Edit

Tanya jawab umum Microsoft Entra ID Protection

  • FAQ

Mengalihkan masalah yang diketahui risiko pengguna

Mengabaikan risiko pengguna di Microsoft Entra ID Protection menetapkan aktor dalam riwayat risiko pengguna dalam Perlindungan ID ke< nama Admin dengan hyperlink yang menunjuk ke bilah> pengguna.

Ada masalah umum saat ini yang menyebabkan latensi dalam alur pengabaian risiko pengguna. Jika Anda memiliki kebijakan Risiko pengguna, kebijakan ini berhenti berlaku untuk pengguna yang diberhentikan dalam hitungan menit setelah mengklik Tutup risiko pengguna. Namun, diketahui ada keterlambatan dengan UX yang merefresh "Status risiko" pengguna yang diabaikan. Sebagai solusinya, refresh halaman di tingkat browser untuk melihat status Risiko pengguna terbaru.

Tanya jawab umum

Mengapa pengguna berisiko?

Artikel Cara: Menyelidiki risiko memberikan penjelasan tentang mengapa pengguna berisiko, dan cara menyelidiki lebih lanjut.

Mengapa rincian masuk saya diblokir tetapi PERLINDUNGAN ID tidak menghasilkan deteksi risiko?

Rincian masuk dapat diblokir karena beberapa alasan. Penting untuk dicatat bahwa PERLINDUNGAN ID hanya menghasilkan deteksi risiko ketika kredensial yang benar digunakan dalam permintaan autentikasi. Jika pengguna memberikan kredensial yang salah, kredensial tersebut tidak ditandai oleh Perlindungan ID karena tidak ada risiko penyusupan kredensial kecuali pelaku jahat menggunakan kredensial yang benar. Beberapa alasan pengguna dapat diblokir yang tidak menghasilkan deteksi Perlindungan ID meliputi:

  • IP dapat diblokir karena aktivitas berbahaya dari alamat IP. Pesan yang diblokir IP tidak membedakan apakah info masuk tersebut benar atau tidak. Jika IP diblokir dan kredensial yang benar tidak digunakan, IP tidak akan menghasilkan deteksi Perlindungan ID.
  • Smart Lockout dapat memblokir akun agar tidak masuk setelah beberapa upaya gagal.
  • Kebijakan Akses Bersyar dapat diberlakukan yang menggunakan kondisi selain tingkat risiko untuk memblokir permintaan autentikasi.

Bagaimana cara mendapatkan laporan deteksi jenis tertentu?

Buka tampilan deteksi risiko dan filter menurut Jenis deteksi. Kemudian, Anda dapat mengunduh laporan ini dalam format .CSV atau .JSON menggunakan tombol Unduh di bagian atas. Untuk mengetahui informasi selengkapnya, lihat artikel Panduan: Menyelidiki risiko.

Mengapa saya tidak dapat mengatur tingkat risiko saya sendiri untuk setiap deteksi risiko?

Tingkat risiko dalam Perlindungan ID didasarkan pada presisi deteksi dan didukung oleh pembelajaran mesin kami yang diawasi. Untuk menyesuaikan pengalaman apa yang disajikan pengguna, administrator dapat mengonfigurasi kebijakan Akses Bersyarah berbasis risiko.

Mengapa lokasi masuk tidak cocok dengan dari mana pengguna benar-benar masuk?

Pemetaan geolokasi IP adalah tantangan di seluruh industri. Jika Anda merasa bahwa lokasi yang tercantum dalam laporan kredensial masuk tidak cocok dengan lokasi sebenarnya, hubungi dukungan Microsoft.

Bagaimana cara menutup deteksi risiko tertentu seperti yang saya lakukan di UI lama?

Anda dapat memberikan umpan balik tentang deteksi risiko dengan mengonfirmasi rincian masuk yang ditautkan sebagai disusupi atau aman. Umpan balik yang diberikan pada rincian masuk mengalir ke semua deteksi yang dibuat pada rincian masuk tersebut. Jika ingin menutup deteksi yang tidak ditautkan ke kredensial masuk, Anda dapat memberikan umpan balik tersebut pada tingkat pengguna. Untuk informasi selengkapnya, lihat artikel Cara: Memberikan umpan balik risiko di Microsoft Entra ID Protection.

Seberapa jauh saya bisa kembali ke masa lalu untuk memahami apa yang terjadi dengan pengguna saya?

  • Tampilan pengguna berisiko menunjukkan risiko pengguna berdiri berdasarkan semua rincian masuk sebelumnya.
  • Tampilan proses masuk riskan menunjukkan tanda-tanda berisiko dalam 30 hari terakhir.
  • Tampilan deteksi risiko menunjukkan deteksi risiko yang dilakukan dalam 90 hari terakhir.

Bagaimana cara mempelajari lebih lanjut tentang deteksi tertentu?

Semua deteksi risiko didokumentasikan dalam artikel Apa itu risiko. Anda dapat mengarahkan mouse ke atas simbol (i) di samping deteksi untuk mempelajari selengkapnya tentang deteksi.

Bagaimana cara kerja mekanisme umpan balik dalam Perlindungan ID?

Konfirmasikan disusupi (saat masuk) - Menginformasikan Microsoft Entra ID Protection bahwa masuk bukan oleh pemilik identitas dan menunjukkan penyusupan.

  • Setelah menerima umpan balik ini, kami memindahkan status rincian masuk dan risiko pengguna ke Dikonfirmasi disusupi dan tingkat risiko ke Tinggi.

  • Selain itu, kami memberikan informasi kepada sistem pembelajaran mesin kami untuk perbaikan penilaian risiko di masa mendatang.

    Catatan

    Jika pengguna sudah dipulihkan, jangan pilih Konfirmasi disusupi karena akan memindahkan status kredensial masuk dan risiko pengguna ke Dikonfirmasi disusupi dan tingkat risiko ke Tinggi.

Konfirmasi aman (saat masuk) - Menginformasikan Microsoft Entra ID Protection bahwa rincian masuk dilakukan oleh pemilik identitas dan tidak menunjukkan penyusupan.

  • Setelah menerima umpan balik ini, kami memindahkan status risiko kredensial masuk (bukan pengguna) ke Dikonfirmasi aman dan tingkat risiko ke Tidak ada.

  • Selain itu, kami memberikan informasi kepada sistem pembelajaran mesin kami untuk perbaikan penilaian risiko di masa mendatang.

    Catatan

    Sekarang, memilih konfirmasi aman pada proses masuk tidak otomatis mencegah proses masuk di masa mendatang dengan properti yang sama dari ditandai sebagai berisiko. Cara terbaik untuk melatih sistem untuk mempelajari properti pengguna adalah dengan menggunakan kebijakan Akses Bersyarat dengan risiko masuk dan MFA. Ketika proses masuk riskan diminta untuk MFA dan pengguna berhasil merespons permintaan, proses masuk dapat berhasil dan membantu melatih sistem pada perilaku pengguna yang sah.

    Jika Anda yakin pengguna tidak disusupi, gunakan Abaikan risiko pengguna pada tingkat pengguna, bukan menggunakan Dikonfirmasi aman pada tingkat masuk. Abaikan risiko pengguna pada tingkat pengguna menutup risiko pengguna dan semua proses masuk riskan dan deteksi risiko di masa lalu.

Mengapa saya melihat pengguna dengan skor risiko rendah (atau lebih tinggi), bahkan jika tidak ada proses masuk berisiko atau deteksi risiko yang ditampilkan dalam Perlindungan ID?

Mengingat risiko pengguna bersifat kumulatif dan tidak kedaluwarsa, pengguna mungkin memiliki risiko pengguna rendah atau lebih tinggi bahkan jika tidak ada proses masuk berisiko terbaru atau deteksi risiko yang ditunjukkan dalam Perlindungan ID. Situasi ini bisa terjadi jika satu-satunya aktivitas berbahaya pada pengguna terjadi di luar jangka waktu kami menyimpan detail proses masuk riskan dan deteksi risiko. Kami tidak kedaluwarsa risiko pengguna karena pelaku jahat diketahui tinggal di lingkungan pelanggan untuk jangka waktu yang lama sebelum meningkatkan serangan mereka. Pelanggan dapat meninjau garis waktu risiko pengguna untuk memahami mengapa pengguna berisiko dengan membuka pusat admin > Microsoft Entra Perlindungan >> Identitas Pengguna berisiko > memilih tab Riwayat risiko detail > pengguna > berisiko. Jika Anda yakin pengguna tidak disusupi, gunakan Tutup risiko pengguna melalui Graph API.

Mengapa rincian masuk memiliki skor "risiko masuk (agregat)" Tinggi saat deteksi yang terkait dengannya berisiko rendah atau sedang?

Skor risiko agregat tinggi dapat didasarkan pada fitur lain dari rincian masuk, atau fakta bahwa lebih dari satu deteksi diaktifkan untuk rincian masuk tersebut. Dan sebaliknya, rincian masuk mungkin memiliki risiko masuk (agregat) Sedang meskipun deteksi yang terkait dengan rincian masuk berisiko Tinggi.

Apa perbedaan antara deteksi "Aktivitas dari alamat IP anonim" dan "Alamat IP Anonim"?

Sumber deteksi "Alamat IP anonim" adalah Microsoft Entra ID Protection, sementara deteksi "Aktivitas dari alamat IP anonim" terintegrasi dari aplikasi Microsoft Defender untuk Cloud. Meskipun mereka memiliki nama yang mirip dan Anda mungkin melihat tumpang tindih dalam sinyal ini, mereka memiliki deteksi ujung belakang yang berbeda.