编辑

Microsoft Entra ID 保护常见问题解答

  • 常见问题解答

消除用户风险已知问题

“Microsoft Entra ID 保护”中的“消除用户风险”将“ID 保护”的用户风险历史记录中的参与者设置为<管理员名称,并提供指向用户边栏选项卡的超链接>

当前存在一个已知问题,该问题导致用户风险消除流中出现延迟。 如果具有“用户风险策略”,则该策略将在单击“消除用户风险”后的几分钟内阻止应用于已消除的用户。 但是,UX 刷新已消除用户的“风险状态”时,存在已知延迟。 要解决此问题,请在浏览器级刷新页面以查看最新的用户“风险状态”

常见问题解答

用户为什么会面临风险?

文章操作说明:调查风险提供了关于用户面临风险的原因以及如何进一步调查的说明。

为什么我的登录被阻止,但 ID 保护没有生成风险检测?

登录被阻止的原因可能有多种。 需要注意的是,只有在身份验证请求中使用了正确的凭据时,ID 保护才会生成风险检测。 如果用户提供不正确的凭据,则 ID 保护不会对其进行标记,因为除非恶意行动者使用了正确的凭据,否则不存在凭据泄露的风险。 用户可能会被阻止,但登录不会生成 ID 保护检测的一些原因包括:

  • IP 被阻止可能是由于来自 IP 地址的恶意活动。 IP 被阻止的消息不区分凭据是否正确。 如果 IP 被阻止并且未使用正确的凭据,则不会生成 ID 保护检测。
  • 智能锁定可能会在用户多次尝试失败后阻止帐户登录。
  • 可以强制实施“条件访问策略”,该策略使用风险级别以外的条件来阻止身份验证请求。

如何获取特定类型的检测报告?

转到风险检测视图并按“检测类型”进行筛选。 然后,你可以使用顶部的“下载”按钮以 .CSV 或 .JSON 格式下载此报告。 有关详细信息,请参阅操作方法:调查风险一文。

为什么我不能为每个风险检测设置自己的风险级别?

“ID 保护”中的风险级别依赖于检测的精度,并由我们的监督式机器学习提供支持。 要自定义向用户呈现的体验,管理员可以配置基于风险的条件访问策略

为什么登录位置与用户真正登录的位置不匹配?

IP 地理位置映射是整个行业面临的挑战。 如果你认为登录报告中列出的位置与实际位置不匹配,请联系 Microsoft 客户支持。

如何像在旧 UI 中那样关闭特定的风险检测?

你可以通过确认链接的登录是存在风险还是安全来提供有关风险检测的反馈。 针对登录给出的反馈将逐步向下传递到对该登录所做的所有检测。 如果要关闭未链接到登录的检测,可以在用户级别提供该反馈。 有关详细信息,请参阅操作说明:在 Microsoft Entra ID 保护中提供风险反馈一文。

我可以回溯多长时间来了解我的用户发生了什么?

  • 风险用户视图根据过去的所有登录显示用户的风险情况。
  • 风险登录视图显示过去 30 天内的风险登录。
  • 风险检测视图显示过去 90 天内所做的风险检测。

如何详细了解某个特定检测?

什么是风险一文记录了所有风险检测。 你可以将鼠标指针悬停在检测旁边的 (i) 符号上,以详细了解某个检测。

“ID 保护”中的反馈机制是如何工作的?

“确认泄漏”(在登录时)- 通知 Microsoft Entra ID 保护,该登录不由标识所有者执行,并指示存在盗用。

  • 在收到此反馈后,我们将登录和用户风险状态改为“已确认泄漏”,并将风险级别改为“高”

  • 此外,我们还为我们的机器学习系统提供信息,以便今后改进风险评估。

    注意

    如果已对用户采取修正措施,不要选择“确认泄漏”,因为这会将登录和用户风险状态改为“已确认泄漏”,并将风险级别改为“高”。

“确认安全”(在登录时)- 通知 Microsoft Entra ID 保护,该登录由标识所有者执行,不指示存在盗用。

  • 收到此反馈后,我们将登录(而非用户)风险状态改为“已确认安全”,并将风险级别改为“无”。

  • 此外,我们还为我们的机器学习系统提供信息,以便今后改进风险评估。

    注意

    目前,在登录时选择“确认安全”这一行为本身并不会阻止系统将未来的具有相同属性的登录标记为风险登录。 训练系统了解用户属性的最佳方式是将条件访问策略与登录风险和 MFA 配合使用。 提示某个风险登录进行 MFA 时,如果用户成功响应了请求,则登录可能会成功,并有助于针对合法用户的行为对系统进行训练。

    如果认为用户没有受到影响,请使用用户级别的“消除用户风险”,而不是登录级别的“已确认安全”。 用户级别的“消除用户风险”会关闭用户风险和所有过去的有风险登录和风险检测。

即使在“ID 保护”中没有显示有风险登录或风险检测,为什么会出现较低(或较高)的用户风险评分?

考虑到用户风险实质上是累积的,并且不会过期,即使“ID 保护”最近没有显示有风险登录或风险检测,也可能存在较低或较高用户风险。 如果针对用户的唯一恶意活动发生在我们存储风险登录和风险检测详细信息的时间范围之外,则可能会发生这种情况。 我们不会终止用户风险,因为众所周知,不良参与者在加大攻击力度之前会长期留在客户的环境中。 客户可以查看用户的风险时间线以了解用户为何面临风险,方法是转到“Microsoft Entra 管理中心”>“保护”>“标识保护”>“风险用户”>“选择风险用户”>“详细信息抽屉”>“风险历史记录选项卡”。如果你认为用户未受到威胁,请通过图形 API 消除用户风险。

为什么登录的“登录风险(总计)”分数为高,而与之相关的检测结果为低风险或中等风险?

高总计风险评分可能基于登录的其他特性,或者针对该登录触发了多个检测的事实。 反之,登录也可能为中等“登录风险(总计)”,即使与登录相关的检测为高风险。

“来自匿名 IP 地址的活动”检测与“匿名 IP 地址”检测有何区别?

“匿名 IP 地址”检测的来源是 Microsoft Entra ID 保护,而“来自匿名 IP 地址的活动”检测是从 Microsoft Defender for Cloud Apps 集成的。 虽然它们具有相似的名称,并且这些信号可能会有相互重叠的部分,但它们具有不同的后端检测。