Vanliga frågor och svar om Microsoft Entra ID Protection

Stäng användarrisken i Microsoft Entra ID Protection anger aktören i användarens riskhistorik i ID Protection till <administratörens namn med en hyperlänk som pekar på användarens blad>.

Det finns ett aktuellt känt problem som orsakar svarstid i flödet för uppsägning av användarrisker. Om du har en princip för användarrisk slutar den här principen att gälla för avvisade användare inom några minuter efter att du klickat på Stäng användarrisk. Det finns dock kända fördröjningar när UX uppdaterar "risktillståndet" för avvisade användare. Som en lösning uppdaterar du sidan på webbläsarnivå för att se det senaste användarrisktillståndet.

Vanliga frågor och svar

Vad gör en användare riskfylld?

Artikeln How To: Investigate risk (Så här gör du: Undersöka risker ) innehåller en förklaring av varför en användare är i riskzonen och hur man undersöker ytterligare.

Varför blockerades min inloggning men ID Protection genererade ingen riskidentifiering?

Inloggningar kan blockeras av flera orsaker. Observera att ID Protection endast genererar riskidentifieringar när rätt autentiseringsuppgifter används i autentiseringsbegäran. Om en användare anger felaktiga autentiseringsuppgifter flaggas den inte av ID Protection eftersom det inte finns risk för risk för autentiseringsfel om inte en felaktig aktör använder rätt autentiseringsuppgifter. Några orsaker till att en användare kan blockeras som inte genererar en ID Protection-identifiering är:

• IP-adressen kan blockeras på grund av skadlig aktivitet från IP-adressen. Det IP-blockerade meddelandet skiljer inte på om autentiseringsuppgifterna var korrekta eller inte. Om IP-adressen blockeras och korrekta autentiseringsuppgifter inte används genereras ingen ID Protection-identifiering.
• Smart Lockout kan blockera kontot från att logga in efter flera misslyckade försök.
• En princip för villkorsstyrd åtkomst kan tillämpas som använder andra villkor än risknivån för att blockera en autentiseringsbegäran.

Hur kan jag skaffa en rapport om identifieringar av en viss typ?

Gå till riskidentifieringsvyn och filtrera efter identifieringstyp. Du kan sedan ladda ned den här rapporten i . CSV eller . JSON-format med knappen Ladda ned överst. Mer information finns i artikeln How To: Investigate risk (Så här gör du: Undersöka risker).

Varför kan jag inte ange egna risknivåer för varje riskidentifiering?

Risknivåerna i ID Protection baseras på precisionen i identifieringen och drivs av vår övervakade maskininlärning. Administratörer kan konfigurera riskbaserade principer för villkorsstyrd åtkomst för att anpassa vilken upplevelse användarna får.

Varför matchar inte platsen för en inloggning den plats som användaren verkligen loggade in från?

Mappning av IP-adressers geografiska plats är en utmaning för hela branschen. Om du anser att den plats som anges i inloggningsrapporten inte matchar den faktiska platsen kontaktar du Microsoft-supporten.

Hur stänger jag specifika riskidentifieringar som jag gjorde i det gamla användargränssnittet?

Du kan ge feedback om riskidentifieringar genom att bekräfta den länkade inloggningen som komprometterad eller säker. Feedbacken som ges om inloggningen sipprar ner till alla identifieringar som gjorts vid inloggningen. Om du vill stänga identifieringar som inte är länkade till en inloggning kan du ge den feedbacken på användarnivå. Mer information finns i artikeln Så här: Ge riskfeedback i Microsoft Entra ID Protection.

Hur långt kan jag gå tillbaka i tiden för att förstå vad som händer med min användare?

• Vyn Riskfyllda användare visar en användares risktillstånd baserat på alla tidigare inloggningar.
• Vyn riskfyllda inloggningar visar riskfyllda tecken under de senaste 30 dagarna.
• Vyn riskidentifieringar visar riskidentifieringar som gjorts under de senaste 90 dagarna.

Hur kan jag lära mig mer om en specifik identifiering?

Alla riskidentifieringar dokumenteras i artikeln Vad är risk. Du kan hovra över symbolen (i) bredvid identifieringen för att lära dig mer om en identifiering.

Hur fungerar feedbackmekanismerna i ID Protection?

Bekräfta komprometterad (vid inloggning) – Informerar Microsoft Entra ID Protection om att inloggningen inte var av identitetsägaren och anger en kompromiss.

• När vi får den här feedbacken flyttar vi inloggnings- och användarrisktillståndet till Bekräftad komprometterad och risknivå till Hög.

• Dessutom tillhandahåller vi information till våra maskininlärningssystem för framtida förbättringar av riskbedömningen.

  Kommentar

  Om användaren redan har åtgärdats väljer du inte Bekräfta komprometterad eftersom den flyttar inloggnings- och användarrisktillståndet till Bekräftad komprometterad och risknivå till Hög.

Bekräfta säkert (vid inloggning) – Informerar Microsoft Entra ID Protection om att inloggningen utfördes av identitetsägaren och inte indikerar någon kompromiss.

• När vi får den här feedbacken flyttar vi inloggningsrisktillståndet (inte användaren) till Bekräftat kassaskåp och risknivån till Ingen.

• Dessutom tillhandahåller vi information till våra maskininlärningssystem för framtida förbättringar av riskbedömningen.

  Kommentar

  Att välja bekräfta säkert värde för en inloggning hindrar i dag inte i sig framtida inloggningar med samma egenskaper från att flaggas som riskfyllda. Det bästa sättet att träna systemet att lära sig en användares egenskaper är att använda en princip för villkorsstyrd åtkomst med inloggningsrisk och MFA. När en riskfylld inloggning uppmanas till MFA och användaren svarar på begäran kan inloggningen lyckas och hjälpa till att träna systemet på den legitima användarens beteende.

  Om du tror att användaren inte är komprometterad använder du Stäng användarrisk på användarnivå i stället för att använda Bekräftat kassaskåp på inloggningsnivå. En Stäng användarrisk på användarnivå stänger användarrisken och alla tidigare riskfyllda inloggningar och riskidentifieringar.

Varför ser jag en användare med låg (eller högre) riskpoäng, även om inga riskfyllda inloggningar eller riskidentifieringar visas i ID Protection?

Med tanke på att användarrisken är kumulativ och inte upphör att gälla kan en användare ha en användarrisk på låg eller högre även om det inte finns några nyligen riskfyllda inloggningar eller riskidentifieringar som visas i ID Protection. Den här situationen kan inträffa om den enda skadliga aktiviteten på en användare ägde rum utanför den tidsram för vilken vi lagrar information om riskfyllda inloggningar och riskidentifieringar. Vi upphör inte att använda risk eftersom dåliga aktörer är kända för att stanna i kundernas miljö under långa tidsperioder innan de ökar sina attacker. Kunder kan granska användarens risktidslinje för att förstå varför en användare är i riskzonen genom att gå till administrationscentret för Microsoft Entra Protection > Identity Protection > Riskfyllda användare > väljer en flik >för riskbaserad användarinformationslåda > Riskhistorik.> Om du tror att användaren inte är komprometterad använder du Stäng användarrisk via Graph API.

Varför har en inloggning en "inloggningsrisk (aggregering)" på Hög när identifieringarna som är associerade med den är av låg eller medelhög risk?

Den höga aggregerade riskpoängen kan baseras på andra funktioner i inloggningen, eller det faktum att mer än en identifiering utlöstes för inloggningen. Och omvänt kan en inloggning ha en inloggningsrisk (aggregering) av Medium även om identifieringarna som är associerade med inloggningen är av hög risk.

Vad är skillnaden mellan identifieringarna "Aktivitet från anonym IP-adress" och "Anonym IP-adress"?

Källan för identifieringen av "anonym IP-adress" är Microsoft Entra ID Protection, medan identifieringen "Aktivitet från anonym IP-adress" är integrerad från Microsoft Defender för molnet Appar. Även om de har liknande namn och du kan se överlappning i dessa signaler, har de distinkta identifieringar av serverdelen.