在 Microsoft Entra 外部 ID 中使用 ID 保护来调查风险

适用于:带灰色 X 号的白色圆圈。 员工租户 带白色勾号的绿色圆圈。 外部租户(了解详细信息

Microsoft Entra ID 保护为你的外部租户提供持续的风险检测。 它使组织能够发现、调查和修正基于标识的风险。 ID 保护会提供风险报表,这些报表可用于调查外部租户中的标识风险。 本文介绍如何调查和缓解风险。

ID 保护报告

ID 保护提供两个报表。 风险用户报告:管理员可在其中发现哪些用户面临风险,以及有关检测项的详细信息。 风险检测报表提供有关每个风险检测的信息。 此报表包括风险类型、同时触发的其他风险、登录尝试的位置等。

每个报表启动时,报表顶部都有一个列表来显示该时间段内的所有检测。 使用报表顶部的筛选器可筛选报表。 管理员可以选择下载数据,或使用 Microsoft Graph API 和 Microsoft Graph PowerShell SDK 持续导出数据。

服务限制和注意事项

使用 ID 保护时,请考虑以下几点:

  • ID 保护在试用租户中不可用。
  • 默认情况下,ID 保护处于启用状态。
  • ID 保护适用于本地和社交标识,例如 Google、Facebook 或 Apple。 检测受到限制是因为外部标识提供者管理社交帐户凭据。
  • 目前,在 Microsoft Entra 外部租户中,可以使用一部分 Microsoft Entra ID 保护风险检测项。 Microsoft Entra 外部 ID 支持以下风险检测:
风险检测类型 说明
异常位置登录 从异常位置登录,根据用户最近的登录来判定。
匿名 IP 地址 从匿名 IP 地址登录(例如:Tor 浏览器,匿名程序 VPN)。
受恶意软件感染的 IP 地址 从受恶意软件感染的 IP 地址登录。
不熟悉的登录属性 使用给定用户的最近未曾出现过的属性登录。
管理员确认用户遭入侵 管理员已表明,用户遭到了入侵。
密码喷射 通过密码喷射攻击进行登录。
Microsoft Entra 威胁情报 Microsoft 的内部和外部威胁智能源已识别出已知的攻击模式。

调查有风险的用户

使用“风险用户”报表提供的信息,管理员可找出:

  • 风险状态,显示哪些用户有风险;风险已修正或风险已消除
  • 有关检测的详细信息
  • 所有风险登录的历史记录
  • 风险历史记录

然后,管理员可选择对这些事件执行操作。 管理员可选择:

  • 重置用户密码
  • 确认用户是否已遭入侵
  • 消除用户风险
  • 阻止用户登录
  • 使用 Azure ATP 进一步调查

管理员可以选择在 Microsoft Entra 管理中心消除用户的风险,或者通过 Microsoft Graph API 的“消除用户风险”选项以编程方式这样做。 需要管理员权限才能消除用户的风险。 风险用户或代表用户工作的管理员可以通过某种方式(例如通过密码重置)进行风险补救。

  1. 登录 Microsoft Entra 管理中心

  2. 请确保使用包含 Microsoft Entra ID 外部租户的目录:在工具栏中选择“设置”图标 ,然后从“目录 + 订阅”菜单中查找外部租户。 如果它不是当前目录,请选择“切换”。

  3. 浏览到“保护”>“标识保护”。

  4. 在“报表”下,选择“风险用户”。

    选择单个条目后,将展开检测下方的“详细信息”窗口。 管理员可通过“详细信息”视图对每次检测进行调查和执行操作。

风险检测项报告

“风险检测”报表最多包含过去 90 天(3 个月)的可筛选数据。

通过风险检测报表提供的信息,管理员可找出:

  • 每项风险检测的相关信息,包括类型。
  • 同时触发的其他风险。
  • 尝试登录的位置。

然后,管理员可选择返回到用户的风险或登录报表,根据收集到的信息采取措施。

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“保护”>“标识保护”。

  3. 在“报表”下,选择“风险检测”。