Implementar e gerenciar a política de risco do usuário

Concluído

Há duas políticas de risco que podem ser habilitadas no diretório:

  • Política de risco de início de sessão: a política de risco de início de sessão deteta ações suspeitas que acompanham o início de sessão. Ele é focado na atividade de login em si e analisa a probabilidade de que o login tenha sido realizado por alguém que não seja o usuário.

    Captura de ecrã da página Descrição geral da segurança para ativar as políticas de risco de utilizador e início de sessão.

  • Política de risco do usuário: a política de risco do usuário deteta a probabilidade de que uma conta de usuário tenha sido comprometida ao detetar eventos de risco que são atípicos do comportamento de um usuário.

Ambas as políticas trabalham para automatizar a resposta à deteção de risco no seu ambiente e permitir que os utilizadores possam remediar automaticamente quando o risco é detetado.

Ver o vídeo

Neste vídeo, saiba como implantar o Microsoft Entra Identity Protection configurando políticas baseadas em risco (risco de usuário e risco de entrada) em sua organização. Você também aprende as práticas recomendadas sobre como implantar gradualmente essas políticas e o registro de MFA em sua organização.

Pré-requisitos

Se sua organização quiser permitir que os usuários se autocorrijam quando os riscos forem detetados, os usuários deverão ser registrados para redefinição de senha de autoatendimento e autenticação multifator. Recomendamos ativar a experiência combinada de registro de informações de segurança. Permitir que os usuários se auto-corrijam faz com que eles voltem a um estado produtivo mais rapidamente sem exigir a intervenção do administrador. Os administradores ainda podem ver esses eventos e investigá-los após o fato.

Escolha os níveis de risco aceitáveis

As organizações devem decidir o nível de risco que estão dispostas a aceitar, equilibrando a experiência do usuário e a postura de segurança.

A recomendação da Microsoft é definir o limite da política de risco do usuário como Alto e a política de risco de entrada como Médio e superior.

A escolha de um limite Alto reduz o número de vezes que uma política é acionada e minimiza o desafio para os usuários. No entanto, exclui as deteções de baixo e médio risco da política, que não impede que um invasor explore uma identidade comprometida. Selecionar um limite baixo introduz interrupções extras do usuário, mas maior postura de segurança.

Exclusões

Todas as políticas permitem a exclusão de usuários, como suas contas de administrador de acesso de emergência ou quebra-vidro. As organizações determinam quando precisam excluir outras contas de políticas específicas com base na maneira como as contas são usadas. Todas as exclusões devem ser revistas regularmente para ver se ainda são aplicáveis.

Os locais de rede confiáveis configurados são usados pela Proteção de Identidade em algumas deteções de risco para reduzir falsos positivos.