補救風險並將使用者解除封鎖

完成 調查之後，請採取動作來補救有風險的使用者或將其解除封鎖。 組織可以設定風險型原則來啟用自動補救。 組織應該在舒適的時段內調查並補救所有有風險的使用者。 Microsoft建議快速採取行動，因為處理風險的時間很重要。

風險補救

所有作用中風險偵測都會納入使用者風險層級的計算。 使用者風險層級是使用者帳戶遭到入侵的可能性指標 (低、中、高)。 調查風險性使用者和對應的具風險性登入和偵測之後，您應該補救風險性使用者，使其不再處於風險狀態以及遭到封鎖而無法存取。

Microsoft Entra ID Protection 會將一些風險偵測和對應的具風險性登入標示為已解除，風險狀態為已解除且風險詳細資料顯示 Microsoft Entra ID Protection 評估登入安全。 之所以採取此動作，是因為這些事件已不再判定為有風險。

系統管理員可以使用下列選項來補救：

• 設定風險型原則，讓使用者能夠自行補救其風險。
• 手動重設其密碼。
• 消除其使用者風險。
• 補救在 Microsoft Defender for Identity 中。

使用風險型原則進行自我補救

您可以設定風險型原則，讓使用者可以自行補救其登入風險和使用者風險。 如果使用者通過必要的存取控制，例如多重要素驗證或安全密碼變更，則系統會自動補救其風險。 對應的風險偵測、具風險的登入和風險性使用者，會回報風險狀態已補救，而不是有風險。

在套用風險型原則以允許自我補救風險之前，使用者的必要條件如下：

• 若要執行 MFA 以自我補救登入風險：
  • 使用者必須註冊 Microsoft Entra 多重要素驗證。
• 若要執行安全密碼變更以降低使用者風險：
  • 使用者必須註冊 Microsoft Entra 多重要素驗證。
  • 從內部部署同步到雲端的混合使用者，必須啟用密碼回寫功能。

如果風險型原則在符合必要條件之前於登入期間套用至使用者，則會封鎖使用者。 因為無法執行必要的訪問控制，而且需要系統管理員介入才能解除封鎖使用者，所以會發生此封鎖。

風險型原則會根據風險層級進行設定，且只有在登入或使用者的風險層級符合設定的層級時才會套用。 某些偵測可能不會對套用原則的層級造成風險，系統管理員需要手動處理這些風險性使用者。 系統管理員可以判斷是否需要額外的措施，例如依位置封鎖存取，或降低其政策中可接受的風險水平。

使用自助式密碼重設進行自我補救

如果使用者已註冊自助式密碼重設 (SSPR)，則他們可以執行自助式密碼重設來補救自己的使用者風險。

手動重設密碼

如果無法使用使用者風險原則重設密碼，或時間很重要，則系統管理員可以藉由要求密碼重設來補救風險性使用者。

系統管理員可以選擇下列選項：

產生臨時密碼

藉由產生臨時密碼，您可以立即讓身分識別回到安全狀態。 此方法需要與受影響的使用者連絡，因為他們需要知道暫時密碼。 由於密碼是暫時性的，因此系統會提示使用者在下次登入時，將密碼變更為新的密碼。

• 他們可以在 Microsoft Entra 系統管理中心為雲端和混合式使用者產生密碼。

• 啟用密碼雜湊同步和允許內部部署密碼變更以重設使用者風險設定時，他們可以從內部部署目錄產生混合式使用者的密碼。

  警告

  請勿選取 [使用者必須在下次登入時變更密碼] 選項。 不受支援。

要求使用者重設密碼

要求使用者重設密碼能夠自行復原，而不需要連絡技術支援中心或系統管理員。

• 雲端和混合式使用者可以完成安全密碼變更。 這個方法僅適用於已經可以執行 MFA 的使用者。 對於未註冊的使用者，則無法使用此選項。
• 啟用密碼雜湊同步和允許內部部署密碼變更以重設使用者風險設定時，混合式使用者可以從內部部署或混合式聯結的 Windows 裝置完成密碼變更。

允許內部部署進行密碼重設以降低使用者風險

啟用密碼雜湊同步的組織可允許內部部署密碼變更以補救使用者風險。

此設定提供組織兩項新功能：

• 具風險的混合式使用者可以自行補救，而不需要系統管理員介入。 當內部部署的密碼變更時，帳號風險現在會在 Microsoft Entra ID Protection 中自動解決，將目前的帳號風險狀態重設。
• 組織可以主動部署需要密碼變更的使用者風險原則，充滿自信地保護其混合式使用者。 此選項可確保立即解決使用者風險，即使在複雜的混合式環境中，也能強化組織的安全性態勢並簡化安全性管理。

若要進行此設定

1. 以至少是安全性操作員的身分登入Microsoft Entra 系統管理中心。
2. 瀏覽至 [資料保護]>[身分識別保護]>[設定]。
3. 勾選以允許內部部署密碼變更以重設使用者風險方塊。
4. 選擇 [儲存]。

注意

允許內部部署密碼變更以重設使用者風險是一項需自行選擇的功能。 客戶應該先評估這項功能，再於生產環境中啟用。 我們建議客戶保護內部部署密碼變更或重設流程。 例如，在允許使用者使用 Microsoft Identity Manager 的自助式密碼重設入口網站等工具來變更其內部部署密碼之前，需要多重要素驗證。

排除使用者風險

如果在調查之後，您確認使用者帳戶沒有遭到入侵的風險，您可以選擇關閉有風險的使用者。

若要在 Microsoft Entra 系統管理中心至少解除作為安全性操作員的使用者風險，請瀏覽至 [資料保護]>[身分識別保護]>[風險性使用者]，選取受影響的使用者，然後選取 [解除使用者風險]。

當您選取 [關閉用戶風險時，使用者不再處於風險中，且所有有風險的登入和對應的風險偵測都會關閉。

由於此方法不會影響使用者的現有密碼，因此不會讓其身分識別恢復到安全狀態。

以風險解除為基礎的風險狀態和詳細資料

• 風險性使用者：
  • 風險狀態：「有風險」->「已解除」
  • 風險詳細資料 (風險補救詳細資料)："-" ->「管理員已解除使用者的所有風險」
• 此使用者的所有具風險性登入，以及對應的風險偵測：
  • 風險狀態：「有風險」->「已解除」
  • 風險詳細資料 (風險補救詳細資料)："-" ->「系統管理員已解除使用者的所有風險」

確認使用者遭到入侵

如果調查後，確認帳戶遭到入侵：

1. 在 [風險性登入] 或 [風險性使用者] 報告中選取事件或使用者，然後選擇 [確認已遭盜用]。
2. 如果未觸發風險型原則，且風險並未自我補救，則請採取以下一項或多項措施：
   1. 要求密碼重設。
   2. 如果您懷疑攻擊者可以針對該使用者重設密碼或執行多重要素驗證，請封鎖該使用者。
   3. 撤銷更新權杖。
   4. 若任何裝置被視為遭到入侵，請停用裝置。
   5. 如果使用的是持續性存取評估，請撤銷所有存取權杖。

如需有關確認入侵時所發生狀況的詳細資訊，請參閱如何提供有關風險的風險意見反應一節。

已刪除的使用者

系統管理員無法排除對於從目錄中被刪除用戶的風險。 若要移除已刪除的使用者，請開啟 Microsoft 支援案例。

解除封鎖使用者

系統管理員可以根據其風險原則或調查封鎖登入。 封鎖會依據登入或使用者風險執行。

根據使用者風險解除封鎖

若要解除封鎖因為使用者風險而遭到封鎖的帳戶，管理員可以選擇下列選項：

1. 重設密碼 - 您可以重設使用者的密碼。 如果使用者遭到盜用或有遭到盜用的風險，則應該重設使用者的密碼以保護其帳戶和您的組織。
2. 解除使用者風險 - 達到封鎖存取的設定使用者風險層級時，使用者風險原則即會封鎖使用者。 如果在調查之後，您確信使用者沒有遭到盜用的風險，而且可以放心地允許其進行存取，則您可以藉由解除使用者風險來降低使用者的風險層級。
3. 從原則中排除使用者 - 如果您認為登入原則的目前設定會對特定使用者造成問題，而且您可以放心地對這些使用者授與存取權，而不需套用此原則，您就可以將其從此原則中排除。 如需詳細資訊，請參閱操作說明：設定和啟用風險原則一文中的「排除項目」一節。
4. 停用原則 - 如果您認為您的原則設定對所有使用者造成問題，您可以停用原則。 如需詳細資訊，請參閱操作說明：設定和啟用風險原則。

根據登入風險解除封鎖

若要解除因為登入風險而封鎖的帳戶，系統管理員可以選擇下列選項：

1. 從熟悉的位置或裝置登入 - 可疑的登入會遭封鎖通常是因為使用者嘗試從不熟悉的位置或裝置登入。 使用者可以透過嘗試從熟悉的位置或裝置登入，迅速判斷這個原因是否為遭到封鎖的原因。
2. 從原則中排除使用者 - 如果您認為登入原則的目前設定造成特定使用者的問題，您可以將使用者排除。 如需詳細資訊，請參閱操作說明：設定和啟用風險原則一文中的「排除項目」一節。
3. 停用原則 - 如果您認為您的原則設定對所有使用者造成問題，您可以停用原則。 如需詳細資訊，請參閱操作說明：設定和啟用風險原則。

由於信賴風險高而自動封鎖

Microsoft Entra ID Protection 會自動封鎖具有高風險信賴度的登入。 此區塊最常出現在透過舊版驗證通訊協定進行的登入時，並且顯示出具有惡意嘗試的特性。

當使用者使用此機制封鎖時，他們會收到 50053 驗證錯誤。 調查登入記錄顯示的封鎖原因如下：「由於高風險，登入已被內建保護機制阻擋。」

若要根據高信賴度登入風險解除封鎖帳戶，系統管理員有下列選項：

1. 新增用來登入信任位置設定 的IP - 如果登入是從貴公司的已知位置執行，您可以新增要信任的IP。 如需詳細資訊，請參閱文章條件式存取：網路指派中的「信任位置」一節。
2. 使用新式驗證通訊協定 - 如果透過舊版通訊協定 執行登入，切換至新式將會解除封鎖嘗試。

令牌竊取相關偵測

在我們最近更新偵測架構後，當登入時觸發與權杖竊取相關或 Microsoft 威脅情報中心 (MSTIC) 的國家級 IP 偵測時，我們不再進行使用 MFA 聲明的自動補救。

下列識別可疑令牌活動或 MSTIC 國家級 IP 偵測的 ID 保護偵測將不再自動修正：

• Microsoft Entra 威脅情報
• 異常標記
• 中間攻擊者
• MSTIC 國家級 IP
• 權杖簽發者異常

ID Protection 現在會在 [風險偵測詳細資料] 窗格中，針對產生登入資料的偵測顯示工作階段詳細資料。 這項變更可確保我們不會關閉包含偵測到MFA相關風險的會話。 提供具有用戶層級風險詳細數據的會話詳細數據，可提供協助調查的重要資訊。 此資訊包括：

• 權杖簽發者類型
• 登入時間
• IP 位址
• 登入位置
• 登入客戶端
• 登入要求識別碼
• 登入關聯識別碼

如果您已設定使用者風險型條件式存取原則，且偵測到其中一項表示使用者發生可疑的權杖活動，則該使用者必須執行安全密碼變更，並透過多重要素驗證重新驗證其帳戶，以清除風險。

PowerShell 預覽

使用 Microsoft Graph PowerShell SDK Preview 模組時，組織可以使用 PowerShell 來管理風險。 您可以在 Microsoft Entra GitHub 存放庫 \(英文\) 中找到預覽模組與範例程式碼。

存放庫中包含的 Invoke-AzureADIPDismissRiskyUser.ps1 指令碼，可讓組織在其目錄中關閉所有風險性使用者。

相關內容

• 模擬高使用者風險