在 Microsoft Entra 外部 ID 中使用標識符保護調查風險
適用於: 員工租用戶 外部租用戶 (深入了解)
Microsoft Entra ID Protection 為您的外部租使用者提供持續的風險偵測。 其可讓組織探索、調查及補救身分識別型風險。 標識元保護隨附風險報告,可用來調查外部租使用者中的身分識別風險。 在本文中,您會了解如何調查和降低風險。
標識元保護報告
標識元保護提供兩個報告。 「風險性使用者」報告可讓管理員在其中找出哪些使用者有風險,以及有關偵測的詳細資料。 風險偵測報告會提供每項風險偵測的相關資訊。 此報告包含風險類型、同時觸發的其他風險、登入嘗試的位置等等。
每種報告啟動時,都會隨附報告頂端所示期間所有偵測的清單。 橫跨報告頂端的篩選器可供篩選報告。 管理員可以選擇下載資料,或使用 MS Graph API 和 Microsoft Graph PowerShell SDK 來持續匯出資料。
服務限制與注意事項
使用標識碼保護時,請考慮下列幾點:
- 試用租用戶中無法使用標識碼保護。
- 標識元保護預設為開啟。
- 身分保護適用於本機和社交身分,例如Google、Facebook或Apple。 由於外部識別提供者會管理社交帳戶認證,因此偵測會受到限制。
- 目前在 Microsoft Entra 外部租用戶中,有部分 Microsoft Entra ID Protection 風險偵測可以使用。 Microsoft Entra External ID 支援下列風險偵測:
風險偵測類型 | 描述 |
---|---|
非慣用登入位置 | 根據使用者最近的登入,從非慣用的位置登入。 |
匿名 IP 位址 | 從匿名 IP 位址登入 (例如:Tor 瀏覽器、Anonymizer VPN)。 |
已連結惡意程式碼的 IP 位址 | 從已連結惡意程式碼的 IP 位址登入。 |
不熟悉的登入屬性 | 指定的使用者以最近少見的屬性登入。 |
系統管理員已確認使用者遭盜用 | 系統管理員已指出使用者遭盜用。 |
密碼噴灑 | 透過密碼噴灑攻擊來登入。 |
Microsoft Entra 威脅情報 | Microsoft 的內部和外部威脅情報來源已確定了一種已知的攻擊模式。 |
調查有風險的使用者
透過風險性使用者報告提供的資訊,管理員可了解以下項目:
- 風險狀態顯示哪些使用者有風險,其狀態有已補救風險或已解除風險
- 關於偵測的詳細資料
- 所有風險性登入的歷程記錄
- 風險歷程記錄
接著,系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇:
- 重設使用者密碼
- 確認使用者遭入侵
- 解除使用者風險
- 阻止使用者登入
- 使用 Azure ATP 進一步調查
管理員可以選擇在 Microsoft Entra 系統管理中心解除使用者的風險,或以程式設計方式透過 Microsoft Graph API 解除使用者風險來解除該風險。 需要管理員權限才能解除使用者的風險。 風險性使用者或代表使用者處理的系統管理員可以補救風險,例如透過密碼重設。
瀏覽風險性使用者報告
確定您使用的目錄包含 Microsoft Entra 外部租用戶:選取工具列中的 [設定] 圖示 ,並從 [目錄 + 訂用帳戶] 功能表尋找您的外部租用戶。 如果這不是目前目錄,請選取 [切換]。
瀏覽至 [資料保護]> [身分識別保護]。
在 [報告] 之下,選取 [風險性使用者]。
選取個別項目時,偵測下方即會展開詳細資料視窗。 詳細資料檢視可讓系統管理員調查及執行每項偵測的動作。
風險偵測報告
風險偵測報告包含最多過去 90 天 (3 個月) 的可篩選資料。
系統管理員可以利用風險偵測報告所提供的資訊來尋找:
- 每項風險偵測的相關資訊,包括類型。
- 同時觸發的其他風險。
- 登入嘗試位置。
接著,系統管理員可以選擇返回使用者的風險或登入報告,依據收集到的資訊採取行動。
瀏覽風險偵測報告
瀏覽至 [資料保護]> [身分識別保護]。
在 [報告] 之下,選取 [風險偵測]。