在 Microsoft 365 Lighthouse 中查看和管理有风险的用户

Microsoft每天收集和分析数万亿个用户登录信号。 这些信号用于帮助构建良好的用户登录行为模式，并确定潜在的有风险的登录尝试。 Microsoft Entra ID 保护使用这些信号来查看用户登录尝试，并在存在可疑活动时采取措施。

Microsoft 365 Lighthouse通过提供所有托管租户中风险用户的单个视图来帮助管理Microsoft Entra ID 保护检测到的风险。 可以通过重置用户密码或阻止他们登录到其 Microsoft 365 帐户来快速保护有风险的用户。 还可以查看见解，以便更好地了解用户的风险并确定后续步骤。

Microsoft Entra ID 保护识别多种类型的风险，包括：

• 泄露的凭据
• 匿名 IP 使用
• 非典型旅行
• 从受感染的设备登录
• 从具有可疑活动的 IP 地址登录
• 从不熟悉的位置登录

注意

本页提供有关因许可不足而受到限制或不可用的数据的见解。

开始之前

必须先满足以下条件，用户才能出现在风险用户列表中：

• 客户租户必须为每个用户提供Microsoft Entra ID P1 或 P2 许可证。 有关哪些许可证支持Microsoft Entra ID 保护的详细信息，请参阅什么是标识保护？

• 客户租户必须在Microsoft 365 Lighthouse内处于活动状态。 若要确定租户是否处于活动状态，请参阅 Microsoft 365 Lighthouse 中的Windows 365 (云电脑) 概述页。

查看检测到的风险并采取措施

在Microsoft Entra ID 保护中，风险检测包括与Microsoft Entra ID中的用户帐户相关的任何已识别的可疑操作。

1. 在 Lighthouse 的左侧导航窗格中，选择 “用户>风险用户”。

2. 在“ 风险用户 ”页上，查看列表中风险状态为“ 有风险”的用户。

3. 选择“ 查看风险检测 ”以获取有关每个用户检测到的风险的详细信息。 有关风险类型和检测的详细信息，请参阅 什么是风险？。

4. 对于每个用户，评估风险检测，并根据情况选择以下操作之一：

   • 重置密码 - 更改或重置用户密码。

   • 阻止登录 - 阻止任何人以此用户身份登录。

   • 确认用户已泄露 - 将风险状态设置为“已确认已泄露”。

   • 消除用户风险 - 将风险状态设置为已消除。

同时对多个用户帐户执行操作

若要同时对多个受影响的用户执行操作，请执行以下操作：

1. 在 Lighthouse 的左侧导航窗格中，选择 “用户>风险用户”。

2. 在“ 风险用户 ”页上，选择要执行操作的用户集。

3. 选择要执行以下操作之一：

   • 重置密码

   • 阻止登录

   • 确认用户已泄露

   • 消除用户风险

注意

如果要管理的组织具有Microsoft Entra ID P2 许可证，我们建议为该组织启用基于用户风险的条件访问策略。 有关详细信息，请参阅 条件访问：基于用户风险的条件访问。

相关内容

使用用户登录的风险检测触发Microsoft Entra多重身份验证或密码更改 (教程)
什么是风险？ (文章)
修正风险并解除阻止用户 (文章)