Gyakori kérdések Microsoft Entra ID-védelem

A felhasználói kockázat ismert problémáinak elvetése

A felhasználói kockázat elvetése a Microsoft Entra ID-védelem beállítja a felhasználó kockázati előzményeinek szereplőjét az ID Protectionben, hogy <Rendszergazda nevét a felhasználó paneljére> mutató hivatkozással.

A felhasználó kockázatának elutasítási folyamatában késést okozó, jelenleg ismert probléma áll fenn. Ha felhasználói kockázati szabályzattal rendelkezik, ez a szabályzat a felhasználói kockázat elvetése gombra kattintást követő perceken belül nem alkalmazható az elvetett felhasználókra. Vannak azonban ismert késések, amikor az UX frissíti az elvetett felhasználók "kockázati állapotát". Áthidaló megoldásként frissítse a lapot a böngésző szintjén, hogy megjelenjen a legújabb felhasználói kockázati állapot.

Gyakori kérdések

Mitől kockázatos egy felhasználó?

A How To: Investigate risk (Útmutató: Kockázat kivizsgálása) című cikk magyarázatot ad arra, hogy miért van veszélyben egy felhasználó, és hogyan vizsgálhatja tovább.

Miért tiltották le a bejelentkezést, de az ID Protection nem hozott létre kockázatészlelést?

A bejelentkezések több okból is blokkolhatók. Fontos megjegyezni, hogy az ID Protection csak akkor hoz létre kockázatészleléseket, ha a hitelesítési kérelemben helyes hitelesítő adatokat használnak. Ha egy felhasználó helytelen hitelesítő adatokat ad meg, akkor az id Protection nem jelöli meg, mivel nem áll fenn a hitelesítő adatok sérülésének kockázata, kivéve, ha egy rossz szereplő a megfelelő hitelesítő adatokat használja. Bizonyos okok, amelyek miatt a felhasználó nem hoz létre azonosítóvédelmi észlelést, többek között az alábbiakat tilthatja le:

  • Az IP-címet blokkolhatja az IP-címről származó rosszindulatú tevékenység. A letiltott IP-cím nem különbözteti meg, hogy a hitelesítő adatok helyesek voltak-e. Ha az IP-cím le van tiltva, és a rendszer nem használja a helyes hitelesítő adatokat, nem generál azonosítóvédelmi észlelést.
  • Az intelligens zárolás letilthatja a fiók bejelentkezését több sikertelen kísérlet után.
  • Feltételes hozzáférési szabályzat kényszeríthető, amely a kockázati szinten kívül más feltételeket használ a hitelesítési kérések letiltásához.

Hogyan kaphatok jelentést egy adott típusú észlelésekről?

Nyissa meg a kockázatészlelési nézetet, és szűrjön észlelési típus szerint. Ezután letöltheti a jelentést a következőbe: . CSV vagy . JSON formátum a felül található Letöltés gombbal. További információ: Útmutató: Kockázat vizsgálata.

Miért nem tudok saját kockázati szintet beállítani az egyes észlelt kockázatokhoz?

Az ID Protection kockázati szintjei a felügyelt gépi tanuláson alapuló észlelés pontosságán alapulnak. A felhasználók által megjelenített élmény testreszabásához a rendszergazda bizonyos felhasználókat/csoportokat belefoglalhat vagy kizárhat a felhasználói kockázati és bejelentkezési kockázati szabályzatokból.

Miért nem egyezik meg egy bejelentkezés helye azzal, ahonnan a felhasználó ténylegesen be van jelentkezve?

Az IP-címek földrajzi leképezése az egész ágazat nagy kihívása. Ha úgy érzi, hogy a bejelentkezési jelentésben szereplő hely nem felel meg a tényleges helynek, forduljon a Microsoft ügyfélszolgálatához.

Hogyan zárhatok le adott kockázatészleléseket, ahogyan a régi felhasználói felületen tettem?

A kockázatészlelésekről visszajelzést adhat, ha megerősíti, hogy a csatolt bejelentkezés sérült vagy biztonságos. A bejelentkezéssel kapcsolatos visszajelzések a bejelentkezés során észlelt összes észlelésre le lesznek kapcsolva. Ha be szeretné zárni a bejelentkezéshez nem kapcsolódó észleléseket, ezt a visszajelzést felhasználói szinten is megadhatja. További információkért tekintse meg a Következő: Kockázatvisszajelzés küldése Microsoft Entra ID-védelem című cikket.

Meddig tudok visszamenni az időben, hogy megértsem, mi történik a felhasználómmal?

Hogyan tudhatok meg többet egy adott észlelésről?

Az összes kockázatészlelést a Mi a kockázat című cikk dokumentálja. Ha többet szeretne megtudni az észlelésről, vigye az egérmutatót az észlelés melletti (i) szimbólumra.

Hogyan működnek az ID Protection visszajelzési mechanizmusai?

Ellenőrizze, hogy sérült-e (bejelentkezéskor) – Tájékoztatja Microsoft Entra ID-védelem, hogy a bejelentkezést nem az identitástulajdonos tette, és biztonsági kockázatot jelez.

  • A visszajelzés beérkezésekor a bejelentkezési és a felhasználói kockázati állapotot a Megerősített biztonsági szint és a Kockázati szint magas értékre helyezzük át.

  • Emellett a gépi tanulási rendszereinknek is biztosítjuk az információkat a kockázatértékelés jövőbeni javítása érdekében.

    Feljegyzés

    Ha a felhasználó már szervizelt, ne válassza a Feltörtség megerősítése lehetőséget, mert a bejelentkezési és a felhasználói kockázati állapotot a Megerősített, a kockázati szintet pedig a Magas értékre helyezi át.

Győződjön meg a biztonságról (bejelentkezéskor) – Tájékoztatja Microsoft Entra ID-védelem, hogy a bejelentkezést az identitástulajdonos tette, és nem jelez kompromisszumot.

  • A visszajelzés beérkezésekor a bejelentkezés (nem a felhasználó) kockázati állapotát a Megerősített biztonság, a kockázati szintet pedig a Nincs értékre helyezzük át.

  • Emellett a gépi tanulási rendszereinknek is biztosítjuk az információkat a kockázatértékelés jövőbeni javítása érdekében.

    Feljegyzés

    Ma a bejelentkezés biztonságos megerősítése lehetőség kiválasztása önmagában nem akadályozza meg, hogy az azonos tulajdonságokkal rendelkező jövőbeli bejelentkezések kockázatosként legyenek megjelölve. A rendszer betanítása a felhasználó tulajdonságainak megismerésére a feltételes hozzáférési szabályzatok bejelentkezési kockázattal és MFA-val történő használatával tanítható be. Ha a rendszer kockázatos bejelentkezést kér az MFA-ra, és a felhasználó sikeresen válaszol a kérésre, a bejelentkezés sikeres lehet, és segíthet betanítsa a rendszert a jogos felhasználó viselkedésére.

    Ha úgy véli, hogy a felhasználó nem sérült, használja a Felhasználói kockázat elvetése felhasználói szinten a Megerősített biztonság használata helyett a bejelentkezési szinten. A felhasználói kockázat elvetése a felhasználói szinten lezárja a felhasználói kockázatot, valamint az összes korábbi kockázatos bejelentkezést és kockázatészlelést.

Miért jelenik meg alacsony (vagy magasabb) kockázati pontszámmal rendelkező felhasználó, még akkor is, ha nem jelennek meg kockázatos bejelentkezések vagy kockázatészlelések az ID Protectionben?

Mivel a felhasználói kockázat kumulatív jellegű, és nem jár le, előfordulhat, hogy a felhasználónak alacsony vagy magasabb a kockázata, még akkor is, ha az ID Protectionben nincsenek legutóbbi kockázatos bejelentkezések vagy kockázatészlelések. Ez a helyzet akkor fordulhat elő, ha a felhasználó egyetlen rosszindulatú tevékenysége azon időkereten túl történik, amelyre vonatkozóan a kockázatos bejelentkezések és a kockázatészlelések adatait tároljuk. Nem jár le a felhasználói kockázat, mert a rossz szereplőkről ismert, hogy hosszú ideig az ügyfelek környezetében maradnak, mielőtt támadást indítanának. Az ügyfelek áttekinthetik a felhasználó kockázati ütemtervét, hogy megértsék, miért van veszélyben egy felhasználó. Ehhez lépjen a Microsoft Entra Felügyeleti központ > Védelmi > identitásvédelmi > kockázatos felhasználói > lapjára, és válasszon ki egy kockázatnak kitett felhasználó > adatainak > fiók kockázati előzményeit tartalmazó lapot. Ha úgy véli, hogy a felhasználó nem sérült, használja a Felhasználói kockázat elvetése a Graph API-n keresztül.

Miért magas a bejelentkezés "bejelentkezési kockázat (összesítés)" pontszáma, ha az ahhoz társított észlelések alacsony vagy közepes kockázatot jelentenek?

A magas összesített kockázati pontszám a bejelentkezés egyéb jellemzőin alapulhat, vagy azt, hogy egynél több észlelés aktiválódott a bejelentkezéshez. Ezzel szemben a bejelentkezés közepes bejelentkezési kockázattal (aggregátummal) rendelkezhet, még akkor is, ha a bejelentkezéshez társított észlelések magas kockázattal járnak.

Mi a különbség a „Névtelen IP-címről indított tevékenység“ és a „Névtelen IP-cím“ észlelése között?

A "Névtelen IP-cím" észlelési forrása Microsoft Entra ID-védelem, míg a "Tevékenység névtelen IP-címről" észlelés integrálva van Felhőhöz készült Microsoft Defender-alkalmazásokból. Bár hasonló nevük van, és ezekben a jelekben átfedés látható, különböző háttérbeli észlelésekkel rendelkeznek.