Granska grunderna för identitetsskydd
Identity Protection är en tjänst som gör det möjligt för organisationer att visa säkerhetsstatusen för alla konton. Organisationer kan utföra tre viktiga uppgifter:
- Automatisera identifiering och åtgärd av identitetsbaserade risker.
- Undersök risker med att använda data i portalen.
- Exportera riskidentifieringsdata till verktyg från tredje part för ytterligare analys.
Kom alltid ihåg att Microsoft Entra Identity Protection kräver en Microsoft Entra ID Premium P2-licens för att fungera. Licensiering beskrivs mer i detalj i en senare enhet.
Identity Protection använder den kunskap som Microsoft har fått från sin position i organisationer med Microsoft Entra-ID, konsumentutrymmet med Microsoft-konton och spel med Xbox för att skydda dina användare. Microsoft analyserar 6,5 biljoner signaler per dag för att identifiera och skydda kunder mot hot.
De signaler som genereras av och matas till Identity Protection kan matas in ytterligare i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut eller matas tillbaka till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för vidare undersökning baserat på organisationens framtvingade principer.
Riskidentifiering och reparation
Identity Protection identifierar risker i följande klassificeringar:
| Typ av riskidentifiering | Beskrivning |
|---|---|
| Anonym IP-adress | Logga in från en anonym IP-adress (till exempel: Tor browser, anonymizer VPN). |
| Ovanlig resa | Logga in från en atypisk plats baserat på användarens senaste inloggningar. |
| IP-adress länkad till skadlig kod | Logga in från en länkad IP-adress för skadlig kod. |
| Egenskaper för obekant inloggning | Logga in med egenskaper som vi inte har sett nyligen för den angivna användaren. |
| Läckta autentiseringsuppgifter | Anger att användarens giltiga autentiseringsuppgifter har läckt ut. |
| Lösenordsspray | Anger att flera användarnamn attackeras med vanliga lösenord på ett enhetligt brute-force-sätt. |
| Microsoft Entra-hotinformation | Microsofts interna och externa hotinformationskällor har identifierat ett känt attackmönster. |
| Nytt land | Den här identifieringen identifieras av Microsoft Defender för molnet Apps (MDCA). |
| Aktivitet från anonym IP-adress | Den här identifieringen identifieras av MDCA. |
| Misstänkt vidarebefordran av inkorgar | Den här identifieringen identifieras av MDCA. |
Behörigheter
Identity Protection kräver att användarna är säkerhetsläsare, säkerhetsoperatör, säkerhetsadministratör, global läsare eller global administratör för att få åtkomst.
| Roll | Kan göra | Det går inte att göra |
|---|---|---|
| Global administratör | Fullständig åtkomst till Identity Protection | |
| Säkerhetsadministratör | Fullständig åtkomst till Identity Protection | Återställa lösenord för en användare |
| Säkerhetsoperator | Visa alla Identity Protection-rapporter och översiktsskärmen, Stäng användarrisk, bekräfta säker inloggning, bekräfta kompromiss | Konfigurera eller ändra principer, Återställa lösenord för en användare, Konfigurera aviseringar |
| Säkerhetsläsare | Visa alla Identity Protection-rapporter och översiktsskärmen | Konfigurera eller ändra principer, Återställa lösenord för en användare, Konfigurera aviseringar, Ge feedback om identifieringar |
För närvarande kan inte rollen Säkerhetsoperatör komma åt rapporten Riskfyllda inloggningar. Administratörer för villkorsstyrd åtkomst kan också skapa principer som räknar in inloggningsrisk som ett villkor.
Licenskrav
För att kunna använda den här funktionen krävs en Premium P2-licens för Microsoft Entra ID.
| Förmåga | Detaljer | Kostnadsfritt Microsoft Entra-ID/Microsoft 365-applikationer | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
|---|---|---|---|---|
| Riskprinciper | Användarriskprincip (via Identity Protection) | Nej | Nej | Ja |
| Riskprinciper | Inloggningsriskprincip (via identitetsskydd eller villkorsstyrd åtkomst) | Nej | Nej | Ja |
| Säkerhetsrapporter | Översikt | Nej | Nej | Ja |
| Säkerhetsrapporter | Riskfyllda användare | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskfyllda inloggningar | Begränsad information. Ingen riskinformation eller risknivå visas. | Begränsad information. Ingen riskinformation eller risknivå visas. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskidentifieringar | Nej | Begränsad information. Ingen informationslåda. | Fullständig åtkomst |
| Meddelanden | Användare i farozonen identifierade aviseringar | Nej | Nej | Ja |
| Meddelanden | Veckosammandrag | Nej | Nej | Ja |
| Registreringsprincip för multifaktorautentisering | Nej | Nej | Ja |