編輯

Microsoft Entra ID Protection 常見問題

  • 常見問題集

關閉用戶風險已知問題

在 Microsoft Entra ID Protection 中關閉用戶風險,會將標識碼保護中用戶風險歷程記錄中的動作項目設定為< 管理員 名稱,並具有指向使用者刀鋒視窗>的超連結。

目前已知問題會導致用戶風險關閉流程的延遲。 如果您有 用戶風險原則,此原則會在按兩下 [關閉用戶風險] 幾分鐘內停止套用至已關閉的使用者。 不過,UX 重新整理已關閉使用者的「風險狀態」有已知的延遲。 因應措施是,重新整理瀏覽器層級上的頁面,以查看最新的用戶 風險狀態

常見問題集

為什麼使用者會有風險?

如何:調查風險一文提供用戶為何面臨風險的說明,以及如何進一步調查。

為什麼我的登入遭到封鎖,但標識符保護未產生風險偵測?

登入可能會因為數個原因而遭到封鎖。 請務必注意,標識符保護只會在驗證要求中使用正確的認證時產生風險偵測。 如果使用者提供不正確的認證,除非不良動作專案使用正確的認證,否則不會以標識符保護標示,因為認證洩露的風險並不大。 使用者可能會因為無法產生標識碼保護偵測而遭到封鎖的一些原因包括:

  • IP 可能會因為來自IP位址的惡意活動而遭到封鎖。 IP 封鎖的訊息不會區分認證是否正確。 如果 IP 遭到封鎖且未使用正確的認證,則不會產生標識符保護偵測。
  • 智慧鎖定 可以在多次嘗試失敗后封鎖帳戶登入。
  • 您可以強制執行條件式存取原則,以使用風險層級以外的條件來封鎖驗證要求。

如何取得特定類型偵測的報告?

移至風險偵測檢視,並依 偵測類型進行篩選。 然後,您可以在 中下載此報告。CSV 或 。使用頂端的 [ 下載 ] 按鈕的 JSON 格式。 如需詳細資訊,請參閱如何:調查風險一文

為何我無法針對每個風險偵測設定我自己的風險層級?

標識元保護中的風險層級是以偵測的精確度為基礎,並由我們的受監督機器學習所提供。 若要自定義使用者呈現的體驗,系統管理員可以設定 風險型條件式存取原則

登入的位置為何與使用者真正登入自的位置不符合?

IP 地理位置對應對整個產業而言是項挑戰。 如果您覺得登入報告中所列的位置與實際位置不符,請連絡 Microsoft 支援服務。

如何像在舊的 UI 中一樣關閉特定的風險偵測?

您可以確認連結登入為遭入侵或安全,以提供有關風險偵測的意見反應。 登入時提供的意見反應會歸結到該登入上所做的所有偵測。 如果您想要關閉未連結至登入的偵測,您可以在用戶層級提供該意見反應。 如需詳細資訊,請參閱如何:在 Microsoft Entra ID Protection 中提供風險意見反應一文

我可以回到多少時間,以瞭解我的用戶會發生什麼事?

  • 風險的用戶 檢視會根據所有過去的登入顯示用戶的風險站立。
  • 風險 性登入 檢視會顯示過去 30 天內有風險的登入。
  • 風險 偵測 檢視會顯示過去90天內進行的風險偵測。

如何深入瞭解特定偵測?

所有風險偵測都會記載於什麼是風險一文中。 您可以將滑鼠停留在偵測旁邊的 (i) 符號上,以深入了解偵測。

標識元保護中的意見反應機制如何運作?

確認遭 入侵 (登入時) - 通知 Microsoft Entra ID Protection 登入不是由身分識別擁有者,並表示遭到入侵。

  • 收到此意見反應后,我們會將登入和用戶風險狀態 移至 [已確認遭 入侵],並將風險層級移至 [高]。

  • 此外,我們會將資訊提供給機器學習系統,以在未來改善風險評估。

    注意

    如果已補救使用者,請勿選取 [確認遭入侵],因為它會將登入和用戶風險狀態移至 [已確認遭入侵],並將風險層級移至 []。

確認安全 (登入時) - 通知 Microsoft Entra ID Protection,登入是由身分識別擁有者所擁有,而且不會指出遭到入侵。

  • 收到此意見反應后,我們會將登入(而非使用者)風險狀態 移至 [已確認的安全 ],並將風險等級移至 [ ]。

  • 此外,我們會將資訊提供給機器學習系統,以在未來改善風險評估。

    注意

    目前,在登入時選取 [確認安全] 本身並不會防止具有相同屬性的未來登入標示為具風險。 將系統定型以學習用戶屬性的最佳方式,就是使用具有登入風險和 MFA 的條件式存取原則。 當系統提示您輸入 MFA 且使用者成功回應要求時,登入可能會成功,並協助在合法使用者的行為上訓練系統。

    如果您認為使用者未遭入侵,請在用戶層級使用 [關閉用戶風險 ],而不是在登入層級上使用 [已確認的安全 ]。 關閉用戶層級的用戶風險會關閉用戶風險,以及所有過去有風險的登入和風險偵測。

為什麼我看到風險分數較低(或更高)的使用者,即使標識符保護中未顯示有風險的登入或風險偵測?

由於用戶風險本質上是累積的,而且不會過期,即使標識符保護中沒有最近的有風險的登入或風險偵測,使用者也可能有低或更高的用戶風險風險。 如果使用者上唯一的惡意活動超出我們儲存有風險登入和風險偵測詳細數據的時間範圍,就可能發生這種情況。 我們不會讓用戶風險過期,因為已知不良執行者在增加攻擊之前會長期留在客戶的環境中。 客戶可以檢閱使用者的風險時程表,藉由前往 Microsoft Entra 系統管理中心>保護身分識別保護>>風險使用者>,選取風險使用者>詳細數據抽屜>風險歷程記錄索引卷標,以瞭解使用者面臨風險的原因。如果您認為使用者未遭入侵,請使用透過圖形 API 關閉用戶風險。

當與登入相關聯的偵測屬於低或中風險時,為什麼登入風險 (匯總)分數為 High?

高匯總風險分數可能以登入的其他功能為基礎,或針對該登入引發多個偵測的事實。 相反地,即使與登入相關聯的偵測具有高風險,登入風險(匯總)也可能是Medium。

「來自匿名 IP 位址的活動」和「匿名 IP 位址」兩種偵測之間有何差異?

「匿名IP位址」偵測的來源是 Microsoft Entra ID Protection,而「來自匿名IP位址的活動」偵測會從 適用於雲端的 Microsoft Defender Apps 整合。 雖然它們有類似的名稱,但您可能會在這些訊號中看到重疊,但它們有不同的後端偵測。