查看标识保护基础知识
标识保护是一种服务,通过该服务组织能够查看任何帐户的安全状况。 组织可以完成三项关键任务:
- 自动检测和修正基于标识的风险。
- 使用门户中的数据调查风险。
- 将风险检测数据导出到第三方实用程序,供进一步分析。
请始终记住,Microsoft Entra Identity Protection 需要 Microsoft Entra ID 高级版 P2 许可证才能运行。 后续单元中会对许可进行详细介绍。
标识保护使用 Microsoft 从使用 Microsoft Entra ID 的组织、Microsoft 帐户中的用户群以及 Xbox 游戏中获得的知识。 Microsoft 每天分析 6.5 万亿条信号,以识别威胁并保护客户安全。
可以将标识保护生成和收到的信号进一步发送给条件访问等工具,以便制定访问决策,也可以将信号发送回安全信息和事件管理 (SIEM) 工具,根据组织的强制执行策略进行深入调查。
风险检测和修正
标识保护按照以下类别标识风险:
| 风险检测类型 | 说明 |
|---|---|
| 匿名 IP 地址 | 从匿名 IP 地址登录(例如:Tor 浏览器,匿名程序 VPN)。 |
| 异常位置登录 | 从根据用户的最近登录确定为非典型的位置登录。 |
| 恶意软件链接的 IP 地址 | 从受恶意软件感染的 IP 地址登录。 |
| 不熟悉的登录属性 | 使用给定用户最近未曾出现过的属性进行登录。 |
| 凭据泄露 | 指示用户的有效凭据已泄露。 |
| 密码喷射 | 指示正在使用常见密码以统一的暴力攻击方式攻击多个用户名。 |
| Microsoft Entra 威胁情报 | Microsoft 的内部和外部威胁智能源已识别出已知的攻击模式。 |
| 新国家/地区 | 此检测由 Microsoft Defender for Cloud Apps (MDCA) 发现。 |
| 来自匿名 IP 地址的活动 | 此检测由 MDCA 发现。 |
| 可疑收件箱转发 | 此检测由 MDCA 发现。 |
权限
标识保护要求用户是安全读者、安全操作员、安全管理员、全局读者或全局管理员才可访问。
| 角色 | 允许事项 | 禁止事项 |
|---|---|---|
| 全局管理员 | 对“标识保护”具有完全访问权限 | |
| 安全管理员 | 对“标识保护”具有完全访问权限 | 重置用户密码 |
| 安全操作员 | 查看所有标识保护报告和“概述”屏幕、消除用户风险、确认安全登录、确认泄露情况 | 配置或更改策略、重置用户密码、配置警报 |
| 安全读取者 | 查看所有标识保护报表和“概览”屏幕 | 配置或更改策略、重置用户密码、配置警报、反馈检测结果 |
目前,安全操作员角色无法访问风险登录报告。 条件访问管理员还可以创建将登录风险作为条件考虑在内的策略。
许可要求
使用此功能需要 Microsoft Entra ID 高级版 P2 许可证。
| 功能 | 详细信息 | Microsoft Entra ID 免费版/ Microsoft 365 应用版 | Microsoft Entra ID 高级版 P1 | Microsoft Entra ID 高级版 P2 |
|---|---|---|---|---|
| 风险策略 | 用户风险策略(通过标识保护实现) | 否 | No | 是 |
| 风险策略 | 登录风险策略(通过标识保护或条件访问实现) | 否 | No | 是 |
| 安全报表 | 概述 | 否 | No | 是 |
| 安全报表 | 有风险用户 | 有限的信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 有限的信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 完全访问权限 |
| 安全报表 | 风险登录 | 有限的信息。 未显示任何风险详细信息或风险级别。 | 有限的信息。 未显示任何风险详细信息或风险级别。 | 完全访问权限 |
| 安全报表 | 风险检测 | 否 | 有限的信息。 无详细信息抽屉。 | 完全访问权限 |
| 通知 | 检测到用户存在风险的警报 | 否 | No | 是 |
| 通知 | 每周摘要 | 否 | No | 是 |
| MFA 注册策略 | 否 | No | 是 |