共用方式為


在 Microsoft Entra 外部 ID 中使用標識符保護調查風險

適用於具有灰色 X 符號的白色圓圈。 員工租用戶 內含白色核取記號的綠色圓圈。 外部租用戶 (深入了解)

Microsoft Entra ID Protection 為您的外部租使用者提供持續的風險偵測。 其可讓組織探索、調查及補救身分識別型風險。 標識元保護隨附風險報告,可用來調查外部租使用者中的身分識別風險。 在本文中,您會了解如何調查和降低風險。

標識元保護報告

標識元保護提供兩個報告。 「風險性使用者」報告可讓管理員在其中找出哪些使用者有風險,以及有關偵測的詳細資料。 風險偵測報告會提供每項風險偵測的相關資訊。 此報告包含風險類型、同時觸發的其他風險、登入嘗試的位置等等。

每種報告啟動時,都會隨附報告頂端所示期間所有偵測的清單。 橫跨報告頂端的篩選器可供篩選報告。 管理員可以選擇下載資料,或使用 MS Graph API 和 Microsoft Graph PowerShell SDK 來持續匯出資料。

服務限制與注意事項

使用標識碼保護時,請考慮下列幾點:

  • 試用租用戶中無法使用標識碼保護。
  • 標識元保護預設為開啟。
  • 身分保護適用於本機和社交身分,例如Google、Facebook或Apple。 由於外部識別提供者會管理社交帳戶認證,因此偵測會受到限制。
  • 目前在 Microsoft Entra 外部租用戶中,有部分 Microsoft Entra ID Protection 風險偵測可以使用。 Microsoft Entra External ID 支援下列風險偵測:
風險偵測類型 描述
非慣用登入位置 根據使用者最近的登入,從非慣用的位置登入。
匿名 IP 位址 從匿名 IP 位址登入 (例如:Tor 瀏覽器、Anonymizer VPN)。
已連結惡意程式碼的 IP 位址 從已連結惡意程式碼的 IP 位址登入。
不熟悉的登入屬性 指定的使用者以最近少見的屬性登入。
系統管理員已確認使用者遭盜用 系統管理員已指出使用者遭盜用。
密碼噴灑 透過密碼噴灑攻擊來登入。
Microsoft Entra 威脅情報 Microsoft 的內部和外部威脅情報來源已確定了一種已知的攻擊模式。

調查有風險的使用者

透過風險性使用者報告提供的資訊,管理員可了解以下項目:

  • 風險狀態顯示哪些使用者有風險,其狀態有已補救風險或已解除風險
  • 關於偵測的詳細資料
  • 所有風險性登入的歷程記錄
  • 風險歷程記錄

接著,系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇:

  • 重設使用者密碼
  • 確認使用者遭入侵
  • 解除使用者風險
  • 阻止使用者登入
  • 使用 Azure ATP 進一步調查

管理員可以選擇在 Microsoft Entra 系統管理中心解除使用者的風險,或以程式設計方式透過 Microsoft Graph API 解除使用者風險來解除該風險。 需要管理員權限才能解除使用者的風險。 風險性使用者或代表使用者處理的系統管理員可以補救風險,例如透過密碼重設。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 確定您使用的目錄包含 Microsoft Entra 外部租用戶:選取工具列中的 [設定] 圖示 ,並從 [目錄 + 訂用帳戶] 功能表尋找您的外部租用戶。 如果這不是目前目錄,請選取 [切換]

  3. 瀏覽至 [資料保護]> [身分識別保護]

  4. 在 [報告] 之下,選取 [風險性使用者]

    選取個別項目時,偵測下方即會展開詳細資料視窗。 詳細資料檢視可讓系統管理員調查及執行每項偵測的動作。

風險偵測報告

風險偵測報告包含最多過去 90 天 (3 個月) 的可篩選資料。

系統管理員可以利用風險偵測報告所提供的資訊來尋找:

  • 每項風險偵測的相關資訊,包括類型。
  • 同時觸發的其他風險。
  • 登入嘗試位置。

接著,系統管理員可以選擇返回使用者的風險或登入報告,依據收集到的資訊採取行動。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 [資料保護]> [身分識別保護]

  3. 在 [報告] 之下,選取 [風險偵測]