli użytkownik-gość wyzwoli zasady ryzyka użytkownika ochrony identyfikatorów w celu wymuszenia resetowania hasła, zostaną one zablokowane. Ten blok jest spowodowany brakiem możliwości resetowania haseł w katalogu zasobów.
  • Użytkownicy-goście nie są wyświetlani w raporcie ryzykownych użytkowników. To ograniczenie wynika z oceny ryzyka występującej w katalogu macierzystym użytkownika B2B.
  • Administratorzy nie mogą odrzucić lub skorygować ryzykownego użytkownika współpracy B2B w katalogu zasobów. To ograniczenie jest spowodowane tym, że administratorzy w katalogu zasobów nie mają dostępu do katalogu macierzystego użytkownika B2B.

Dlaczego nie mogę skorygować ryzykownych użytkowników współpracy B2B w moim katalogu?

Ocena ryzyka i naprawa dla użytkowników B2B odbywa się w katalogu macierzystym. Ze względu na ten fakt użytkownicy-goście nie pojawiają się w raporcie ryzykownych użytkowników w katalogu zasobów, a administratorzy katalogu zasobów nie mogą wymusić bezpiecznego resetu hasła dla tych użytkowników.

Co zrobić, jeśli użytkownik współpracy B2B został zablokowany z powodu zasad opartych na ryzyku w mojej organizacji?

Jeśli ryzykowny użytkownik B2B w Twoim katalogu zostanie zablokowany przez zasady oparte na ryzyku, użytkownik musi skorygować to ryzyko w ich katalogu domowym. Użytkownicy mogą skorygować swoje ryzyko, wykonując bezpieczne resetowanie hasła w katalogu głównym, jak opisano wcześniej. Jeśli nie mają włączonego samoobsługowego resetowania hasła w folderze osobistym, muszą skontaktować się z personelem IT swojej organizacji, aby administrator ręcznie usunął ich zagrożenie lub zresetował hasło.

Jak mogę uniemożliwić użytkownikom współpracy B2B wpływ na zasady oparte na ryzyku?

Wykluczenie użytkowników B2B z polityk dostępu warunkowego opartych na ryzyku w organizacji zapobiega wpływowi oceny ryzyka na użytkowników B2B. Aby wykluczyć tych użytkowników B2B, utwórz grupę w identyfikatorze Entra firmy Microsoft zawierającym wszystkich użytkowników-gości w organizacji. Następnie dodaj tę grupę jako wykluczenie dla wbudowanej ochrony ID przed ryzykiem użytkownika oraz zasad ryzyka logowania, a także wszelkich zasad dostępu warunkowego, które używają ryzyka logowania jako warunku.

Następne kroki

Zobacz następujący artykuł dotyczący współpracy firmy Microsoft Entra B2B: