Implementera och hantera användarriskprincip

  • 6 minuter

Det finns två riskprinciper som kan aktiveras i katalogen:

  • Inloggningsriskprincip: Inloggningsriskprincipen identifierar misstänkta åtgärder som medföljer inloggningen. Den fokuserar på själva inloggningsaktiviteten och analyserar sannolikheten för att inloggningen utfördes av någon annan än användaren.

    Skärmbild av sidan Säkerhetsöversikt för att aktivera principer för användar- och inloggningsrisk.

  • Användarriskprincip: Principen för användarrisk identifierar sannolikheten för att ett användarkonto har komprometterats genom att identifiera riskhändelser som är atypiska för en användares beteende.

Båda principerna automatiserar hur du hanterar identifieringar av risker i din miljö och gör det möjligt för användare att hantera risker på egen hand när de identifieras.

Titta på videon

I den här videon lär du dig hur du distribuerar Microsoft Entra Identity Protection genom att konfigurera riskbaserade principer (användarrisk och inloggningsrisk) i din organisation. Du får också lära dig metodtips för hur du gradvis distribuerar dessa principer och MFA-registrering i din organisation.

Förutsättningar

Om din organisation vill tillåta användare att självreparera när risker identifieras måste användarna registreras för både självbetjäning av lösenordsåterställning och multifaktorautentisering. Vi rekommenderar att du aktiverar den kombinerade säkerhetsinformationsregistreringen. Om användarna kan åtgärda sig själva återgår de till ett produktivt tillstånd snabbare utan att administratören behöver ingripa. Administratörer kan fortfarande se dessa händelser och undersöka dem i efterhand.

Välja godtagbara risknivåer

Organisationer måste bestämma vilken risknivå de är villiga att acceptera, balansera användarupplevelsen och säkerhetsstatusen.

Microsofts rekommendation är att ange tröskelvärdet för användarriskprincipen till Hög och principen för inloggningsrisk till Medel och högre.

Om du väljer ett högt tröskelvärde minskar antalet gånger en princip utlöses och minimerar utmaningen för användarna. Den undantar dock identifieringar av låg och medelhög risk från principen, vilket inte blockerar en angripare från att utnyttja en komprometterad identitet. Om du väljer ett lågt tröskelvärde introduceras extra användaravbrott men ökad säkerhetsstatus.

Exkluderingar

Alla principer gör det möjligt att exkludera användare, till exempel din nödåtkomst eller administratörskonton för break-glass. Organisationer avgör när de behöver undanta andra konton från specifika principer baserat på hur kontona används. Alla undantag bör granskas regelbundet för att se om de fortfarande är tillämpliga.

Konfigurerade betrodda nätverksplatser används av Identity Protection i vissa riskidentifieringar för att minska falska positiva identifieringar.