Upravit

Nejčastější dotazy k Microsoft Entra ID Protection

  • Časté otázky

Zavření známých problémů s riziky uživatelů

Zavření rizika uživatele v microsoft Entra ID Protection nastaví objekt actor v historii rizik uživatele v ID Protection tak, aby <Správa jméno s hypertextovým odkazem odkazující na okno> uživatele.

Existuje aktuální známý problém, který způsobuje latenci v toku pro zavření rizika uživatele. Pokud máte zásady rizik uživatelů, přestanou se tyto zásady vztahovat na zavřené uživatele během několika minut po kliknutí na Zavřít riziko uživatele. Existují však známá zpoždění při aktualizaci stavu rizika zavřených uživatelů uživatelem. Jako alternativní řešení aktualizujte stránku na úrovni prohlížeče, abyste viděli nejnovější stav rizika uživatele.

Nejčastější dotazy

Proč je uživatel rizikový?

Článek Postupy: Prozkoumání rizika poskytuje vysvětlení, proč je uživatel ohrožen a jak ho dále prošetřit.

Proč se moje přihlášení zablokovalo, ale ochrana ID negenerovala detekci rizik?

Přihlášení je možné zablokovat z několika důvodů. Je důležité si uvědomit, že ochrana ID Protection generuje detekce rizik pouze v případech, kdy se v žádosti o ověření použijí správné přihlašovací údaje. Pokud uživatel zadá nesprávné přihlašovací údaje, není označený ochranou ID, protože neexistuje riziko ohrožení přihlašovacích údajů, pokud chybný objekt actor nepoužívá správné přihlašovací údaje. Mezi důvody blokování uživatele, které negenerují detekci ochrany ID, patří:

  • IP adresu je možné zablokovat kvůli škodlivé aktivitě z IP adresy. Zpráva blokovaná IP adresou nerozlišuje, jestli jsou přihlašovací údaje správné, nebo ne. Pokud je IP adresa blokovaná a nepoužívají se správné přihlašovací údaje, nevygeneruje detekci ochrany ID.
  • Inteligentní uzamčení může blokovat přihlášení účtu po několika neúspěšných pokusech.
  • Zásady podmíněného přístupu je možné vynutit, které k blokování žádosti o ověření používají jiné podmínky než úroveň rizika.

Jak můžu získat sestavu detekcí konkrétního typu?

Přejděte do zobrazení detekce rizik a vyfiltrujte je podle typu detekce. Tuto sestavu si pak můžete stáhnout v aplikaci . CSV nebo . Formát JSON pomocí tlačítka Stáhnout v horní části Další informace najdete v článku Postupy: Zkoumání rizika.

Proč pro každou detekci rizika nemůžu nastavit vlastní úrovně rizika?

Úrovně rizik v ochraně ID jsou založeny na přesnosti detekce a využívají naše strojové učení pod dohledem. Správci můžou nakonfigurovat zásady podmíněného přístupu založené na rizicích a přizpůsobit tak, jaké možnosti uživatelů se zobrazují.

Proč se umístění přihlášení neshoduje se skutečným umístěním uživatele, ze kterého se přihlásil?

Mapování geografické polohy IP adres je výzvou v celém oboru. Pokud máte pocit, že umístění uvedené v sestavě přihlášení neodpovídá skutečnému umístění, spojte se s podporou Microsoftu.

Jak můžu zavřít konkrétní detekce rizik podobně jako ve starém uživatelském rozhraní?

Zpětnou vazbu k detekcím rizik můžete poskytnout potvrzením propojeného přihlášení jako ohroženého nebo bezpečného. Zpětná vazba poskytnutá k přihlášení se ztěžuje všem detekcem provedeným při přihlášení. Pokud chcete zavřít detekce, které nejsou propojené s přihlášením, můžete poskytnout zpětnou vazbu na úrovni uživatele. Další informace najdete v článku Postupy: Poskytnutí zpětné vazby k rizikům ve službě Microsoft Entra ID Protection.

Jak daleko se můžu vrátit v čase, abych porozuměl tomu, co se děje s mým uživatelem?

  • Zobrazení rizikových uživatelů zobrazuje riziko uživatele na základě všech minulých přihlášení.
  • V zobrazení rizikových přihlášení se v posledních 30 dnech zobrazují rizikové znaménka.
  • Zobrazení detekce rizik zobrazuje detekce rizik provedených za posledních 90 dnů.

Jak se můžu dozvědět více o konkrétní detekci?

Všechny detekce rizik jsou popsané v článku Co je riziko. Když najedete myší na symbol (i) vedle detekce, zobrazí se další informace o detekci.

Jak fungují mechanismy zpětné vazby v ochraně ID?

Potvrzení ohrožení zabezpečení (při přihlášení) – informuje Microsoft Entra ID Protection, že přihlášení nebylo vlastníkem identity a značí ohrožení zabezpečení.

  • Po přijetí této zpětné vazby přesuneme stav rizika přihlášení a uživatele na úroveň Potvrzeno ohrožení zabezpečení a úroveň rizika na vysokou.

  • Kromě toho poskytujeme našim systémům strojového učení informace o budoucích vylepšeních posouzení rizik.

    Poznámka:

    Pokud už je uživatel odstraněný, nevybírejte možnost Potvrdit ohrožení zabezpečení , protože přesune stav rizika přihlášení a uživatele na Potvrzeno ohrožení zabezpečení a úroveň rizika na vysokou.

Potvrzení bezpečného přístupu (při přihlášení) – informuje Společnost Microsoft Entra ID Protection, že přihlášení bylo vlastníkem identity a nenaznačuje ohrožení zabezpečení.

  • Po obdržení této zpětné vazby přesuneme stav rizika přihlášení (ne uživatele) do stavu Potvrzeno bezpečné a úroveň rizika na Žádné.

  • Kromě toho poskytujeme našim systémům strojového učení informace o budoucích vylepšeních posouzení rizik.

    Poznámka:

    Když v současné době vyberete možnost Potvrdit bezpečné přihlášení, nezabráníte tím, že budoucí přihlášení se stejnými vlastnostmi označíte jako rizikové. Nejlepším způsobem, jak vytrénovat systém, aby se naučil vlastnosti uživatele, je použít zásady podmíněného přístupu s rizikem přihlašování a vícefaktorovým ověřováním. Když se zobrazí výzva k zadání vícefaktorového ověřování a uživatel na žádost úspěšně odpoví, může přihlášení uspět a pomoct vytrénovat systém na chování legitimního uživatele.

    Pokud se domníváte, že uživatel není ohrožen, použijte riziko zavřít uživatele na úrovni uživatele místo použití potvrzeného bezpečného přihlášení na úrovni přihlášení. Riziko zavření uživatele na úrovni uživatele zavře riziko uživatele a všechna předchozí riziková přihlášení a detekce rizik.

Proč se uživateli zobrazuje nízké (nebo vyšší) rizikové skóre, i když se v ochraně ID nezobrazují žádná riziková přihlášení nebo detekce rizik?

Vzhledem k tomu, že riziko uživatele je kumulativní v povaze a nevyprší jeho platnost, může mít uživatel riziko nízké nebo vyšší, i když se v ochraně ID nezobrazují žádná nedávná riziková přihlášení nebo detekce rizik. K této situaci může dojít v případě, že došlo k jediné škodlivé aktivitě uživatele nad rámec časového rámce, pro který ukládáme podrobnosti o rizikových přihlášeních a detekcích rizik. Nevypršíme uživatelské riziko, protože špatní aktéři znají, že zůstanou v prostředí zákazníků po dlouhou dobu před zahájením útoku. Zákazníci můžou zkontrolovat časovou osu rizika uživatele a zjistit, proč je uživatel ohrožen, tím, že přejdou na kartu Historie rizik v Centru > pro správu Microsoft Entra Protection Identity Protection >>>>.> Pokud se domníváte, že uživatel není ohrožený, použijte přes Graph API riziko zavřít uživatele.

Proč má přihlášení skóre "riziko přihlašování (agregované)" vysoké, pokud jsou detekce přidružené k němu nízké nebo střední riziko?

Vysoké agregované rizikové skóre může vycházet z jiných funkcí přihlášení nebo skutečnosti, že se pro toto přihlášení aktivovalo více než jedno zjištění. A naopak přihlášení může mít riziko přihlášení (agregované) střední i v případě, že detekce spojené s přihlášením představují vysoké riziko.

Jaký je rozdíl mezi detekcemi typu Aktivita z anonymní IP adresy a Anonymní IP adresa?

Zdrojem detekce anonymní IP adresy je Microsoft Entra ID Protection, zatímco detekce aktivity z anonymní IP adresy je integrovaná z Microsoft Defenderu pro Cloud Apps. I když mají podobné názvy a v těchto signálech se mohou překrývat, mají odlišné back-endové detekce.