Często zadawane pytania Ochrona tożsamości Microsoft Entra

Odrzucanie znanych problemów związanych z ryzykiem użytkownika

Odrzuć ryzyko użytkownika w Ochrona tożsamości Microsoft Entra ustawia aktora w historii ryzyka użytkownika w usłudze ID Protection, aby <nazwa Administracja z hiperlinkiem wskazującym blok> użytkownika.

Obecnie występuje znany problem powodujący opóźnienie w przepływie odrzucania ryzyka użytkownika. Jeśli masz zasady ryzyka związanego z użytkownikiem, te zasady przestaną stosować się do odrzuconych użytkowników w ciągu kilku minut od kliknięcia pozycji Odrzuć ryzyko użytkownika. Istnieją jednak znane opóźnienia podczas odświeżania środowiska użytkownika "Stan ryzyka" odrzuconych użytkowników. Aby obejść ten problem, odśwież stronę na poziomie przeglądarki, aby wyświetlić najnowszy stan ryzyka użytkownika.

Często zadawane pytania

Dlaczego użytkownik stwarza zagrożenie?

Artykuł Instrukcje: badanie ryzyka zawiera wyjaśnienie, dlaczego użytkownik jest zagrożony i jak dokładniej zbadać.

Dlaczego logowanie zostało zablokowane, ale usługa ID Protection nie wygenerowała wykrycia ryzyka?

Logowania mogą być blokowane z kilku powodów. Należy pamiętać, że usługa ID Protection generuje wykrywanie ryzyka tylko wtedy, gdy w żądaniu uwierzytelniania są używane poprawne poświadczenia. Jeśli użytkownik podaje nieprawidłowe poświadczenia, nie jest oflagowany przez usługę ID Protection, ponieważ nie ma ryzyka naruszenia poświadczeń, chyba że zły aktor używa poprawnych poświadczeń. Niektóre przyczyny, dla których użytkownik nie może wygenerować wykrywania ochrony identyfikatorów, to:

  • Adres IP może zostać zablokowany z powodu złośliwego działania z adresu IP. Komunikat o zablokowanym adresie IP nie rozróżnia, czy poświadczenia są poprawne, czy nie. Jeśli adres IP zostanie zablokowany i nie zostaną użyte poprawne poświadczenia, nie wygeneruje wykrywania ochrony identyfikatorów.
  • Blokada inteligentna może zablokować logowanie konta po wielu nieudanych próbach.
  • Można wymusić zasady dostępu warunkowego, które używają warunków innych niż poziom ryzyka, aby zablokować żądanie uwierzytelniania.

Jak mogę uzyskać raport o wykryciu określonego typu?

Przejdź do widoku wykrywania ryzyka i filtruj według typu wykrywania. Następnie możesz pobrać ten raport w pliku . CSV lub . Format JSON przy użyciu przycisku Pobierz u góry. Aby uzyskać więcej informacji, zobacz artykuł Instrukcje: badanie ryzyka.

Dlaczego nie mogę ustawić własnych poziomów ryzyka dla każdego wykrycia ryzyka?

Poziomy ryzyka w usłudze ID Protection są oparte na precyzji wykrywania i obsługiwanej przez nasze nadzorowane uczenie maszynowe. Aby dostosować, jakie środowisko użytkownicy są prezentowani, administrator może uwzględnić/wykluczyć niektórych użytkowników/grup z zasad ryzyka związanego z użytkownikiem i zasadami ryzyka logowania.

Dlaczego lokalizacja logowania nie odpowiada miejscu, z którego użytkownik faktycznie się zalogował?

Mapowanie geolokalizacji adresów IP stanowi wyzwanie dla całej branży. Jeśli uważasz, że lokalizacja wymieniona w raporcie logowania nie jest zgodna z rzeczywistą lokalizacją, skontaktuj się z pomocą techniczną firmy Microsoft.

Jak mogę zamknąć określone wykrycia ryzyka, tak jak w starym interfejsie użytkownika?

Możesz przekazać opinię na temat wykrywania ryzyka, potwierdzając połączone logowanie jako naruszone lub bezpieczne. Opinie przekazane na temat podstępów logowania są przekazywane do wszystkich wykryć wprowadzonych podczas tego logowania. Jeśli chcesz zamknąć wykrywanie, które nie są połączone z logowaniem, możesz przekazać te opinie na poziomie użytkownika. Aby uzyskać więcej informacji, zobacz artykuł Instrukcje: przekazywanie opinii o ryzyku w Ochrona tożsamości Microsoft Entra.

Jak daleko mogę wrócić w czasie, aby zrozumieć, co się dzieje z moim użytkownikiem?

  • Widok ryzykownych użytkowników przedstawia ryzyko związane z ryzykiem użytkownika w oparciu o wszystkie wcześniejsze logowania.
  • Widok ryzykownych logów pokazuje ryzykowne znaki w ciągu ostatnich 30 dni.
  • Widok wykrywania ryzyka pokazuje wykrycia ryzyka dokonane w ciągu ostatnich 90 dni.

Jak dowiedzieć się więcej na temat konkretnego wykrywania?

Wszystkie wykrycia ryzyka są udokumentowane w artykule Co to jest ryzyko. Możesz umieścić wskaźnik myszy na symbolu (i) obok wykrywania, aby dowiedzieć się więcej na temat wykrywania.

Jak działają mechanizmy przesyłania opinii w usłudze ID Protection?

Potwierdź naruszenie zabezpieczeń (podczas logowania) — informuje Ochrona tożsamości Microsoft Entra, że logowanie nie zostało naruszone przez właściciela tożsamości i wskazuje na naruszenie zabezpieczeń.

  • Po otrzymaniu tej opinii przenosimy stan ryzyka logowania i użytkownika na Potwierdzono naruszenie zabezpieczeń i poziom ryzyka na Wysoki.

  • Ponadto udostępniamy informacje naszym systemom uczenia maszynowego na potrzeby przyszłych ulepszeń oceny ryzyka.

    Uwaga

    Jeśli użytkownik jest już skorygowany, nie wybieraj pozycji Potwierdź naruszenie zabezpieczeń , ponieważ przenosi stan ryzyka logowania i użytkownika na Potwierdzono naruszone bezpieczeństwo i poziom ryzyka na Wysoki.

Potwierdź bezpieczeństwo (przy logowaniu) — informuje Ochrona tożsamości Microsoft Entra, że logowanie było przez właściciela tożsamości i nie wskazuje naruszenia zabezpieczeń.

  • Po otrzymaniu tej opinii przenosimy stan ryzyka logowania (a nie użytkownika) na Potwierdzony bezpieczny i poziom ryzyka na Brak.

  • Ponadto udostępniamy informacje naszym systemom uczenia maszynowego na potrzeby przyszłych ulepszeń oceny ryzyka.

    Uwaga

    Obecnie wybranie opcji Potwierdź bezpieczeństwo logowania nie uniemożliwia logowania się w przyszłości z tymi samymi właściwościami oznaczonymi jako ryzykowne. Najlepszym sposobem trenowania systemu w celu poznania właściwości użytkownika jest użycie zasad dostępu warunkowego z ryzykiem logowania i uwierzytelnianiem wieloskładnikowym. Gdy zostanie wyświetlony monit o ryzykowne zalogowanie się do uwierzytelniania wieloskładnikowego, a użytkownik pomyślnie odpowie na żądanie, logowanie może zakończyć się powodzeniem i pomóc w wytrenowaniu systemu w prawidłowym zachowaniu użytkownika.

    Jeśli uważasz, że użytkownik nie został naruszony, użyj opcji Odrzuć ryzyko użytkownika na poziomie użytkownika zamiast używać opcji Potwierdzono bezpieczne na poziomie logowania. Odrzucenie ryzyka związanego z użytkownikiem na poziomie użytkownika zamyka ryzyko użytkownika i wszystkie wcześniejsze ryzykowne logowania i wykrycia ryzyka.

Dlaczego widzę użytkownika z niskim (lub wyższym) oceną ryzyka, nawet jeśli w usłudze ID Protection nie są wyświetlane żadne ryzykowne logowania lub wykrycia ryzyka?

Biorąc pod uwagę, że ryzyko użytkownika ma charakter skumulowany i nie wygasa, użytkownik może mieć ryzyko związane z niskim lub wyższym ryzykiem, nawet jeśli nie ma ostatnich ryzykownych logów lub wykryć ryzyka wyświetlanych w usłudze ID Protection. Taka sytuacja może wystąpić, jeśli jedyne złośliwe działanie użytkownika miało miejsce poza przedziałem czasu, dla którego przechowujemy szczegóły ryzykownych logowań i wykrywania ryzyka. Nie wygasamy ryzyka związanego z użytkownikiem, ponieważ zły aktorzy są znani, aby pozostawać w środowisku klientów przez długi czas przed rozpoczęciem ataku. Klienci mogą przejrzeć oś czasu ryzyka użytkownika, aby zrozumieć, dlaczego użytkownik jest zagrożony, przechodząc do karty Historia ryzyka związanego z ochroną tożsamości >>>> w > centrum administracyjnym > firmy Microsoft Entra. Jeśli uważasz, że użytkownik nie został naruszony, użyj opcji Odrzuć ryzyko użytkownika za pośrednictwem interfejsu API programu Graph.

Dlaczego logowanie ma wynik "Ryzyko logowania (agregacja)" wysoki, gdy wykrycia skojarzone z nim są niskie lub średnie ryzyko?

Wysoki zagregowany wynik ryzyka może być oparty na innych funkcjach logowania lub fakt, że dla tego logowania został wyzwolony więcej niż jeden wykrycie. I odwrotnie, logowanie może mieć ryzyko logowania (zagregowane) medium, nawet jeśli wykrycia skojarzone z logowaniem są wysokiego ryzyka.

Jaka jest różnica między wykrywaniem "Aktywność z anonimowego adresu IP" i "Anonimowy adres IP"?

Źródło wykrywania "Anonimowego adresu IP" jest Ochrona tożsamości Microsoft Entra, a wykrywanie "Działania z anonimowego adresu IP" jest zintegrowane z Microsoft Defender dla Chmury Apps. Chociaż mają podobne nazwy i mogą pojawić się nakładające się na nie sygnały, mają one różne wykrycia zaplecza.