Domande frequenti su Microsoft Entra ID Protection

Ignora il rischio utente in Microsoft Entra ID Protection imposta l'attore nella cronologia dei rischi dell'utente in Protezione ID su <Amministrazione nome con un collegamento ipertestuale che punta al pannello> dell'utente.

Esiste un problema noto corrente che causa la latenza nel flusso di chiusura del rischio utente. Se si dispone di un criterio di rischio utente, questo criterio smette di applicare agli utenti ignorati entro pochi minuti dal clic su Ignora rischio utente. Tuttavia, ci sono ritardi noti nell'esperienza utente di aggiornamento dello "stato del rischio" degli utenti rimossi. Come soluzione alternativa, aggiornare la pagina a livello di browser per visualizzare lo stato di rischio utente più recente.

Domande frequenti

Perché un utente è a rischio?

L'articolo Procedura: Analizzare il rischio fornisce una spiegazione del motivo per cui un utente è a rischio e come indagare ulteriormente.

Perché l'accesso è stato bloccato ma protezione ID non ha generato un rilevamento dei rischi?

Gli accessi possono essere bloccati per diversi motivi. È importante notare che Protezione ID genera rilevamenti dei rischi solo quando vengono usate le credenziali corrette nella richiesta di autenticazione. Se un utente fornisce credenziali non corrette, non viene contrassegnato da Protezione ID perché non esiste alcun rischio di compromissione delle credenziali, a meno che un attore non malintenzionato non usi le credenziali corrette. Alcuni motivi per cui un utente può essere bloccato che non genera un rilevamento di protezione ID includono:

• L'IP può essere bloccato a causa di attività dannosa dall'indirizzo IP. Il messaggio ip bloccato non distingue se le credenziali sono corrette o meno. Se l'indirizzo IP è bloccato e le credenziali corrette non vengono usate, non genererà un rilevamento di Protezione ID.
• Il blocco intelligente può impedire all'account di accedere dopo più tentativi non riusciti.
• È possibile applicare criteri di accesso condizionale che usano condizioni diverse dal livello di rischio per bloccare una richiesta di autenticazione.

In che modo è possibile ottenere un report dei rilevamenti di un tipo specifico?

Passare alla visualizzazione rilevamenti dei rischi e filtrare in base al tipo di rilevamento. È quindi possibile scaricare questo report in formato CSV o JSON usando il pulsante Download disponibile in alto. Per altre informazioni, vedere l'articolo Procedura: Analizzare gli eventi di rischio.

Perché non è possibile configurare livelli di rischio personalizzati per ogni rilevamento di rischi?

I livelli di rischio nella protezione ID si basano sulla precisione del rilevamento e sulla tecnologia di Machine Learning supervisionato. Per personalizzare l'esperienza presentata dagli utenti, gli amministratori possono configurare criteri di accesso condizionale basati sul rischio.

Cause per cui la posizione di accesso non corrisponde a quella in cui l'utente ha effettivamente eseguito l'accesso.

Il mapping di georilevazione IP costituisce una sfida a livello di settore. Se si ritiene che la posizione elencata nel report degli accessi non corrisponda alla posizione effettiva, contattare il supporto Tecnico Microsoft.

In che modo è possibile chiudere rilevamenti di rischi specifici, come nell'interfaccia utente precedente?

È possibile fornire feedback sui rilevamenti di rischi confermando l'accesso collegato come compromesso o sicuro. Il feedback fornito sull'accesso viene applicato a tutti i rilevamenti effettuati su tale accesso. Se si desidera chiudere i rilevamenti che non sono collegati a un accesso, è possibile fornire tale feedback a livello di utente. Per altre informazioni, vedere l'articolo Procedura: Fornire commenti e suggerimenti sui rischi in Microsoft Entra ID Protection.

Quanto posso tornare indietro nel tempo per capire cosa sta succedendo con il mio utente?

• La visualizzazione utenti rischiosi mostra il rischio di un utente in base a tutti gli accessi precedenti.
• La visualizzazione Accessi a rischio mostra gli accessi a rischio negli ultimi 30 giorni.
• La visualizzazione Rilevamenti dei rischi mostra i rilevamenti di rischi negli ultimi 90 giorni.

In che modo è possibile ottenere altre informazioni su un rilevamento specifico?

Tutti i rilevamenti di rischi sono documentati nell'articolo Informazioni sul rischio. È possibile passare il puntatore del mouse sul simbolo (i) accanto al rilevamento per altre informazioni su un rilevamento.

Come funzionano i meccanismi di feedback in Protezione ID?

Confermare la compromissione (in un accesso): informa Microsoft Entra ID Protection che l'accesso non è stato eseguito dal proprietario dell'identità e indica una compromissione.

• Dopo aver ricevuto il feedback, lo stato di rischio di accesso e di rischio utente verrà modificato in Confermato compromesso e il livello di rischio in Elevato.

• Inoltre, offriamo le informazioni ai sistemi di Machine Learning per futuri miglioramenti nella valutazione dei rischi.

  Nota

  Se l'utente è già stato corretto, non selezionare Conferma compromessa perché sposta lo stato di accesso e rischio utente su Confermato compromesso e livello di rischio su Alto.

Confermare l'accesso sicuro (in un accesso): informa Microsoft Entra ID Protection che l'accesso è stato dal proprietario dell'identità e non indica una compromissione.

• Dopo aver ricevuto questo feedback, lo stato di rischio di accesso (non dell'utente) viene spostato su Confermato sicuro e il livello di rischio su Nessuno.

• Inoltre, offriamo le informazioni ai sistemi di Machine Learning per futuri miglioramenti nella valutazione dei rischi.

  Nota

  Attualmente, la selezione di conferma sicura in un accesso non impedisce l'accesso futuro con le stesse proprietà contrassegnate come rischiose. Il modo migliore per eseguire il training del sistema per apprendere le proprietà di un utente consiste nell'usare un criterio di accesso condizionale con rischio di accesso e MFA. Quando viene richiesto l'accesso a rischio per l'autenticazione a più fattori e l'utente risponde correttamente alla richiesta, l'accesso può avere esito positivo e contribuire a eseguire il training del sistema sul comportamento dell'utente legittimo.

  Se si ritiene che l'utente non sia compromesso, usare Ignora il rischio utente a livello di utente invece di usare Confermato sicuro a livello di accesso. La selezione dell'opzione Ignora rischio utente a livello utente chiude il rischio utente e tutti gli accessi a rischio e i rilevamenti di rischi precedenti.

Perché viene visualizzato un utente con un punteggio di rischio basso (o superiore), anche se non vengono visualizzati accessi rischiosi o rilevamenti di rischi in Protezione ID?

Dato che il rischio utente è cumulativo per natura e non scade, un utente potrebbe avere un rischio utente basso o superiore anche se non sono presenti accessi a rischio o rilevamenti di rischi recenti visualizzati in Protezione ID. Questa situazione può verificarsi se l'unica attività dannosa di un utente ha avuto luogo al di fuori dell'intervallo di tempo per cui si archiviano i dettagli degli accessi rischiosi e dei rilevamenti di rischio. Il rischio utente non scade perché gli attori malintenzionati sono noti per rimanere nell'ambiente dei clienti per lunghi periodi di tempo prima di aumentare il loro attacco. I clienti possono esaminare la sequenza temporale dei rischi dell'utente per comprendere il motivo per cui un utente è a rischio passando all'interfaccia di amministrazione > di Microsoft Entra Protezione > identità > Rischiosi gli utenti > selezionano una scheda Cronologia dei dettagli > utente > a rischio. Se si ritiene che l'utente non sia compromesso, usare Ignora il rischio utente tramite l'API Graph.

Cause per cui un accesso presenta un punteggio Elevato di "rischio di accesso (aggregato)" quando l'attività di rilevamento associata presenta un rischio basso o medio.

Il punteggio elevato di rischio aggregato potrebbe essere basato su altre funzionalità di accesso o sul fatto che sono stati generati più rilevamenti per tale accesso. Al contrario, un accesso potrebbe avere un rischio di accesso (aggregazione) medio anche se i rilevamenti associati all'accesso sono a rischio elevato.

Qual è la differenza tra i rilevamenti "Attività da un indirizzo IP anonimo" e "Indirizzo IP anonimo"?

L'origine del rilevamento "Indirizzo IP anonimo" è Microsoft Entra ID Protection, mentre il rilevamento "Activity from anonymous IP address" è integrato da Microsoft Defender per il cloud Apps. Anche se hanno nomi simili e potrebbero verificarsi sovrapposizioni in questi segnali, hanno rilevamenti back-end distinti.