Editar

Perguntas frequentes Proteção de ID do Microsoft Entra

  • FAQ

Ignorar problemas conhecidos de risco do usuário

Ignorar risco do usuário no Microsoft Entra ID Protection define o ator no histórico de risco do usuário na Proteção de ID para o <nome do administrador com um hiperlink apontando para a folha> do usuário.

Há um problema conhecido atual que causa latência no fluxo de demissão de risco do usuário. Se você tiver uma política de risco de usuário, essa política deixará de ser aplicada a usuários descartados poucos minutos depois de clicar em Ignorar risco de usuário. No entanto, há atrasos conhecidos com a UX atualizando o "estado de risco" de usuários descartados. Como solução alternativa, atualize a página no nível do navegador para ver o estado de risco mais recente do usuário.

Perguntas mais frequentes

Por que motivo um utilizador está em risco?

O artigo Como: Investigar o risco fornece uma explicação do motivo pelo qual um usuário está em risco e como investigar mais.

Porque é que o meu início de sessão foi bloqueado, mas a Proteção de ID não gerou uma deteção de risco?

Os logins podem ser bloqueados por vários motivos. É importante observar que a Proteção de ID só gera deteções de risco quando credenciais corretas são usadas na solicitação de autenticação. Se um usuário fornecer credenciais incorretas, ele não será sinalizado pela Proteção de ID, pois não há risco de comprometimento de credenciais, a menos que um agente mal-intencionado use as credenciais corretas. Alguns motivos pelos quais um usuário pode ser bloqueado que não geram uma deteção de Proteção de ID incluem:

  • O IP pode ser bloqueado devido a atividade maliciosa do endereço IP. A mensagem IP bloqueado não diferencia se as credenciais estavam corretas ou não. Se o IP estiver bloqueado e as credenciais corretas não forem usadas, ele não gerará uma deteção de Proteção de ID.
  • O Smart Lockout pode bloquear a entrada da conta após várias tentativas falhadas.
  • Pode ser imposta uma política de Acesso Condicional que utilize condições diferentes do nível de risco para bloquear um pedido de autenticação.

Como posso obter um relatório de deteções de um tipo específico?

Vá para a visualização de deteções de risco e filtre por Tipo de deteção. Em seguida, você pode baixar este relatório em . CSV ou . Formato JSON usando o botão Download na parte superior. Para obter mais informações, consulte o artigo Como investigar o risco.

Por que motivo não consigo definir os meus próprios níveis de risco para cada deteção de risco?

Os níveis de risco na Proteção de ID baseiam-se na precisão da deteção e são alimentados pela nossa aprendizagem automática supervisionada. Para personalizar a experiência que os usuários apresentam, os administradores podem configurar políticas de Acesso Condicional baseadas em risco.

Por que é que a localização de um início de sessão não corresponde ao local de onde o utilizador efetivamente iniciou sessão?

O mapeamento de geolocalização de IPs é um desafio para toda a indústria. Se achar que a localização listada no relatório de início de sessão não corresponde à localização real, contacte o suporte da Microsoft.

Como posso fechar deteções de risco específicas, como fazia na IU antiga?

Você pode dar feedback sobre deteções de risco confirmando o login vinculado como comprometido ou seguro. O feedback dado sobre o início de sessão estende-se a todas as deteções efetuadas nesse início de sessão. Se quiser fechar deteções que não estão vinculadas a uma entrada, você pode fornecer esse feedback no nível do usuário. Para obter mais informações, consulte o artigo Como: Fornecer comentários de risco no Microsoft Entra ID Protection.

Até onde posso voltar no tempo para entender o que está acontecendo com meu usuário?

Como posso saber mais sobre uma deteção específica?

Todas as deteções de risco estão documentadas no artigo O que é risco. Você pode passar o mouse sobre o símbolo (i) ao lado da deteção para saber mais sobre uma deteção.

Como funcionam os mecanismos de feedback na Proteção de ID?

Confirmar comprometido (em uma entrada) - Informa à Proteção de ID do Microsoft Entra que a entrada não foi feita pelo proprietário da identidade e indica um comprometimento.

  • Ao receber esse feedback, movemos o login e o estado de risco do usuário para Confirmado comprometido e o nível de risco para Alto.

  • Além disso, fornecemos as informações aos nossos sistemas de aprendizagem automática para futuras melhorias na avaliação de riscos.

    Nota

    Se o usuário já estiver corrigido, não selecione Confirmar comprometido porque ele move o login e o estado de risco do usuário para Confirmado comprometido e o nível de risco para Alto.

Confirmar seguro (em uma entrada) - Informa à Proteção de ID do Microsoft Entra que a entrada foi feita pelo proprietário da identidade e não indica um comprometimento.

  • Ao receber esse feedback, movemos o estado de risco de entrada (não o usuário) para Confirmado seguro e o nível de risco para Nenhum.

  • Além disso, fornecemos as informações aos nossos sistemas de aprendizagem automática para futuras melhorias na avaliação de riscos.

    Nota

    Hoje, selecionar confirmar seguro em um login não impede, por si só, que futuros logins com as mesmas propriedades sejam sinalizados como arriscados. A melhor maneira de treinar o sistema para aprender as propriedades de um usuário é usar uma política de Acesso Condicional com risco de entrada e MFA. Quando uma entrada arriscada é solicitada para MFA e o usuário responde com êxito à solicitação, a entrada pode ser bem-sucedida e ajudar a treinar o sistema sobre o comportamento do usuário legítimo.

    Se você acredita que o usuário não está comprometido, use Ignorar risco do usuário no nível do usuário em vez de usar Confirmado seguro no nível de entrada. Ignorar risco de usuário no nível de usuário fecha o risco do usuário e todas as entradas e deteções de risco anteriores arriscadas.

Por que estou vendo um usuário com uma pontuação de risco baixa (ou superior), mesmo que nenhuma entrada de risco ou deteções de risco sejam mostradas na Proteção de ID?

Dado que o risco do usuário é cumulativo por natureza e não expira, um usuário pode ter um risco de usuário baixo ou maior, mesmo se não houver entradas de risco recentes ou deteções de risco mostradas na Proteção de ID. Essa situação pode acontecer se a única atividade maliciosa em um usuário ocorrer além do período de tempo para o qual armazenamos os detalhes de entradas arriscadas e deteções de risco. Não expiramos o risco do usuário porque os agentes mal-intencionados são conhecidos por permanecerem no ambiente dos clientes por longos períodos de tempo antes de aumentar o ataque. Os clientes podem revisar a linha do tempo de risco do usuário para entender por que um usuário está em risco acessando o centro > de administração do Microsoft Entra Proteção > de identidade Os > usuários > arriscados selecionam uma gaveta > de detalhes do usuário > em risco guia Histórico de riscos. Se você acredita que o usuário não está comprometido, use Ignorar risco do usuário por meio da Graph API.

Por que um login tem uma pontuação de "risco de entrada (agregado)" de Alto quando as deteções associadas a ele são de baixo ou médio risco?

A pontuação de risco agregado elevado pode basear-se noutras características do início de sessão ou no facto de mais do que uma deteção ter sido acionada para esse início de sessão. E, inversamente, um início de sessão pode ter um risco de início de sessão (agregado) de Médio, mesmo que as deteções associadas ao início de sessão sejam de Alto risco.

Qual é a diferença entre as deteções de "Atividade de endereço IP anónimo" e "Endereço IP anónimo"?

A origem da deteção de "Endereço IP anônimo" é a Proteção de ID do Microsoft Entra, enquanto a deteção de "Atividade de endereço IP anônimo" é integrada do Microsoft Defender for Cloud Apps. Embora eles tenham nomes semelhantes e você possa ver sobreposição nesses sinais, eles têm deteções de back-end distintas.